木马是什么 木马程序的介绍
1、木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代 *** 的安全运行。
2、木马病毒是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
3、木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。
木马的工作方式
分类: 电脑/ *** 反病毒
问题描述:
求助,我有个 朋友说现在的木马是监听端口传输的数据包 *** 数据包是加密的,比如你只要启动游戏输入了密码,PIN2码和帐号,并且发送到9C,数据包经过端口,木马就会把这些特定的数据包截留并发送到盗号者邮箱,然后如果盗号者拥有了破解数据包的解密方式,就可以获得密码,PIN2码和帐号,所以无论你是以什么方式输入密码,PIN2码和帐号包括错位输入,剪切粘贴或者软键盘等等,由于无论怎么输入,都是输入完全以后才能发送到9C,所以数据包仍然没有本质变化虽然数据包本身有随机打乱传输,但加密算法不变,盗号者依然可以用同一种解密方式解开密码,PIN2码和帐号.
木马是否是有如上所说的
解析:
木马入侵手段及防范措施
前言
木马,全称特洛伊木马(Trojan horse),这个词语来源于古希腊神话,在计算机领域是一种客户/服务器程序,是黑客最常用的基于远程控制的工具。目前,比较有名的国产木马有:“冰河”、“广外女生”、“黑洞”、“黑冰”等;国外有名的木马则有:“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和 *** 安全危害相当大,因此,如何防范特洛伊木马入侵成为了计算机 *** 安全的重要内容之一。
1 木马的实现原理及特征
1.1 木马的实现原理
从本质上看,木马都是 *** 客户/服务模式,它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。
当攻击者要利用木马进行 *** 入侵,一般都要完成“向目标主机传播木马”,“启动和隐藏木马”,“建立连接”,“远程控制”等环节。
1.2 木马的特征
一个典型的木马程序通常具有以下四个特征:隐蔽性、欺骗性、顽固性和危害性。
(1)隐蔽性:隐蔽性是木马的生命力,也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面:
a.不产生图标。木马虽然在系统启动时会自动运行,但它不会在“任务栏”中产生一个图标。
b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。
(2)欺骗性:木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名,如dll、win、sys、explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常常修改几个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中而已。
(3)顽固性:很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。当木马被检查出来以后,仅仅删除木马程序是不行的,有的木马使用文件关联技术,当打开某种类型的文件时,这种木马又重新生成并运行。
(4)危害性:当木马被植入目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码,控制系统的运行,进行有关文件的操作以及修改注册表等。
2 木马入侵手段
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着 *** 知识的普及以及 *** 用户安全意识的提高,木马的入侵手段也随着发生了许多变化。
2.1木马的传统入侵手段
所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式,主要有以下几种:
1)电子邮件(E-mail)进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。
2) *** 下载进行传播:一般的木马服务端程序都不是很大,更大也不超过200K,有的甚至只有几K。如果把木马捆绑到其它正常文件上,是很难发现的。一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的 *** 传播:由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面,他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。
3)网页浏览传播:这种 *** 利用Java Applet编写出一个HTML网页,当我们浏览该页面时,Java Applet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。
4)利用系统的一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。
5)远程入侵进行传播:黑客通过破解密码和建立IPC$远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:\WINDOWS\system32或者C:\WINNT\system32)中,然后通过远程操作让木马程序在某一个时间运行。
2.2 木马入侵手段的发展
以上的木马入侵手段虽然使用广泛,但也很容易引起用户的警觉,所以一些新的入侵手段也相继出现,主要有:
1) 基于DLL和远程线程插入的木马植入
这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。
DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,所以从系统的进程列表里看不见DLL的运行踪迹,从而可以避免在目标主机中留下木马进程踪迹,因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Load Library函数来加载木马DLL,从而实现木马的传播。
2)利用蠕虫病毒传播木马
以前的木马传播大都比较被动,而使用E-mail传播效率又太低,系统漏洞很快又被打上补丁,所以在某种程度上限制了木马的传播能力。 *** 蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在 *** 上大批量地进行传播、复制,这就加快了木马的传播速度,扩大了其传播范围。
3 木马的防范措施
为了减少或避免木马给主机以及 *** 带来危害,我们可以从两方面来有效地防范木马:使用防火墙阻止木马入侵以及及时查杀入侵后的木马。
防火墙是抵挡木马入侵的之一道门,也是更好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是,仍然有一些木马可以绕过防火墙进入目标主机(比如反弹端口木马),还有一些将端口寄生在合法端口上的木马,防火墙对此也无能为力。因此,我们必须要能迅速地查杀出已经入侵的木马。
木马的查杀,可以采用自
*** 安全的知识内容
*** 安全知识一:密码安全
无论你是申请邮箱还是玩 *** 游戏,都少不了要注册,这样你便会要填密码。大多数人都会填一些简单好记的数字或字母。还把自己的几个邮箱、几个qq和 *** 游戏的密码都设成一样。在网上你有可能会因为需要而把密码告诉朋友,但若那位朋友的好奇心很强的话,他可能会用你给他的这个密码进入你的其他邮箱或qq,你的网上秘密便成了他举手可得的资料了。因此建议,你最常用的那个邮箱密码设置一个不少于7位的有字母、数字和符号组成的没有规律的密码,并至少每月改一次。其他不常用的几个邮箱密码不要和主邮箱的密码设成一样,密码可以相对简单点,也可以相同。不过密码内容千万不要涉及自己的名字、生日、 *** (很多密码字典都是根据这些资料做出来的)。其他的密码设置也是同样道理,最常用的那个密码要设置的和其他不同,免得被人“一路破”。 顺便提醒一下,不要把写有你密码的那本笔记本放在你认为安全的地方。
*** 安全知识二:qq安全
qq是腾讯公司出品的 *** 即时聊天工具,现在的用户多的惊人!所以现在针对qq的工具也十分之多。这里在提一下qq的密码安全,你在申请完qq后之一件事就是去腾讯公司的主页上的服务专区申请密码保护,这点很重要,但也很容易被忽略。 现在言归正转,说qq的安全,在网上用qq查ip地址(ip地址是一个32位二进制数,分为4个8位字节,是使用tcp/ip协议的 *** 中用于识别计算机和 *** 设备的唯一标识)查ip可以用专门的软件,也可以用防火墙或dos命令,这里不详细说明。ip被查到后,不怀好意的人可以用各种各样的炸弹攻击你,虽然这些攻击对你的个人隐私没什么危害,但常常被人炸下线,这滋味一定不好。 解决办法有两种:
1.不要让陌生人或你不信任的人加入你的qq(但这点很不实用,至少我这样认为)。
2.使用 *** 服务器( *** 服务器英文全称proxy sever,其功能就是 *** *** 用户去取得 *** 信息,更确切地说,就是 *** 信息的中转站)。设置 *** 是点击qq的菜单==系统参数== *** 设置== *** 设置==点击使用socks5 *** 服务器,填上 *** 服务器地址和端口号,确定就好了,然后退出qq,再登陆,这就搞定了。 qq密码的破解工具也很多,你只要把密码设的复杂点,一般不容易被破解。
*** 安全知识三: *** 服务器安全
使用 *** 服务器后可以很有效的防止恶意攻击者对你的破坏。但是天下没有白吃的午餐,因为你再使用 *** 服务器后你的上网资料都会记录在 *** 服务起的日志中,要是那个网管想“关照”你一下的话,你是一点生还余地都没有的。(除非你进入 *** 服务器删了他的日志)
*** 安全知识四:木马防范
木马,也称为后门,直截了当的说,木马有二个程序组成:一个是服务器程序,一个是控制器程序。当你的计算机运行了服务器后,恶意攻击者可以使用控制器程序进入如你的计算机,通过指挥服务器程序达到控制你的计算机的目的。千万不要小看木马,它可以所定你的鼠标、记录你的键盘按键、修改注册表、远程关机、重新启动等等功能。想不中木马,先要了解木马的传播途径:
1:邮件传播:木马很可能会被放在邮箱的附件里发给你。因此一般你不认识的人发来的带有附件的邮件,你更好不要下载运行,尤其是附件名为*.exe的。
2:qq传播:因为qq有文件传输功能,所以现在也有很多木马通过qq传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起,然后骗你说是一个好玩的东东,你接受后运行的话,你就成了木马的牺牲品了。
3:下载传播:在一些个人网站下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话更好去比较知名的网站。 万一你不幸中了木马的话,立刻开启你的杀毒程序,接下来等着木马杀!杀!杀!。另外手工清除木马的 *** 在另外的文章中有详细说明。
*** 安全的小知识
一、 *** 安全基本概念
一般地讲,所谓 *** 安全是指 *** 系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行, *** 服务不中断。
要保证 *** 的安全需要通过采用各种技术和管理措施,使 *** 系统正常运行,从而确保 *** 数据的可用性、完整性和保密性。正常情况下, *** 安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在 *** 上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说,最重要的就是内部信息上的安全加密以及保护。
二、 *** 安全分析
2.1 *** 结构安全分析
*** 拓扑结构设计直接影响到 *** 系统的安全性。假如在外部和内部 *** 进行通信时,内部 *** 的机器安全就会受到威胁,同时也影响在同一 *** 上的许多其他系统。透过 *** 传播,还会影响到连上Internet/Intranet的其他的 *** ;影响所及,还可能涉及法律、金融等安全敏感领域。因此,在 *** 设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务 *** 进行必要的隔离,避免 *** 结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
2.2应用系统安全分析
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
2.2.1应用系统的安全是动态的.、不断变化的
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、NetscapeMessaging Server、SoftwareComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
2.2.2应用的安全性涉及到信息、数据的安全性
信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些 *** 系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
2.3管理的安全风险分析
2.3.1 *** 安全的基本特征
*** 安全应具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如 *** 环境下拒绝服务、破坏 *** 和有关系统的正常运行等都属于对可用性的攻击;
可控性:对信息的传播及内容具有控制能力。
2.3.1物理安全
自然灾害(如雷电、地震、火灾等),物理损坏(如硬盘损坏、设备使用寿命到期等),设备故障(如停电、电磁干扰等),意外事故。解决方案是:防护措施,安全制度,数据备份等。
电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入(如进入安全进程后半途离开),痕迹泄露(如口令密钥等保管不善)。解决方案是:辐射防护,屏幕口令,隐藏销毁等。
操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏。解决方案是:状态检测,报警确认,应急恢复等。
计算机系统机房环境的安全。特点是:可控性强,损失也大。解决方案:加强机房管理,运行管理,安全组织和人事管理。
2.3.2安全控制
操作系统的安全控制:如用户开机键入的口令(某些微机主板有“万能口令”),对文件的读写存取的控制(如Unix系统的文件属性控制机制)。
*** 接口模块的安全控制。在 *** 环境下对来自其他机器的 *** 通信进程进行安全控制。主要包括:身份认证,客户权限设置与判别,审计日志等。
*** 互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。
2.3.3安全技术手段
物理措施:例如,保护 *** 关键设备(如交换机、大型计算机等),制定严格的 *** 安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。
访问控制:对用户访问 *** 资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制 *** 设备配置的权限,等等。
数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机 *** 病毒,安装 *** 防病毒系统。
*** 隔离: *** 隔离有两种方式,一种是采用隔离卡来实现的,一种是采用 *** 安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个 *** 的隔离。这两者的区别可参见参考资料。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕 *** 安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对 *** 中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对 *** 的隔离和限制访问等 *** 来控制 *** 的访问权限。
2.3.4安全防范意识
拥有 *** 安全意识是保证 *** 安全的重要前提。许多 *** 安全事件的发生都和缺乏安全防范意识有关。
0条大神的评论