锐客网

  1. 首页 > 生活百科 > it技术 > >

关于windows系统中木马的信息

IT技术木马

Windows系统下常遇的木马预防技巧总结木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件 。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害 。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私 , 甚至远程操控被种者的电脑 。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的 。
木马通常有两个可执行程序:一个是客户端,即控制端 , 另一个是服务端 , 即被控制端 。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马 。木马的服务一旦运行 , 电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的.操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己 , 始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马 。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的 。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的 。
因为DLL文件不能独立运行 , 所以在进程列表中并不会出现DLL 。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马 。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了 。从而木马就又实现了自己的隐蔽性的功能 , 所以 , 预防DLL木马也是相当重要的 。
Win10中了冰河木马怎么处理 Win10中windows系统中木马了冰河木马的解决方法 。
方法如下:
方法一:
如果安装了“冰河”服务端的朋友就很简单了 。首先在自动扫描中输入自己的IPwindows系统中木马,看一下扫描结果是否为“OK”,并且左边的“文件管理器”中会出现自己的IP吗?如果有,在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了 。
方法二:
如果没有“冰河”这个软件朋友也不用着急,请用下面的.方法查找并解除木马 。
运行REGEDIT命令打开注册表编辑器,在KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun查看键值中没有自己不熟悉的自动启动文件,扩展名为EXE 。(一般“冰河”的默认文件名为KERNEL32.EXE,注意此文件的名字可能会被种马的人改变) 。
如果有,那windows系统中木马我们现在开始进行修改,先删除该键值中这一项,再删除RUNDRIVES这个键值 。一般“冰河”用户端程序的自我保护设为:关联TXT文件或EXE文件,关联的文件为:SYSEXPLR.EXE 。
A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框,选择“文件类型” 在“已注册文件类型”框中找到“TXTFILE”这一项,看一下“打开方式”有无变化(一般为:NOTEPAD) , 如果关联对象不是NOTEPAD,选择“编辑”按钮 , 在“操作”框中删除“OPEN”这一项,那关联TXT文件的用户程序就失效了 。
B、如果是关联的EXE文件,那打开注册表编辑器,在HKEY_CLASSES_ROOT.exe中把“默认”的键值随便改成什么(注意看清楚,等会儿要改回来) 。
以上这两步做完后,退出WINDOWS , 在DOS状态下删除该“冰河”用户端程序,重新启动即可 。
注意:要把EXE文件的注册表改回来 。好了,再搜索用木马程序看有没有 。
电脑木马是什么啊?分类:电脑/网络反病毒
解析:
什么是木马?
特洛伊木马(以下简称木马),英文叫做“Trojan house” , 其名称取自希腊神话的特洛伊木马记 。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点 。
所谓隐蔽性是指木马的设计者为windows系统中木马了防止木马被发现 , 会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具 *** 置 , 往往只能望“马”兴叹 。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限 , 包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的 。
从木马的发展来看,基本上可以分为两个阶段 。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识 。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了 。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言 。
参考资料:bbs.51ww/365000/ShowPost.aspx
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人 。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中 。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马 。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天 , 你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议 。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口” 。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的windows系统中木马我写的东西,是进入服务器的80端口 。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的 。黑客不是神仙 , 他也是通过端口进入你的电脑 。
黑客是怎么样进入你的电脑的呢windows系统中木马?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的 。如果你的电脑设置了共享目录 , 那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料 。除了139端口以外 , 如果没有别的端口是开放的,黑客就不能入侵你的个人电脑 。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑 。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑 。举个例子 , 有一种典型的木马软件 , 叫做spy.exe 。如果你不小心运行了spy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它 , 然后,spy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了 。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹 。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵 。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以spy.exe为例 , 现在知道spy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了spy.exe,只要敲敲7306这扇“门”就可以了 。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放 , 如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的spy.exe的版本,那么你的电脑中了spy.exe木马了 。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口 , 已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910 。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道spy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了 , 你现在再用老办法是找不到spy.exe木马了 。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着 , 并且再分析这些开放的端口 。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后 , 找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的 。排除了139端口以外的端口,你可以进一步分析了 , 用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了 。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器 , Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了 , 如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除spy.exe和bo.exe木马,但是不能删除bus木马 。
下面就bus木马为例讲讲删除的经过 。
简单介绍一下bus木马,bus木马的客户端有两种 , 开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节) 。Mring.exe一旦被运行以后 , Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除 。注意了 , Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找 。另外,你可以找包含有“bus”字符的可执行文件,再看字节的长度 , 我查过了,WINDOWS和其他的一些应用软件没有包含“bus”字符的,被你找到的文件多半就是Mring.exe的变种 。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中 , 也不会自动挂到其他程序中 , 于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马 。别的木马被加到了注册表中 , 你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除 。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作 , 一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了 。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了 , 一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了 。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中 , 你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防 。
有的时候知道自己中了bus木马,特别是SysEdit.exe,能发现12345端口被开放 , 并且可以用bus客户端软件进入自己的电脑,却不知道木马在什么地方 。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE , 然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了 。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了 。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道 。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序 , 比如,被开放的端口是7306,就找包含“spy”的可执行程序,三是检视内存,看有没有可以的程序在内存中 。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序 , 另一种情况是,“网友”送给你“好玩”的程序 。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀 。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器 , 你告诉NukeNabber需要监视7306端口,如果有人接触这个端口 , 就马上报警 。在别人看来,你的电脑的7306端口是开放的,但是7306不是由spy控制了 , 当NukeNabber发现有人接触7306端口或者试图进入你的7306端口 , 马上报警 , 你可以在NukeNabber上面看到黑客对你做了些什么 , 黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了 。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你 。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在spy了 。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么
Win32/Trojan.dropper.ed3是什么木马病毒名称:Trojan-Dropper.Win32.Agent.bav
中文名称:“半条命”变种
病毒类型:木马类
文件 MD5:4D13557FE4836AAEF05309AED0401B50
公开范围:完全公开
危害等级:中等
文件长度:197,124 字节
感染系统:Win98以上系统
开发工具:Borland Delphi 6.0 - 7.0 [Overlay]
命名对照:驱逐舰[Trojan.MulDrop.5046]、瑞星[Worm.Cnt.z]
该病毒运行后,病毒衍生文件到系统目录下,更改Explore.exe的BHO对象,间接挂载病毒体 。从而在指定服务器地址下载病毒体到本机运行 , 并利用间软件掩藏自身 。该病毒会造成用户电脑极度缓慢 。
黑客用Trojan.Win32来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的 。
与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动 。2009年1月7日 , 64-bit的Windows 7 Beta(组建7000)被泄漏到网络上 , 并在不少的torrent文件中附带了特洛伊木马病毒 。
扩展资料:
木马病毒是感染计算机最严重的病毒 , 也是黑客进行网络攻击的重要工具 。木马的危害性极大,窃取用户私密信息,威胁人民财产安全 。通过分析木马的攻击原理,详细阐述木马的多种隐藏方式及发现技术 , 采用软件进行木马发现仿真实验 。
实验表明该软件可以成功检测出自启动运行的木马,修改系统服务描述符表的木马和修改动态链接库文件的木马 , 为进一步清除计算机中的木马病毒奠定基础。在2015年病毒数量统计中,木马占病毒总数的53%,是目前感染计算机最严重的病毒 。
而且木马近年来发展迅速,经常被黑客利用,它是一种特殊的病毒,独立存在或隐藏在正常程序中,如果把它当成一个软件来使用,该木马就会植入计算机 , 随后,计算机的控制权就会交到“黑客”手里 。
木马将渗透到用户的计算机系统内,盗取用户的各类账号和密码,窃取各类机密文件,甚至远程控制用户主机 , 对用户的财产安全构成了威胁 , 严重侵害人民和国家的利益 。
过去主流木马病毒在配置时都具有自定义进程名称和自定义端口等功能,但现在的主流木马病毒更先进甚至无进程、无端口 。所以对于此类后门的检测和删除 , 建议使用专业的安全检测工作 。当然也有一些恶意软件和木马病毒在任务管理器里有进程 。
如果怀疑可以将这些新增的陌生进程结束掉 。如果不能确定可疑进程是否是病毒或木马的进程 , 可以把该进程的全名作为关键词 , 放进百度或Google等搜素引擎上搜素,找它的相关资料再判断 。
参考资料来源:百度百科-Trojan.Win32
百度百科-三角木马
木马病毒怎么彻底清除在用电脑windows系统中木马的过程中windows系统中木马,经常会遇到一些木马病毒windows系统中木马,中病毒后windows系统中木马,很多人都会表示用电脑杀毒软件杀毒就可以windows系统中木马了,彻底查杀电脑中的木马病毒 。
电脑:华为MateBook14
系统:Windows10
软件:电脑管家10.0
1、一般电脑管家处理是默认为处理到隔离区的 , 如果不放心的话可以打开病毒查杀功能 , 选择隔离区选项 。
2、然后在隔离区中 , 找到想要彻底删除的病毒或者危险项的文件名称 , 点击选中前面的选项 。
3、然后再去选择右下角的删除按钮,这样的话,就可以保证病毒彻底从你的电脑里面清除出去了 。
【关于windows系统中木马的信息】windows系统中木马的介绍就聊到这里吧 , 感谢你花时间阅读本站内容,更多关于、windows系统中木马的信息别忘了在本站进行查找喔 。

    推荐阅读


    上一篇:老雷在什么服务器直播,老雷直播说了什么

    下一篇:微信小视频直播里讲股票的,微信股票群老师开直播