📄 木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.htm
字号:
onclick="window.clipboardData.setData('text','http://www.cnpaf.net/forum/viewthread.php?tid=6230&page=1#pid46390')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">#1</A></DIV>
<DIV style="PADDING-TOP: 4px">发表于 2006-4-26 17:28 <A
href="http://www.cnpaf.net/forum/profile-uid-21390.html">资料</A> <A
href="http://www.cnpaf.net/forum/blog.php?uid=21390"
target=_blank>文集</A> <A
href="http://www.cnpaf.net/forum/pm.php?action=send&uid=21390"
target=_blank>短消息</A> </DIV></DIV></TD></TR>
<TR>
<TD class=line style="PADDING-TOP: 10px" vAlign=top height="100%"><A
title="评分 0"
href="http://www.cnpaf.net/forum/misc.php?action=viewratings&tid=6230&pid=46390"
name=pid46390></A><SPAN class=bold>木马工作的原理与检测及删除~</SPAN><BR><BR>
<DIV style="FONT-SIZE: 12px"><FONT color=green>Sample
Text</FONT><BR><BR>一、木马工作的原理<BR><BR> 在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。<BR><BR> 既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。<BR><BR> 好了,现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行,那么它就要乘计算机刚开机的时候得到运行,进而常驻内存中。想一想,Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢?你可能会想到“开始->程序->启动”中的项目!没错,这是Windows启动时要运行的东西,但要是木马服务器程序明显地放在这就不叫木马了。<BR><BR> 木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。<BR><BR> 在win.ini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目,木马可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL
Trojan,它把自身伪装成command.exe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。<BR><BR> 在system.ini文件中,[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe,而是“shell=<BR>Explorer.exe
程序名”,那么后面跟着的那个程序就是木马程序,明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。<BR><BR> 隐蔽性强的木马都在注册表中作文章,因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。<BR>HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run<BR>HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce<BR>HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx<BR>HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices<BR>HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce<BR><BR> 上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows
NT,那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西,通过regedit等注册表编辑工具查看SAM主键,里面下应该是空的。<BR><BR> 木马驻留计算机以后,还得要有客户端程序来控制才可以进行相应的“黑箱”*作。要客户端要与木马服务器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测,在下面有详细介绍。</DIV></TD></TR>
<TR>
<TD align=right> <A
href="http://www.cnpaf.net/forum/post.php?action=reply&fid=4&tid=6230&repquote=46390&extra=page%3D1">引用</A>
<A
href="http://www.cnpaf.net/forum/misc.php?action=report&fid=4&tid=6230&pid=46390&page=1">报告</A>
<A onclick="fastreply('回复 #1 anrui 的帖子')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">回复</A> <A
onclick=scroll(0,0)
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###"><IMG
alt=顶部 src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/top.gif"
border=0></A> </TD></TR>
<TR class=t_infoline>
<TD class=line
style="PADDING-RIGHT: 5px; PADDING-LEFT: 5px; PADDING-BOTTOM: 5px; PADDING-TOP: 5px">[广告]
<IFRAME align=center marginWidth=0 marginHeight=0
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/468X60_forum.htm"
frameBorder=0 width=468 scrolling=no
height=60></IFRAME></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></DIV>
<DIV class=spaceborder style="MARGIN-BOTTOM: 4px; WIDTH: 98%">
<TABLE class=t_row cellSpacing=0 cellPadding=4 width="100%" align=center>
<TBODY>
<TR style="HEIGHT: 100%">
<TD class=t_user vAlign=top width="18%"><A class=bold
href="http://www.cnpaf.net/forum/profile-uid-21390.html"
target=_blank>anrui</A> <BR>
<DIV class=smalltxt>进士<BR><IMG alt="Rank: 4"
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/star_level3.gif"><BR><BR><BR><BR>UID
21390<BR>精华 <A
href="http://www.cnpaf.net/forum/digest.php?authorid=21390">4</A> <BR>积分
9270<BR>帖子 194<BR>威望 1091 点<BR>金钱 3310 元<BR>阅读权限 100<BR>注册
2006-4-4<BR></DIV></TD>
<TD
style="PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; PADDING-TOP: 0px"
vAlign=top width="82%">
<TABLE class=t_msg cellSpacing=0 cellPadding=4 border=0>
<TBODY>
<TR>
<TD>
<DIV>
<DIV class="right t_number"><A class=bold
onclick="window.clipboardData.setData('text','http://www.cnpaf.net/forum/viewthread.php?tid=6230&page=1#pid46391')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">#2</A></DIV>
<DIV style="PADDING-TOP: 4px">发表于 2006-4-26 17:30 <A
href="http://www.cnpaf.net/forum/profile-uid-21390.html">资料</A> <A
href="http://www.cnpaf.net/forum/blog.php?uid=21390"
target=_blank>文集</A> <A
href="http://www.cnpaf.net/forum/pm.php?action=send&uid=21390"
target=_blank>短消息</A> </DIV></DIV></TD></TR>
<TR>
<TD class=line style="PADDING-TOP: 10px" vAlign=top height="100%"><A
title="评分 0"
href="http://www.cnpaf.net/forum/misc.php?action=viewratings&tid=6230&pid=46391"
name=pid46391></A>
<DIV
style="FONT-SIZE: 12px">二、检测木马的存在<BR><BR> 知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。<BR><BR> 首先,查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。<BR><BR> 1、查看system.ini文件<BR><BR> 选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是这样,就可能中了木马了。下图所示为正常时的情况:</DIV><BR><BR><IMG
class=absmiddle alt=""
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/image.gif" border=0><A
title=查看积分策略说明
href="http://www.cnpaf.net/forum/member.php?action=credits&view=getattach"
target=_blank>图片附件</A>: <A class=bold
href="http://www.cnpaf.net/forum/attachment.php?aid=2244"
target=_blank>trojan1_O5DMN98EaQFL.jpg</A> (2006-4-26 17:31, 40.48
K)<BR><BR><IMG onmousewheel="return imgzoom(this);"
onmouseover="if(this.resized) this.style.cursor='hand';"
onclick="if(!this.resized) {return false;} else {window.open('attachment.php?aid=2244');}"
alt=""
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/trojan1_O5DMN98EaQFL.jpg"
onload="if(this.width >screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}"
border=0> </TD></TR>
<TR>
<TD align=right> <A
href="http://www.cnpaf.net/forum/post.php?action=reply&fid=4&tid=6230&repquote=46391&extra=page%3D1">引用</A>
<A
href="http://www.cnpaf.net/forum/misc.php?action=report&fid=4&tid=6230&pid=46391&page=1">报告</A>
<A onclick="fastreply('回复 #2 anrui 的帖子')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">回复</A> <A
onclick=scroll(0,0)
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###"><IMG
alt=顶部 src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/top.gif"
border=0></A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></DIV>
<DIV class=spaceborder style="MARGIN-BOTTOM: 4px; WIDTH: 98%">
<TABLE class=t_row cellSpacing=0 cellPadding=4 width="100%" align=center>
<TBODY>
<TR style="HEIGHT: 100%">
<TD class=t_user vAlign=top width="18%"><A class=bold
href="http://www.cnpaf.net/forum/profile-uid-21390.html"
target=_blank>anrui</A> <BR>
<DIV class=smalltxt>进士<BR><IMG alt="Rank: 4"
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/star_level3.gif"><BR><BR><BR><BR>UID
21390<BR>精华 <A
href="http://www.cnpaf.net/forum/digest.php?authorid=21390">4</A> <BR>积分
9270<BR>帖子 194<BR>威望 1091 点<BR>金钱 3310 元<BR>阅读权限 100<BR>注册
2006-4-4<BR></DIV></TD>
<TD
style="PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; PADDING-TOP: 0px"
vAlign=top width="82%">
<TABLE class=t_msg cellSpacing=0 cellPadding=4 border=0>
<TBODY>
<TR>
<TD>
<DIV>
<DIV class="right t_number"><A class=bold
onclick="window.clipboardData.setData('text','http://www.cnpaf.net/forum/viewthread.php?tid=6230&page=1#pid46443')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">#3</A></DIV>
<DIV style="PADDING-TOP: 4px">发表于 2006-4-26 19:14 <A
href="http://www.cnpaf.net/forum/profile-uid-21390.html">资料</A> <A
href="http://www.cnpaf.net/forum/blog.php?uid=21390"
target=_blank>文集</A> <A
href="http://www.cnpaf.net/forum/pm.php?action=send&uid=21390"
target=_blank>短消息</A> </DIV></DIV></TD></TR>
<TR>
<TD class=line style="PADDING-TOP: 10px" vAlign=top height="100%"><A
title="评分 0"
href="http://www.cnpaf.net/forum/misc.php?action=viewratings&tid=6230&pid=46443"
name=pid46443></A><SPAN class=bold>2、查看win.ini文件</SPAN><BR><BR>
<DIV
style="FONT-SIZE: 12px"> 选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空,如下图所示:</DIV><BR><BR><IMG
class=absmiddle alt=""
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/image.gif" border=0><A
title=查看积分策略说明
href="http://www.cnpaf.net/forum/member.php?action=credits&view=getattach"
target=_blank>图片附件</A>: <A class=bold
href="http://www.cnpaf.net/forum/attachment.php?aid=2276"
target=_blank>2.jpg</A> (2006-4-26 19:15, 35.36 K)<BR><BR><IMG
onmousewheel="return imgzoom(this);"
onmouseover="if(this.resized) this.style.cursor='hand';"
onclick="if(!this.resized) {return false;} else {window.open('attachment.php?aid=2276');}"
alt="" src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/2.jpg"
onload="if(this.width >screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}"
border=0> </TD></TR>
<TR>
<TD align=right> <A
href="http://www.cnpaf.net/forum/post.php?action=reply&fid=4&tid=6230&repquote=46443&extra=page%3D1">引用</A>
<A
href="http://www.cnpaf.net/forum/misc.php?action=report&fid=4&tid=6230&pid=46443&page=1">报告</A>
<A onclick="fastreply('回复 #3 anrui 的帖子')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">回复</A> <A
onclick=scroll(0,0)
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###"><IMG
alt=顶部 src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/top.gif"
border=0></A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></DIV>
<DIV class=spaceborder style="MARGIN-BOTTOM: 4px; WIDTH: 98%">
<TABLE class=t_row cellSpacing=0 cellPadding=4 width="100%" align=center>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -