特洛伊木馬是一種非常危險的惡性程序,它無休止的竊取用戶的訊息,從而給用戶造成了巨大的損失。本期專題我們從特洛伊木馬的原理、技術以及防禦與清除方面給大家進行全方位的介紹,讓大家瞭解特洛伊木馬,同時提高對特洛伊木馬的防範意識……
什麼是特洛伊木馬?
「特洛伊木馬」(trojan horse)簡稱「木馬」,據說這個名稱來源於希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城,久久無法攻下。於是有人獻計製造一隻高二丈的大木馬,假裝作戰馬神,讓士兵藏匿於巨大的木馬中,大部隊假裝撤退而將木馬擯棄於特洛伊城下。
城中得知解圍的消息後,遂將「木馬」作為奇異的戰利品拖入城內,全城飲酒狂歡。到午夜時分,全城軍民盡入夢鄉,匿於木馬中的將士開秘門游繩而下,開啟城門及四處縱火,城外伏兵湧入,部隊裡應外合,焚屠特洛伊城。後世稱這隻大木馬為「特洛伊木馬」。如今黑客程序借用其名,有「一經潛入,後患無窮」之意。
完整的木馬程序一般由兩個部份組成:一個是伺服器程序,一個是控制器程序。「中了木馬」就是指安裝了木馬的伺服器程序,若你的電腦被安裝了伺服器程序,則擁有控制器程序的人就可以通過網路控制你的電腦、為所欲為,這時你電腦上的各種文件、程序,以及在你電腦上使用的帳號、密碼就無安全可言了。
木馬程序不能算是一種病毒,但越來越多的新版的殺毒軟體,已開始可以查殺一些木馬了,所以也有不少人稱木馬程序為黑客病毒。
詳解木馬原理
介紹特洛伊木馬程序的原理、特徵以及中了木馬後系統出現的情況……
特洛伊木馬是如何啟動的
作為一個優秀的木馬,自啟動功能是必不可少的,這樣可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要,所以,很多編程人員都在不停地研究和探索新的自啟動技術,並且時常有新的發現。一個典型的例子就是把木馬加入到用戶經常執行的程式 (例如explorer.exe)中,用戶執行該程序時,則木馬自動發生作用。當然,更加普遍的方法是通過修改Windows系統檔案和註冊表達到目的,現經常用的方法主要有以下幾種:
1.在Win.ini中啟動
在Win.ini的[windows]字段中有啟動指令"load="和"run=",在一般情況下 "="後面是空白的,如果有後跟程序,比方說是這個樣子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,這個file.exe很可能是木馬哦。
2.在System.ini中啟動
System.ini位於Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏載入之所,木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裡的file.exe就是木馬服務端程序!
另外,在System.中的[386Enh]字段,要注意檢查在此段內的"driver=路徑\程式名稱"這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這3個字段,這些段也是起到載入驅動程式的作用,但也是增添木馬程序的好場所,現在你該知道也要注意這裡嘍。
3.利用註冊表載入執行
如下所顯示註冊表位置都是木馬喜好的藏身載入之所,趕快檢查一下,有什麼程序在其下。
4.在Autoexec.bat和Config.sys中載入執行
請大家注意,在C碟根目錄下的這兩個文件也可以啟動木馬。
但這種載入方式一般都需要控制端用戶與服務端建立連接後,將己增加木馬啟動指令的同名文件上傳到服務端覆蓋這兩個文件才行,而且採用這種方式不是很隱蔽。容易被發現,所以在Autoexec.bat和Confings中載入木馬程序的並不多見,但也不能因此而掉以輕心。