咩叫木馬程式?
回答 (5)
2007-03-15 3:21 am
✔ 最佳答案
所謂的木馬程式, 就是用蒙混的方式讓受害者無意間加以執行的程式 (通常是有不良意圖的)。例如有人寄一封 email 給你, 附件有個執行檔叫做 readme.txt.exe, 早期 outlook 熱心過頭, 會把副檔名隱藏, windows 的執行檔又可以附帶自訂的 icon, 如果這個 readme.txt.exe 附帶的是純文字檔的 icon, 受害者很可能會誤以為是無害的純文字檔, 就給他 double-click 下去 ... 這種程式就叫做木馬程式。
另外有些是用網頁的方式, 有些發垃圾郵件的, 會在網頁中用 onLoad() 去執行一小段 JavaScript, 例如確認這個 email 是有人收的, 這樣受害者只要開過這個網頁一次, 就會源源不絕的收到更多的垃圾郵件, 這也算是一種木馬程式。
木馬一詞出自著名的特洛伊戰爭, 特洛伊人因為好奇, 在不知情的狀況下把裝滿希臘士兵的大木馬當成戰利品拖進城中, 讓希臘人輕易地突破特洛伊堅固的城牆, 攻陷特洛伊城。木馬程式就是駭客從特洛伊戰爭所獲得的靈感, 用來入侵受害者電腦的一種手法。
木馬是屬於惡意軟體,一般的防毒軟體不一定能解決,
所以要靠專門的程式來防衛
去找 Spy Sweeper 這套程式來用,它能幫你解決惡意軟體
下載測試版安裝後,先更新資料庫,然後開始完整掃描
安裝本程式後,使用者仍然要配合其它防毒程式一起使用,
因為這套程式只防衛惡意軟體,要預防病毒仍得靠防毒程式
建議你在 "安全模式" 下掃描,
在 Windows 啟動之前按下 F8 鍵選擇 "安全模式"
安裝中文化前,要先關閉 Spy Sweeper 程式才能開始安裝中文化
安裝中文化化後,把 "防衛" 內的每一個能選的防衛項目全打勾,
到 "選項" 中執行 "更新定義資料" 把反間諜資料庫更新到最新的,
再到 "掃除選項" 中把所有項目打勾,全部搞定再開始掃除
在 "防衛" 內的 "啟動程式" 中會列出隨著 Windows 啟動而執行的程式,
如果有覺得可疑的程式,可以把打勾符號給消除,讓它不能再搞怪,
基本上只要留下輸入法用的 ctfmon.exe 和安裝的防毒程式用的常駐監視 ,
不清楚的話,可以一個一個嘗試看看哪些是用不到的,弄錯隨時可還原,
雖然每次改完要重開機測試很麻煩,但這可幫你了解你自己的電腦狀況
在 "防衛" 內的 "Host 檔案" 中,將 "編輯 Host 檔案" 這個項目打勾後,
會列出一些項目,可以查看你的 host 文件目前將你的電腦封鎖了哪些網站,
有些惡意程式會去封鎖一些防毒軟體商的網站,讓你完全無法更新病毒碼,
建議把可疑的選取後全刪了
若覺得啟動慢,可把 "選項" 中的 "停用繃現式啟動畫面" 打勾,
以後長駐這個程式可隨時幫你防衛,也記得經常 "更新定義資料"
2007-03-15 4:55 am
咩叫木馬程式?
一種電腦病毒
一種電腦病毒
2007-03-15 3:23 am
特洛伊木馬程式原理
引言
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。 有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。 到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。 特洛伊木馬原則上它和Laplink 、 PCanywhere 等程式一樣,只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
木馬攻擊原理
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木馬隱身方法
木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。 當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。
在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。
MLaplink 、 PCanywhere 等程式一樣,只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
木馬攻擊原理
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木馬防禦原理
知道了木馬的攻擊原理和隱身方法,我們就可以採取措施進行防禦了。
1.連接埠掃瞄
連接埠掃瞄是檢查遠端機器有無木馬的最好辦法,連接埠掃瞄的原理非常簡單,掃瞄程式嘗試連接某個連接埠,如果成功,則說明連接埠開放,如果失敗或超過某個特定的時間(逾時),則說明連接埠關閉。但對於驅動程式/動態連結木馬,掃瞄連接是不起作用的。
2.檢視連接
檢視連接埠和連接掃瞄的原理基本相同,不過是在本地電腦上使用netstat -a檢視所有的TCP/UDP連接,檢視連接要比連接埠掃瞄快,但同樣是無法查出驅動程式/動態連結木馬,而且僅能在本地電腦使用。
3.檢查註冊表
上面在討論木馬的啟動方式時已經提到,木馬可以使用註冊表啟動(現在大部分的木馬都是使用註冊表啟動的,至少也把註冊表作為一個自我保護的方式),那麼,我們同樣可以使用檢查註冊表來發現木馬在註冊表裡留下的痕跡。
4.尋找檔案
尋找木馬特定的檔案也是一個常用的方法,木馬的一個特徵檔案是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個檔案,木馬就已經不起作用了。
2007-03-14 19:30:00 補充:
在電腦領域中,特洛伊木馬指的是一種後門程序,是駭客用來盜取其他用戶的個人信息,甚至是遠程控制對方的電腦而加殼製作,然後通過各種手段傳播或者騙取目標用戶執行該程序,以達到盜取密碼等各種數據資料等目的。與病毒相似,木馬程序有很強的隱秘性,隨作業系統啟動而啟動。但不會自我複製,這一點和病毒程序不一樣。
2007-03-14 19:30:27 補充:
一個完整的特洛伊木馬套裝程式含了兩部分:服務端(伺服器部分)和用戶端(控制器部分)。植入對方電腦的是服務端,而駭客正是利用用戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開埠,向指定地點發送資料(如網絡遊戲的密碼,QQ密碼和用戶上網密碼等),駭客甚至可以利用這些打開的埠進入電腦系統。
2007-03-14 19:31:29 補充:
特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的, 它可能看起來是有用或者有趣的計劃(或者至少無害) 對一不懷疑的用戶來說,但是實際上有害當它被執行。 特洛伊木馬不會自動執行,它是暗含在某些用戶感興趣的檔中,用戶下載時附帶的。當用戶執行檔程式時,特洛伊木馬才會運行,資訊或檔才會被破壞和遺失。 特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設置的。
2007-03-14 19:31:51 補充:
特洛伊木馬有兩種,universal and transitive, universal就是可以控制的,而transitive 是不能控制,刻死的操作。木馬程序技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程序的編寫。至今木馬程序已經經歷了四代的改進:
2007-03-14 19:32:13 補充:
第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。 第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。 第三代, 主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟體查殺識別的難度。 第四代 在進程隱藏方面有了很大改動,採用了核心插入式的嵌入方式,利用遠程插入執行緒技術,嵌入DLL執行緒。或者掛接PSAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。 專家相信,第五代木馬很快會出現。
2007-03-14 19:32:31 補充:
木馬的植入通常是利用了作業系統的漏洞,繞過了對方的防禦措施(如防火牆)。中了特洛伊木馬程序的電腦,因為資源被占用,速度會減慢,莫名死機。著名的木馬 Back Orifice (BO) NetBus Pro SUB7 NetSpy 冰河 (木馬) 廣外女生 廣外男生 灰鴿子 蜜蜂大盜
2007-03-14 19:32:49 補充:
如果要知道如何防止木馬請到http://zh.wikipedia.org/w/index.php?title=防火墙&variant=zh-hkhttp://zh.wikipedia.org/w/index.php?title=计算机病毒&variant=zh-hkhttp://zh.wikipedia.org/w/index.php?title=杀毒软件&variant=zh-hk
引言
特洛伊木馬是 Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。 有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。 到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。 特洛伊木馬原則上它和Laplink 、 PCanywhere 等程式一樣,只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
木馬攻擊原理
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木馬隱身方法
木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。 當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。
在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。
MLaplink 、 PCanywhere 等程式一樣,只是一種遠端管理工具。 而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。
木馬攻擊原理
特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。 木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木馬防禦原理
知道了木馬的攻擊原理和隱身方法,我們就可以採取措施進行防禦了。
1.連接埠掃瞄
連接埠掃瞄是檢查遠端機器有無木馬的最好辦法,連接埠掃瞄的原理非常簡單,掃瞄程式嘗試連接某個連接埠,如果成功,則說明連接埠開放,如果失敗或超過某個特定的時間(逾時),則說明連接埠關閉。但對於驅動程式/動態連結木馬,掃瞄連接是不起作用的。
2.檢視連接
檢視連接埠和連接掃瞄的原理基本相同,不過是在本地電腦上使用netstat -a檢視所有的TCP/UDP連接,檢視連接要比連接埠掃瞄快,但同樣是無法查出驅動程式/動態連結木馬,而且僅能在本地電腦使用。
3.檢查註冊表
上面在討論木馬的啟動方式時已經提到,木馬可以使用註冊表啟動(現在大部分的木馬都是使用註冊表啟動的,至少也把註冊表作為一個自我保護的方式),那麼,我們同樣可以使用檢查註冊表來發現木馬在註冊表裡留下的痕跡。
4.尋找檔案
尋找木馬特定的檔案也是一個常用的方法,木馬的一個特徵檔案是kernl32.exe,另一個是sysexlpr.exe,只要刪除了這兩個檔案,木馬就已經不起作用了。
2007-03-14 19:30:00 補充:
在電腦領域中,特洛伊木馬指的是一種後門程序,是駭客用來盜取其他用戶的個人信息,甚至是遠程控制對方的電腦而加殼製作,然後通過各種手段傳播或者騙取目標用戶執行該程序,以達到盜取密碼等各種數據資料等目的。與病毒相似,木馬程序有很強的隱秘性,隨作業系統啟動而啟動。但不會自我複製,這一點和病毒程序不一樣。
2007-03-14 19:30:27 補充:
一個完整的特洛伊木馬套裝程式含了兩部分:服務端(伺服器部分)和用戶端(控制器部分)。植入對方電腦的是服務端,而駭客正是利用用戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開埠,向指定地點發送資料(如網絡遊戲的密碼,QQ密碼和用戶上網密碼等),駭客甚至可以利用這些打開的埠進入電腦系統。
2007-03-14 19:31:29 補充:
特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的, 它可能看起來是有用或者有趣的計劃(或者至少無害) 對一不懷疑的用戶來說,但是實際上有害當它被執行。 特洛伊木馬不會自動執行,它是暗含在某些用戶感興趣的檔中,用戶下載時附帶的。當用戶執行檔程式時,特洛伊木馬才會運行,資訊或檔才會被破壞和遺失。 特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設置的。
2007-03-14 19:31:51 補充:
特洛伊木馬有兩種,universal and transitive, universal就是可以控制的,而transitive 是不能控制,刻死的操作。木馬程序技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程序的編寫。至今木馬程序已經經歷了四代的改進:
2007-03-14 19:32:13 補充:
第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。 第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。 第三代, 主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟體查殺識別的難度。 第四代 在進程隱藏方面有了很大改動,採用了核心插入式的嵌入方式,利用遠程插入執行緒技術,嵌入DLL執行緒。或者掛接PSAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。 專家相信,第五代木馬很快會出現。
2007-03-14 19:32:31 補充:
木馬的植入通常是利用了作業系統的漏洞,繞過了對方的防禦措施(如防火牆)。中了特洛伊木馬程序的電腦,因為資源被占用,速度會減慢,莫名死機。著名的木馬 Back Orifice (BO) NetBus Pro SUB7 NetSpy 冰河 (木馬) 廣外女生 廣外男生 灰鴿子 蜜蜂大盜
2007-03-14 19:32:49 補充:
如果要知道如何防止木馬請到http://zh.wikipedia.org/w/index.php?title=防火墙&variant=zh-hkhttp://zh.wikipedia.org/w/index.php?title=计算机病毒&variant=zh-hkhttp://zh.wikipedia.org/w/index.php?title=杀毒软件&variant=zh-hk
2007-03-15 3:22 am
木馬程式是一種電腦病毒
2007-03-15 3:22 am
木馬係病毒!!
收錄日期: 2021-04-26 13:24:48
原文連結 [永久失效]:
https://hk.answers.yahoo.com/question/index?qid=20070314000051KK03284