What is 木馬程式?
How to remove it?
What is 木馬程式?
2007-04-26 1:17 am
回答 (3)
2007-04-26 1:24 am
✔ 最佳答案
特洛伊木馬 (電腦)在電腦領域中,特洛伊木馬指的是一種後門程序,是駭客用來盜取其他用戶的個人信息,甚至是遠程控制對方的電腦而加殼製作,然後通過各種手段傳播或者騙取目標用戶執行該程序,以達到盜取密碼等各種數據資料等目的。與病毒相似,木馬程序有很強的隱秘性,隨作業系統啟動而啟動。但不會自我複製,這一點和病毒程序不一樣。
原理
一個完整的特洛伊木馬套裝程式含了兩部分:服務端(伺服器部分)和用戶端(控制器部分)。植入對方電腦的是服務端,而駭客正是利用用戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開埠,向指定地點發送資料(如網路遊戲的密碼,QQ密碼和用戶上網密碼等),駭客甚至可以利用這些打開的埠進入電腦系統。
特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的, 它可能看起來是有用或者有趣的計畫(或者至少無害) 對一不懷疑的用戶來說,但是實際上有害當它被執行。 特洛伊木馬不會自動執行,它是暗含在某些用戶感興趣的檔中,用戶下載時附帶的。當用戶執行檔程式時,特洛伊木馬才會運行,資訊或檔才會被破壞和遺失。 特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設置的。
特洛伊木馬有兩種,universal and transitive, universal就是可以控制的,而transitive 是不能控制,刻死的操作。
發展
木馬程序技術發展可以說非常迅速。主要是有些年輕人出於好奇,或是急於顯示自己實力,不斷改進木馬程序的編寫。至今木馬程序已經經歷了四代的改進:
第一代,是最原始的木馬程序。主要是簡單的密碼竊取,通過電子郵件發送信息等,具備了木馬最基本的功能。
第二代,在技術上有了很大的進步,冰河是中國木馬的典型代表之一。
第三代, 主要改進在數據傳遞技術方面,出現了ICMP等類型的木馬,利用畸形報文傳遞數據,增加了殺毒軟體查殺識別的難度。
第四代 在進程隱藏方面有了很大改動,採用了核心插入式的嵌入方式,利用遠程插入執行緒技術,嵌入DLL執行緒。或者掛接PSAPI,實現木馬程序的隱藏,甚至在Windows NT/2000下,都達到了良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。
專家相信,第五代木馬很快會出現。
中毒癥狀
木馬的植入通常是利用了作業系統的漏洞,繞過了對方的防禦措施(如防火牆)。中了特洛伊木馬程序的電腦,因為資源被占用,速度會減慢,莫名死機。
解決辦法
特洛伊木馬大部分可以被殺毒軟體識別清除。但很多時候,需要用戶去手動清除某些文件,註冊表項等。 不具有破壞防火牆功能的木馬可以被防火牆攔截。
以下幾款防毒軟件均可以在 Windows 下免費使用,如果不想用盜版軟件,又不願意花錢購買防毒軟件的話,會是一個不錯的選擇。但不要以為免費就一定沒商業版的好,我看過很多報告,這些免費防毒件比一些需要付款的軟件在掃毒上還要強:
AntiVir Personal Edition Classic
avast! 4 Home
AVG Anti-Virus Free Edition
以下是免費防木馬或惡意程式的軟件,
AVG Anti-Spyware Free
Windows® Defender
Spybot Search & Destroy
另外以下是一些老生常談的措施, 來減低感染電腦病毒.
不胡亂下載不知名檔案
不胡亂上不知名的網站
若網站要求閣下做一些動作或決定時, 要先看清楚他要做什麼, 才作決定
安裝防火牆
不胡亂開啟不知名的電郵
不胡亂開啟電郵的附件, 要先掃毒才開
不胡亂開啟朋友傳給你的檔案, 一樣要先掃毒才打開
使用正版軟件.
2007-04-26 4:51 am
木馬程式會想盡一切辦法隱藏自己,
主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。
只要把form的Visible屬性設為False,ShowInTaskBar設為False,程式運行時就不會出現在任務欄中了。
在任務管理器中隱形:將程式設為「系統服務」可以很輕鬆地偽裝自己。
當然它也會偷偷地啟動,駭客當然不會指望用戶每次啟動後點選「木馬」圖示來運行服務端,
「木馬」會在每次用戶啟動時自動裝載。
Windows系統啟動時自動加載應用程式的方法,「木馬」都會用上,
如:啟動組、Win.ini、System.ini、註冊表等都是「木馬」藏身的好地方。
下面具體談談「木馬」是怎樣自動加載的。
在Win.ini文件中,在[WINDOWS]下面,
「run=」和 「load=」是可能加載「木馬」程式的途徑,必須仔細留心它們。
一般情況下,它們的等號後面應該什麼都沒有,
如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的電腦就可能中「木馬」了。
當然你也得看清楚,因為好多「木馬」,
如「AOL Trojan木馬」,它把自身偽裝成 command.exe(真正的系統文件為command.com)文件,
如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)。
在System.ini文件中,在[BOOT]下面有個「shell=文件名」。
正確的文件名應該是「explorer.exe」,
如果不是「explorer.exe」,而是「shell= explorer.exe程式名」,
那麼後面跟著的那個程式就是「木馬」程式,就是說你已經中「木馬」了。
註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,
在點選至:「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」目錄下,
查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,
這裏切記:有的「木馬」程式生成的文件很像系統自身文件,
想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,
它將註冊表「HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindo wsCurrentVersionRun」
下的Explorer鍵值改為Explorer= 「C:WINDOWSexpiorer.ex e」,
「木馬」程式與真正的Explorer之間只有「i」與「l」的差別。
當然在註冊表中還有很多地方都可以隱藏「木馬」程式,
如:「HKEY-CURRENTUSERSoft wareM icrosoftWindowsCurre ntVersionRun」、
「HKEY-USERS****Softwa reMicrosoftWin dowsCurrentVersionRu n」的目錄下都有可能,
最好的辦法就是在「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」
下找到「木馬」程式的文件名,再在整個註冊表中搜索即可。
知道了「木馬」的工作原理,刪除「木馬」就變得很容易,
如果發現有「木馬」存在,最有效的方法就是馬上將電腦與網絡斷開,防止駭客通過網絡對你進行攻擊。
然後編輯win.ini文件,
將[WINDOWS]下面,「run=「木馬」程式」或「load=「木馬」程式」更改為「run=」和「load=」;
編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,
更改為:「shell=explorer.exe」;在註冊表中,用regedit對註冊表進行編輯,
先在「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」下
找到「木馬」程式的文件名,再在整個註冊表中搜索並替換掉「木馬」程式,
有時候還需注意的是:有的「木馬」程式並不是直接將
「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」下的「木馬」鍵值刪除就行了,
因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,
你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。
重新啟動電腦,然後再到註冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了。
基本上通常線上掃毒也會掃木馬...
不過如果你要只要掃木馬的話有個程式還不錯,是免費的唷!但是缺點是官網是英文的,不過主程式可以選擇語言,有中文。(非線上,但是掃的速度很快)
http://www.safer-net working.org/en/downl oad/index.html
下載名為Spybot - Search & Destroy 1.4 - product description的程式再安裝就可以了,我覺得還不錯用。
費爾木馬強力清除助手 http://dl.filseclab. com/down/powerrmv.zi p
解壓縮 PowerRmv.zip 到一個資料夾,然後執行資料夾中的 PowerRmv.exe
你先打入中毒的檔案位置(按右邊「...」瀏覽),
還要記得 勾選「抑制檔案再次生成」,
再按「清除」,
然後一開始會問你要不要通知費爾安全實驗室此病毒,
選「否」,
接下來還會出現一個視窗,
按「是」,
此時檔案應該會被刪掉了。
◎註:此程式會留下一個資料夾在該路徑,這是正常的,不用刪除。
卡巴斯基防毒軟體個人版下載網址:
http://www.kaspersky .com.tw/KL-Downloads /ProductDownloads.ht m
卡巴斯基所提供專門掃除各種病毒(包括木馬在內)的強力清除工具:
http://www.kaspersky .com.tw/KL-Downloads /removaltools.htm
主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。
只要把form的Visible屬性設為False,ShowInTaskBar設為False,程式運行時就不會出現在任務欄中了。
在任務管理器中隱形:將程式設為「系統服務」可以很輕鬆地偽裝自己。
當然它也會偷偷地啟動,駭客當然不會指望用戶每次啟動後點選「木馬」圖示來運行服務端,
「木馬」會在每次用戶啟動時自動裝載。
Windows系統啟動時自動加載應用程式的方法,「木馬」都會用上,
如:啟動組、Win.ini、System.ini、註冊表等都是「木馬」藏身的好地方。
下面具體談談「木馬」是怎樣自動加載的。
在Win.ini文件中,在[WINDOWS]下面,
「run=」和 「load=」是可能加載「木馬」程式的途徑,必須仔細留心它們。
一般情況下,它們的等號後面應該什麼都沒有,
如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的電腦就可能中「木馬」了。
當然你也得看清楚,因為好多「木馬」,
如「AOL Trojan木馬」,它把自身偽裝成 command.exe(真正的系統文件為command.com)文件,
如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)。
在System.ini文件中,在[BOOT]下面有個「shell=文件名」。
正確的文件名應該是「explorer.exe」,
如果不是「explorer.exe」,而是「shell= explorer.exe程式名」,
那麼後面跟著的那個程式就是「木馬」程式,就是說你已經中「木馬」了。
註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,
在點選至:「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」目錄下,
查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,
這裏切記:有的「木馬」程式生成的文件很像系統自身文件,
想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,
它將註冊表「HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindo wsCurrentVersionRun」
下的Explorer鍵值改為Explorer= 「C:WINDOWSexpiorer.ex e」,
「木馬」程式與真正的Explorer之間只有「i」與「l」的差別。
當然在註冊表中還有很多地方都可以隱藏「木馬」程式,
如:「HKEY-CURRENTUSERSoft wareM icrosoftWindowsCurre ntVersionRun」、
「HKEY-USERS****Softwa reMicrosoftWin dowsCurrentVersionRu n」的目錄下都有可能,
最好的辦法就是在「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」
下找到「木馬」程式的文件名,再在整個註冊表中搜索即可。
知道了「木馬」的工作原理,刪除「木馬」就變得很容易,
如果發現有「木馬」存在,最有效的方法就是馬上將電腦與網絡斷開,防止駭客通過網絡對你進行攻擊。
然後編輯win.ini文件,
將[WINDOWS]下面,「run=「木馬」程式」或「load=「木馬」程式」更改為「run=」和「load=」;
編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,
更改為:「shell=explorer.exe」;在註冊表中,用regedit對註冊表進行編輯,
先在「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」下
找到「木馬」程式的文件名,再在整個註冊表中搜索並替換掉「木馬」程式,
有時候還需注意的是:有的「木馬」程式並不是直接將
「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」下的「木馬」鍵值刪除就行了,
因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,
你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。
重新啟動電腦,然後再到註冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了。
基本上通常線上掃毒也會掃木馬...
不過如果你要只要掃木馬的話有個程式還不錯,是免費的唷!但是缺點是官網是英文的,不過主程式可以選擇語言,有中文。(非線上,但是掃的速度很快)
http://www.safer-net working.org/en/downl oad/index.html
下載名為Spybot - Search & Destroy 1.4 - product description的程式再安裝就可以了,我覺得還不錯用。
費爾木馬強力清除助手 http://dl.filseclab. com/down/powerrmv.zi p
解壓縮 PowerRmv.zip 到一個資料夾,然後執行資料夾中的 PowerRmv.exe
你先打入中毒的檔案位置(按右邊「...」瀏覽),
還要記得 勾選「抑制檔案再次生成」,
再按「清除」,
然後一開始會問你要不要通知費爾安全實驗室此病毒,
選「否」,
接下來還會出現一個視窗,
按「是」,
此時檔案應該會被刪掉了。
◎註:此程式會留下一個資料夾在該路徑,這是正常的,不用刪除。
卡巴斯基防毒軟體個人版下載網址:
http://www.kaspersky .com.tw/KL-Downloads /ProductDownloads.ht m
卡巴斯基所提供專門掃除各種病毒(包括木馬在內)的強力清除工具:
http://www.kaspersky .com.tw/KL-Downloads /removaltools.htm
參考: me
2007-04-26 1:59 am
木馬是指一種電腦的電腦病毒的一種,入侵途徑包括了盜版軟件,電子郵件等。令人們防不勝防,它會利用你的電腦漏洞打開一條通道使駭客可以監視你的電腦,拿取你電腦上的檔案,竊取你的密碼等或是利用指令控制已經安裝了木馬的電腦對一些大型網站進行拒絕服務攻擊(DoS [Denial of service attack]) 使被攻擊的網站癱瘓,另外木馬程式也可以使你的電腦無故當機。要保障你的電腦安全,你必須在你的電腦上安裝防火牆軟件及防毒軟件,並啟動它們的自動防護功能(Auto protection function ) 使你的電腦安全,但是在新病毒出現而防毒軟件未推出該病毒的定義 ,你的電腦仍是會中毒,但是如果你在你的電腦安裝一個叫 System Safety Monitor 即可完全監控你電腦的一舉一動了。
建議你的防毒軟件:
Avast! 4.7.986 (Support Win98/2000/ME/XP/Vista)(Freeware)
www.avast.com/
System Safety Monitor
www.syssafety.com/
建議你的防毒軟件:
Avast! 4.7.986 (Support Win98/2000/ME/XP/Vista)(Freeware)
www.avast.com/
System Safety Monitor
www.syssafety.com/
收錄日期: 2021-04-13 13:54:41
原文連結 [永久失效]:
https://hk.answers.yahoo.com/question/index?qid=20070425000051KK02316