Download
1 / 18
180 likes | 334 Views
计算机病毒. 木 马. 木马病毒概述 “特洛伊木马”简称木马,其英文叫做“ Trojan house” ,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具。木马通常寄生于用户的计算机系统中,盗窃用户信息,并通过网络发送给黑客。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用. 谈到木马,人们就想到病毒,木马也算是一种病毒,但与传统的计算机病毒不同。 木马是一种恶意代码,它通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主,还能对计算机进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性.
E N D
木 马 木马病毒概述 “特洛伊木马”简称木马,其英文叫做“Trojan house”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具。木马通常寄生于用户的计算机系统中,盗窃用户信息,并通过网络发送给黑客。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用
谈到木马,人们就想到病毒,木马也算是一种病毒,但与传统的计算机病毒不同。木马是一种恶意代码,它通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主,还能对计算机进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性谈到木马,人们就想到病毒,木马也算是一种病毒,但与传统的计算机病毒不同。木马是一种恶意代码,它通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主,还能对计算机进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性
木马是一种恶意程序,它们悄悄地在寄宿主机上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。 但木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件,从而上当。
木马的传播方式主要有三种: 一种是通过E-mail,控制端将木马程序以附件形式附着在邮件上发送出去,收件人只要打开附件就会感染木马。 第二种是软件下载,一些非正式的网站以提供软件下载的名义,将木马捆绑在软件安装程序上,程序下载后只要一运行这些程序,木马就会自动安装。 第三种是通过会话软件(如QQ)的“传送文件”进行传播,不知情的网友一旦打开带有木马的文件就会感染木马。
如果要问黑客通过木马进入到计算机里后能够做什么,可以这样回答:用户能够在自己的计算机上做什么,他就同样能做什么。可以读、写、存、删除文件,可以得到你的隐私、密码,甚至你在计算机上鼠标的每一下移动,他都可以尽收眼底。而且还能够控制你的鼠标和键盘去做他想做的任何事,比如打开你珍藏的好友照片,然后在你面前将它永久删除。如果要问黑客通过木马进入到计算机里后能够做什么,可以这样回答:用户能够在自己的计算机上做什么,他就同样能做什么。可以读、写、存、删除文件,可以得到你的隐私、密码,甚至你在计算机上鼠标的每一下移动,他都可以尽收眼底。而且还能够控制你的鼠标和键盘去做他想做的任何事,比如打开你珍藏的好友照片,然后在你面前将它永久删除。
木马的检测和清除 • 可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等对木马进行检测。检测到计算机感染木马后,就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在,是否修改了win.ini、system.ini系统配置文件和注册表。如果存在可疑的程序和进程,就按照特定的方法进行清除。
查看开放端口:当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的。因此,就可以通过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。例如, “冰河”木马使用的监听端口是7626,Back Orifice 2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是感染了木马。
此外还有以下检测内容: • 查看和恢复win.ini和system.ini系统配置文件 • 查看启动程序并删除可疑的启动程序 • 查看系统进程并停止可疑的系统进程 • 查看和还原注册表
可使用杀毒软件和木马查杀工具检测和清除木马。最简单的检测和删除木马的方法是安装木马查杀软件。常用的木马查杀工具,如KV 3000、瑞星、TheCleaner、木马克星、木马终结者等,可以进行木马的检测和查杀。此外,用户还可使用其它木马查杀工具对木马进行查杀。
5 木马的预防 • 不随意下载来历不明的软件 • 不随意打开来历不明的邮件,阻塞可疑邮件 • 及时修补漏洞和关闭可疑的端口 • 尽量少用共享文件夹 • 运行实时监控程序 • 经常升级系统和更新病毒库 • 限制使用不必要的具有传输能力的文
什么是ARP • ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。 • 二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的,因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
Windows操作系统,在命令行窗口输入"arp -a"命令可查看本机当前的ARP缓存表,ARP缓存表保存的就是IP地址与MAC地址的对应关系,如下图所示:
ARP欺骗带来的危害可以分为几大类,1. 网络异常。具体表现为:掉线、IP冲突等。2. 数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。3. 数据篡改。具体表现为:访问的网页被添加了恶意内容,俗称“挂马”。4. 非法控制。具体表现为:网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。
ARP欺骗根据发起个体的不同可以分为两类,1. 人为攻击。人为攻击的目的主要是:造成网络异常、窃取数据、非法控制。2. ARP病毒。ARP病毒不是特指某一种病毒,而是指所有包含有ARP欺骗功能的病毒的总称。ARP病毒的目的主要是:窃取数据(盗号等)、篡改数据(挂马等)。
ARP攻击的对治方法 • 由于ARP攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。目前为止我还没有看到互联网上有任何一个完美的解决方法,一个重要的原因就是这本身是互联网的一个致命的顽疾(arp协议相信网络内的所有主机),越大的网络越难处理。只要有一台电脑中毒,整个网络都瘫痪,这给杀毒处理工作带来很大的难度。 • 一般我们能采用的方法是: • (1)全校全面杀毒。这一定要做的,但是可行性很低,就算某断时间所有电脑都没毒,但是过不了两天,又会有人中毒,又会瘫痪。杀毒是一方面,更重要的是要所有人都提高防毒意识。
(2)升级IE,打IE补丁。据了解现在很多arp欺骗不是病毒,而是木马。它不会通过系统漏洞自动传播。我可以很明确地告诉你大部分病毒是通过你的浏览器进到你系统的。所以马上升级你的IE,打补丁。(2)升级IE,打IE补丁。据了解现在很多arp欺骗不是病毒,而是木马。它不会通过系统漏洞自动传播。我可以很明确地告诉你大部分病毒是通过你的浏览器进到你系统的。所以马上升级你的IE,打补丁。 • (3)制作批处理抵制病毒。当你被欺骗后上不了网,可以运行下面的批处理改正你的网关地址,暂时可以上网。这是一个临时的办法。 • (4)各栋盯防,发现一个杀一个。每一栋须有几个人时刻关注网络状况,发现有arp欺骗的情况,可以通过arp -a命令查到中毒电脑的网卡物理地址,再从网卡物理地址查出主机IP地址,立刻通知网络中心处理。这种方法可以尝试,但是所花费的人力和时间过大,也是治标不治本
5、要增强网络安全意识,培养良好的使用习惯5、要增强网络安全意识,培养良好的使用习惯 不要轻易下载和安装使用不了解的、来源不明的软件;安装软件前请用带最新病毒库的防病毒软件对软件安装包进行扫描;不要浏览一些缺乏可信度的网站(网页);尽量不要安装网页上的ActiveX插件;以免个人计算机受到木马病毒的侵入,给校园网的安全带来隐患。目前网络上很多网站使用带有诱惑性的页面来诱使用户点击,用户一旦点击就会下载到木马或者病毒,请用户一定要注意防范。
