[psac]

5.木馬更名

　　木馬服務端程序的命名也有很大的學問。如果不做任何修改，就使用原來的名字，誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪，不過大多是改為和系統檔案名差不多的名字，如果你對系統檔案不夠瞭解，那可就危險了。例如有的木馬把名字改為window.exe，如果不告訴你這是木馬的話，你敢移除嗎?還有的就是更改一些後面名，比如把dll改為dl等，不仔細看的，你會發現嗎?




木馬的種類

　　1、破壞型

　　惟一的功能就是破壞並且移除文件，可以自動的移除電腦上的DLL、INI、EXE文件。

　　2、密碼傳送型

　　可以找到隱藏密碼並把它們傳送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在電腦中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟體可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟體長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。

　　在這裡提醒一下，不要認為自己在文件中加了密碼而把重要的保密文件存在公用電腦中，那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。


利用WINDOWS API函數EnumWindows和EnumChildWindows對當前執行的所有程式的所有視窗（包括控件）進行遍歷，通過視窗標題搜尋密碼輸入和出驗證重新輸入視窗，通過按鈕標題搜尋我們應該按下的按鈕，通過ES_PASSWORD搜尋我們需要按鍵輸入的密碼視窗。向密碼輸入視窗傳送WM_SETTEXT消息模擬輸入密碼，向按鈕視窗傳送WM_COMMAND消息模擬按下。

在破解程序中，把密碼儲存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止。此類程序在黑客網站上唾手可得，精通程序設計的人，完全可以自編一個。

　　3、遠端訪問型

　　最廣泛的是特洛伊馬，只需有人執行了服務端程序，如果客戶知道了服務端的IP位址，就可以實現遠端控制。以下的程序可以實現觀察"受害者"正在幹什麼，當然這個程序完全可以用在正道上的，比如監視學生機的操作。

　　程序中用的UDP（User Datagram Protocol，用戶報文傳輸協定）是英特網上廣泛採用的通信傳輸協定之一。與TCP傳輸協定不同，它是一種非連接的傳輸傳輸協定，沒有驗證機制，可靠性不如TCP，但它的效率卻比TCP高，用於遠端螢幕監視還是比較適合的。它不區分伺服器端和客戶端，只區分傳送端和接收端，編程上較為簡單，故選用了UDP傳輸協定。本程序中用了DELPHI提供的TNMUDP控件。

　　4.鍵盤記錄木馬

　　這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊並且在LOG文件裡搜尋密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用訊息，甚至是你的信用卡帳號哦!當然，對於這種檔案類型的木馬，郵件傳送功能也是必不可少的。

　　5.DoS攻擊木馬

　　隨著DoS攻擊越來越廣泛的套用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器，給他種上DoS攻擊木馬，那麼日後這台電腦就成為你DoS攻擊的最得力助手了。你控制的目標物數量越多，你發動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現在被感染電腦上，而是體現在攻擊者可以利用它來攻擊一台又一台電腦，給網路造成很大的傷害和帶來損失。

　　還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機產生各種各樣主題的郵件，對特定的郵信箱不停地傳送郵件，一直到對方癱瘓、不能接受郵件為止。

　　6.代理木馬

　　黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的目標物種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的工作。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。

　　7.FTP木馬

　　這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是開啟21連接阜，等待用戶連接。現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方電腦。

　　8.程序殺手木馬

　　上面的木馬功能雖然形形色色，不過到了對方電腦上要發揮自己的作用，還要過防木馬軟體這一關才行。一般的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方電腦上執行的這類程序，讓其他的木馬更好地發揮作用。

　　9.反彈連接阜型木馬

　　木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的連接往往會進行非常嚴格的過濾，但是對於連出的連接卻疏於防範。於是，與一般的木馬相反，反彈連接阜型木馬的服務端 (被控制端)使用主動連接阜，客戶端 (控制端)使用被動連接阜。木馬定時監測控制端的存在，發現控制端上線立即彈出連接阜主動連結控制端開啟的主動連接阜;為了隱蔽起見，控制端的被動連接阜一般開在80，即使用戶使用掃瞄軟體檢查自己的連接阜，發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網頁。




中木馬後出現的狀況

　　對於一些一般的木馬，如SUB7、BO2000、冰河等等，它們都是採用開啟TCP連接阜監聽和寫人註冊表啟動等方式，使用木馬剋星之類的軟體可以檢測到這些木馬，這些檢測木馬的軟體大多都是利用檢測TCP連結、註冊表等訊息來判斷是否有木馬人侵，因此我們也可以通過手動式來偵測木馬。

　　也許你會對硬碟空間莫名其妙減少500M感到習以為常，這的確算不了什麼，天知道Windows的臨時文件和那些烏七八糟的遊戲吞噬了自己多少硬碟空間。可是，還是有一些現象會讓你感到警覺，一旦你覺得你自己的電腦感染了木馬，你應該馬上用殺毒軟體檢查一下自己的電腦，然後不管結果如何，就算是Norton告訴你，你的機器沒有木馬，你也應該再親自作一次更深人的調查，確保自己機器安全。經常關注新的和出名的木馬的特性報告，這將對你診斷自己的電腦問題很有說明 。

　　(1)當你瀏覽一個網站，彈出來一些廣告視窗是很正常的事情，可是如果你根本沒有開啟瀏覽器，而覽瀏器突然自己開啟，並且進入某個網站，那麼，你要小心。

　　(2)你正在操作電腦，突然一個警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。

　　(3)你的Windows系統組態老是自動莫名其妙地被更改。比如螢幕保護程式顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動執行組態。

　　(4)硬碟老沒緣由地讀磁碟，軟式磁碟機燈經常自己亮起，網路連接及滑鼠螢幕出現異常現象。

　　這時，最簡單的方法就是使用netstat-a指令檢視。你可以通過這個指令發現所有網路連接，如果這時有攻擊者通過木馬連接，你可以通過這些訊息發現異常。通過連接阜掃瞄的方法也可以發現一些弱智的木馬，特別是一些早期的木馬，它們元件服務的連接阜不能更改，通過掃瞄這些固定的連接阜也可以發現木馬是否被植入。

　　當然，沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的電腦純粹是為了好玩。對於純粹處於好玩目的的攻擊者，你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深，並且想把你的機器變成一台他可以長期使用的目標物的黑客們，你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度，而這些能力，都是在平常的電腦使用程序日積月累而成的。

　　我們還可以通過軟體來檢查系統工作來發現木馬。如利用工作管理軟體來檢視工作，如果發現可疑工作就殺死它。那麼，如何知道哪個工作是可疑的呢?教你一個笨方法，有以下工作絕對是正常的：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果開啟了IE)，而出現了其他的、你沒有執行的程序的工作就很可疑了。一句話，具體情況具體分析。




被感染後的緊急措施

　　如果不幸你的電腦已經被木馬光臨過了，你的系統檔案被黑客改得一塌糊塗，硬碟上稀裡糊塗得多出來一大堆亂七八糟的文件，很多重要的資料也可能被黑客竊取。這裡給你提供3條建議，希望可以說明 你:

　　(1)所有的帳號和密碼都要馬上更改，例如撥號連接，ICQ,mIRC,FTP，你的個人站點，免費郵信箱等等，凡是需要密碼的地方，你都要把密碼儘快改過來。

　　(2)刪掉所有你硬碟上原來沒有的東西。

　　(4)檢查一次硬碟上是否有病毒存在 。