什么是木马 什么是木马程序


什么是木马 什么是木马程序

文章插图
大家好,小跳来为大家解答以上的问题 。什么是木马程序,什么是木马这个很多人还不知道,现在让我们一起来看看吧!
1、引用一下百科 。
2、特洛伊木马(以下简称木马),英文叫做“Trojan horse古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊 。
3、围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵 。
4、特洛伊人以为敌兵已退,就把木马作为战利品搬入城中 。
5、到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池 。
6、后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动 。
7、《荷马史诗》的特洛伊战记 , 故事说的是希腊人围攻特洛伊城十年后仍不能得手,于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵 。
8、当特洛伊人将木马作为战利品拖入城内时,高大的木马正好卡在城门间,进退两难 。
9、夜晚木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城引用一下百科 。
10、三、防治木马现在我们来说防范木马的方法之一 , 就是把 windowssystemmshta.exe文件改名,改成什么自己随便 (xp和win2000是在system32下)HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可 。
11、还有windowscommanddebug.exe和windowsftp.exe都给改个名字 (或者删除)一些最新流行的木马 最有效果的防御~~比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:windows目录下 2000 c:winnt .....假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:windows 或 c:winnt目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读?。?这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马都很有效果的经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里 , 他们没有被执行起来 , 没有危险性 , 所以建议大家经常清理 临时文件夹和IE随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉 。
12、防治木马的危害,应该采取以下措施:第一,安装杀毒软件和个人防火墙,并及时升级 。
【什么是木马 什么是木马程序】13、第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据 。
14、第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具 。
15、第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入 。
16、远程控制的木马有:冰河,灰鸽子 , 上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马” 。
17、DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术 。
18、理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限 。
19、无论怎样 , 都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己 , 也能更好地保护自己 。
20、DLL不能独立运行 , 所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕 。
21、启动DLL木马的EXE是个重要角色,它被称为Loader ,  Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的 。
22、利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名” 。
23、“3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的 。
24、在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32 C:WINDOWSDownlo~1***.dll,Rundll32” , ***.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能 。
25、简单防御方法DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一 。
26、如果用户有一定的编程知识和分析能力 , 还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL 。
27、对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全 。
28、现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了 。
本文到此分享完毕,希望对大家有所帮助 。