木马怎么画
先画木马的头部,大大的头,然后画上身体
两只木脚,画上鬃毛和尾巴,下面画上一个底座,
鬃毛涂上毛发纹理,然后给木马涂上浅棕色的身体,
鬃毛、尾巴和底座,涂上深棕色就可以了。
木马,全称为特洛伊木马,是来源于古希腊神话故事的一个词语。
在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。后人常用"特洛伊木马"这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。
现在有的病毒伪装成一个实用工具或者一个可爱的游戏甚至一个位图文件等等,这会诱使用户将其安装在PC或者服务器上。这样的病毒也被称为"特洛伊木马"(trojan horse),简称"木马"
程序流程图怎么画
流程图的使用图形表示算法的思路是一种极好的 *** ,因为千言万语不如一张图。程序流程图的画法是怎样的。我给大家整理了关于程序流程图怎么画,希望你们喜欢!
程序流程图怎么画
一、抓特征
组成任何一个程序框图的三要素是“四框”、“一线”加“文字说明”,所以首先要抓住它们各自的特征与意义.
“四框”的特征与意义:①终端框(起止框)的特征是圆角矩形,表示算法的开始和结束,是任何流程不可缺少的;②输入、输出框的特征是平行四边形,表示算法中输入和输出的信息,可放在任何需输入、输出的位置;③处理框(执行框)的特征是方角矩形,表示赋值和计算等,算法中要处理的数据或计算可分别写在不同的处理框内;④判断框的特征是菱形,用在当算法要求对两个不同的结果进行判断时.
“一线”的特征与意义:流程线的特征是带有方向箭头的线,用以连接程序框,直观地表示算法的流程,任意两个程序框之间都存在流程线.
“文字”的特征与意义:在框图内加以说明的文字、算式等,也是每个框图不可缺少的内容.
二、明规则
程序框图的画法规则是:①用标准,即使用标准的框图符号;②按顺序,即框图一般从上到下、从左到右的顺序画;③看出入,即大多数程序框图的图形符号只有一个入口和一个出口,判断框是唯一具有超过一个出口的符号,条件结构中要在出口处标明“是”或“否”;④明循环,即循环结构要注意变量的初始值及循环终止条件;⑤辨流向,即流程线的箭头表示执行的方向,不可缺少;⑥简说明,即在图形符号内的描述语言要简练清晰.
三、依步骤
画程序框图的总体步骤是:之一步,先设计算法,因为算法的设计是画程序框图的基础,所以在画程序框图前,首先写出相应的算法步骤,并分析算法需要哪种基本逻辑结构(顺序结构、条件结构、循环结构);第二步,再把算法步骤转化为对应的程序框图,在这种转化过程中往往需要考虑很多细节,是一个将算法“细化”的过程. 具体画法步骤请看例题.
例1 某商场进行优惠促销:若购物金额x在500元以上,打8折;若购物金额x在300元以上,打9折;否则,不打折. 设计算法的程序框图,要求输入购物金额x,即能输出实际交款额.
算法分析:由题意,实际交款额y与购物金额x之间的函数关系是?x,x≤300?y=?0.9x, 300x≤500?0.8x,x500?,因为它需对 进 行三次判断,所以算法含有两个条件结构,写出算法步骤如下:之一步,输入购物金额x.
第二步,判断x≤300吗?若是,则y=x;否则,进入第三步. 第三步,判断x≤500吗?若是,则y=0.9x;否则,y=0.8x. 第四步,输出y,结束算法.
画法步骤:①画顺序结构图,即起止框及输入框,并用流程线连接(如图①);②画条件结构图,即画判断框并
判断x≤300?若是,则画处理框并填入
“y=x”,否则流向下一个判断框(如图
②);③再画条件结构图,即画判断框并
判断x≤500?若是, 则画处理框
“y=0.9x”,否则画处理框“y=0.8x”
(如图③);④画一个总的输出框并输出
y,以及起止框表示算法结束(如图④).
最后,合成整个算法程序框图如图1.
点评:画程序框图的关键是分析算法步骤,因为程序框图是算法步骤的图形表示,所以算法步骤越明确画图就越容易;另外,如分段函数这种需要对条件进行判断的算法设计中,宜使用条件结构.
例2 若1+3+5+ +n2008,试设计算法的程序框图,寻找满足条件的最小奇数n.
算法分析:因为涉及类加问题,所以算法含有循环结构,写出直到型
循环结构的算法步骤如下:
之一步,令S=0,i=1.
第二步,计算S=S+i,i=i+2.
第三步,判断S2008吗?若是,则输出n-2,结束算法;否则,返回第二步.
画法步骤:①画顺序结构图,即起止框及两个处理框,并分别填入循环初始条件(如图①);②画循环结构图,先画循环体
即两个处理框(一个累加,一个计数),再画循环终
止条件,即判断框并判断S2008?若是,则输出
n-2,否则,流向循环体之前进行再循环(如图②);
③画输出框输出n-2,以及起止框表示算法结束(如
图③).
最后,合成整个算法程序框图如图2.
点评:循环结构必包含顺序结构和条件结构,所以本题具有一定的典型性和示范性;如累加、类乘等需要反复执行的算法设计中,宜使用循环结构,这时要密切注意“循环体”、“循环变量”和“循环终止条件”三个重要组成部分的框图设计.
流程图的相关符号
数据流程图数据流程图表示求解某一问题的数据通路。同时规定了处理的主要阶段和所用的各种数据媒体。
数据流程图包括:
a. 指明数据存在的数据符号,这些数据符号也可指明该数据所使用的媒体;
b. 指明对数据执行的处理的处理符号,这些符号也可指明该处理所用到的机器功能;
c. 指明几个处理和(或)数据媒体之间的数据流的流线符号;
d. 便于读.写数据流程图的特殊符号。
在处理符号的前后都应是数据符号.数据流程图以数据符号开始和结束(除9.4规定的特殊符号外)
程序流程图
程序流程图表示程序中的操作顺序。
程序流程图包括:
a. 指明实际处理操作的处理符号,它包括根据逻辑条件确定要执行的路径的符号;
b. 指明控制流的流线符号;
c. 便于读.写程序流程图的特殊符号。
系统流程图
系统流程图表示系统的操作控制和数据流。
系统流程图包括:
a. 指明数据存在的数据符号,这些数据符号也可指明该数据所使用的媒体;
b. 定义要执行的逻辑路径以及指明对数据执行的操作的处理符号;
c. 指明各处理和(或)数据媒体间数据流的流线符号;
d. 便于读.写系统流程图的特殊符号。
程序 *** 图
程序 *** 图表示程序激活路径和程序与相关数据的相互作用.在系统流程图中,一个程序可能在
多个控制流中出现;但在程序 *** 图中,每个程序仅出现一次。
程序 *** 图包括;
a. 指明数据存在的数据符号;
b. 指明对数据执行的操作的处理符号;
c. 表明各处理的激活和处理与数据间流向的流线符号;
d. 便于读.写程序 *** 图的特殊符号。
系统资源图
系统资源图表示适合于一个问题或一组问题求解的数据单元和处理单元的配置。
系统资源图包括:
a. 表明输入.输出或存储设备的数据符号;
b. 表示处理器(如中央处理机.通道等)的处理符号;
c. 表示数据设备和处理器间的数据传输以及处理器之间的控制传送的流线符号;
d. 便于读.写系统资源图的特殊符号。
程序流程图怎么画相关 文章 :
1.Word如何绘制流程图
2.word怎么画流程图的两种 ***
3.wps文字如何绘制流程图图文教程
4.怎么在Word2010中绘制流程图
5.程序流程图的画法
诸葛亮的木马计中木马的结构示意图和运动原理?
诸葛亮的木马计中木马(木牛)的结构示意图如下:
诸葛亮的木马计中木马(木牛)的运动原理:车本身是一根以轴为支点的杠杆,当人们按、抬车辕时,车体就会象跷跷板一样上下运动,操作的人并不费力。人在前面按下辕时,体上的轴就会把木杠往前拖,而抬起辕时,木杠就会支地,使车像撑船一样往前行。如此往复车就持续前进了。
木马结构
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
揭开木马的神秘面纱
[color=Red][b]声明:[/b][/color]本内容转载于网上!作者请勿见怪!
[color=Blue][b]前 言[/b][/color]
在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 冰河为例,向大家剖析木马的基本原理,为大家揭开木马的神秘面纱。
木马冰河是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。
[color=Blue][b]一、基础篇(揭开木马的神秘面纱)[/b][/color]
无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个 *** 客户/服务程序。那么,就让我们从 *** 客户/服务程序的编写开始。
1.基本概念:
*** 客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机,G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!甚至还有人跟我争得面红耳赤,昏倒!!)
2.程序实现:
在VB中,可以使用Winsock控件来编写 *** 客户/服务程序, 实现 *** 如下:
(其中,G_Server和G_Client均为Winsock控件)
服务端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
客户端:
G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦)
(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配)
G_Client.Connect (调用Winsock控件的连接 *** )
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)
如果客户断开连接,则关闭连接并重新监听端口
Private Sub G_Server_Close()
G_Server.Close (关闭连接)
G_Server.Listen (再次监听)
End Sub
其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行命令......
[color=Blue][b]二、控制篇(木马控制了这个世界!)[/b][/color]
由于Win98开放了所有的权限给用户,因此,以用户权限运行的木马程序几乎可以控制一切,让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件)
因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述, 主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数, 请查询WinAPI手册。
1.远程监控(控制对方鼠标、键盘,并监视对方屏幕)
keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。
mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧)
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)
dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下
MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起
MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下
MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下
MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下
MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下
dx,dy:
MOUSEEVENTF_ABSOLUTE中的鼠标坐标
2.记录各种口令信息(出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问)
3.获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName函数
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)
(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)
(取Windows安装目录)
(友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作)
e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx
f.当前显示分辨率
Width = screen.Width \ screen.TwipsPerPixelX
Height= screen.Height \ screen.TwipsPerPixelY
其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表
比如计算机名和计算机标识吧:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP
中的Comment,ComputerName和WorkGroup
注册公司和用户名:
HKEY_USERS\.DEFAULT\Software\Microsoft\MS Setup (ACME)\UserInfo
至于如何取得注册表键值请看第6部分
4.限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(ByVal uFlags,0)
当uFlags=0 EWX_LOGOFF 中止进程,然后注销
=1 EWX_SHUTDOWN 关掉系统电源
=2 EWX_REBOOT 重新引导系统
=4 EWX_FORCE 强迫中止没有响应的进程
b.锁定鼠标
ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以
注:RECT是一个矩形,定义如下:
Type RECT
Left As Long
Top As Long
Right As Long
Bottom As Long
End Type
c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的......
d.让对方掉线 RasHangUp......
e.终止进程 ExitProcess......
f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口
5.远程文件操作
无论在哪种编程语言里, 文件操作功能都是比较简单的, 在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现
6.注册表操作
在VB中只要Set RegEdit=CreateObject("WScript.Shell")
就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)
记住,注册表的键值要写全路径,否则会出错的。
7.发送信息
很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。
8.点对点通讯
呵呵,这个嘛随便去看看什么聊天软件就行了
(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东,困惑......)
9.换墙纸
Call SystemParametersInfo(20,0,"BMP路径名称",H1)
值得注意的是,如果使用了Active Desktop,换墙纸有可能会失败,遇到这种问题,请不要找冰河和我,去找比尔盖子吧。
[color=Blue][b]三、潜行篇(Windows,一个捉迷藏的大森林)[/b][/color]
木马并不是合法的 *** 服务程序(即使你是把木马装在女朋友的机子上,也是不合法的,当然,这种行为我可以理解,呵呵),因此,它必须想尽一切办法隐藏自己,好在,Windows是一个捉迷藏的大森林!
1、在任务栏中隐藏自己:
这是最基本的了,如果连这个都做不到......(想象一下,如果Windows的任务栏里出现一个国际象棋中木马的图标...@#$%!#@$...也太嚣张了吧!)
在VB中,只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。
2、在任务管理器中隐形:(就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程)
这个有点难度,不过还是难不倒我们,将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。
在VB中如下的代码可以实现这一功能:
Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long
Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long
(以上为声明)
Private Sub Form_Load()
RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务)
End Sub
Private Sub Form_Unload()
RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务)
End Sub
3、如何悄没声息地启动:
你当然不会指望用户每次启动后点击木马图标来运行服务端,木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端(之一重要的是如何让对方中木马,嘿嘿,这部分的内容将在后面提到)
Windows支持多种在系统启动时自动加载应用程序的 *** (简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种 *** 确保你不能摆脱它(怎么听起来有点死缠烂打呀....哎呦,谁呀谁呀,那什么黄鑫,不要拿鸡蛋扔我!)首先,冰河会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE键值中加上了system\kernl32.exe(system是系统目录), 其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:\windows(这个会随你windows的安装目录变化而变化)下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?), sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)
4、端口
木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露; 而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现)
5.最新的隐身技术
目前,除了冰河使用的隐身技术外,更新、更隐蔽的 *** 已经出现,那就是-驱动程序及动态链接库技术(冰河3.0会采用这种 *** 吗?)。
驱动程序及动态链接库技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听端口,而采用替代系统功能的 *** (改写驱动程序或动态链接库)。这样做的结果是:系统中没有增加新的文件(所以不能用扫描的 *** 查杀)、不需要打开新的端口(所以不能用端口监视的 *** 查杀)、没有新的进程(所以使用进程查看的 *** 发现不了它,也不能用kill进程的 *** 终止它的运行)。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......
事实上,我已经看到过几个这样类型的木马,其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪)
[color=Blue][b]四、XX篇(魔高一尺、道高一丈)[/b][/color]
本文主要是探讨木马的基本原理, 木马的XX并非是本文的重点(也不是我的长处),具体的XX请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载 *** 做一个小小的总结:
1.端口扫描
端口扫描是检查远程机器有无木马的更好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)
但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。
4.查找文件
查找木马特定的文件也是一个常用的 *** (这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样(废话,Server端程序都没了,还能干嘛?)
黄鑫:"咳咳,不是那么简单哦......"(狡猾地笑)
是的, 如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上, *** 有三种:
a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)
b.在我的电脑-查看-文件夹选项-文件类型中编辑
c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中始终用该程序打开......,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)
黄鑫:"我...我笑不起来了 :( "
提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!
5.杀病毒软件
之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此, 不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)
另外,对于驱动程序/动态链接库木马,有一种 *** 可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)
[color=Blue][b]五、狡诈篇(只要你的一点点疏忽......)[/b][/color]
只要你有一点点的疏忽,就有可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。
1.网上“帮”人种植木马的伎俩主要有以下的几条
a.软哄硬骗法;
这个 *** 很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭, 有的......反正目的都一样,就是让你去运行一个木马的服务端。
b.组装合成法
就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。
c.改名换姓法
这个 *** 出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体 *** 是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)
d.愿者上钩法
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗;奉劝:不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意...(什么乱七八糟呀)
2. 几点注意(一些陈词滥调)
a.不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点,这些站点一般都有专人杀马杀毒;
b.不要过于相信别人,不能随便运行别人给的软件;
(特别是认识的,不要以为认识了就安全了,就是认识的人才会给你装木马,哈哈,挑拨离间......)
c.经常检查自己的系统文件、注册表、端口什么的,经常去安全站点查看最新的木马公告;
d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的)
e.如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪,要小心;
(我常常会突然关掉所有连接,然后盯著我的猫,你也可以试试,要是这时数据传送灯还在拼命闪,恭喜,你中木马了,快逃吧!)
[color=Blue][b]六、后 记[/b][/color]
这篇文章的问世首先要感谢冰河的作者-黄鑫,我对他说:“我要写篇关于冰河的文章”,他说:“写呗”,然后就有了这篇文章的初稿(黄鑫:“不是吧,你答应要用稿费请我吃饭的,不要赖哦”),随后,黄鑫给我提了很多建议并提供了不少资料,谢谢冰河。
其次是西祠的yagami,他是公认的木马专家,在我写作期间,他不仅在木马的检测、杀除方面提出了不少自己的看法,还给我找来了几个木马的源代码作为参考,不过这个家伙实在太忙,所以想看《特洛伊木马看过来》的朋友就只有耐心地等待了。
第三个值得一提的家伙是武 *** ,我的初稿一出来,他就忙不迭地贴出去了,当时我很狼狈,只能加紧写,争取早日完成,赶快把漏洞百出的初稿换下来,要不然,嘿嘿,估计大家也要等个一年半载的才能看到这篇文章了。
这篇文章的初稿出来以后,有很多朋友问:为什么不用C++,而要用VB来写木马的源码说明呢?呵呵,其一是我很懒,VB比 VC要容易多了,还不会把windows搞死机(我用VC写程序曾经把系统搞崩溃过的:P);其二,本文中能用API的,我基本上都用了,VB只是很小的一块, WINAPI嘛,移植起来是很容易的;其三,正如我前面强调的,本文只是对木马的结构和原理进行一番讨论,并非教人如何编写木马程序,要知道,公安部已经正式下文:在他人计算机内下毒的要处以刑事处分。相比而言,VB代码的危害性要小很多的(如果完全用VB做一个冰河,大概要一兆多,还不连那些控件和动态链接库文件,呵呵,这么庞大的程序,能 悄 悄 地在别人的机子里捣鬼吗?)
最后,作为冰河的朋友,我希望大家能抱著学术的态度来看这篇文章,同样能抱著学术的态度来看待冰河木马,不要用冰河做坏事,我替黄鑫先谢谢你了!(监视自己的女朋友不算,不过冰河不会对因为使用冰河导致和女友吵架直至分手负任何责任)
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
0条大神的评论