隐藏进程的木马程序有哪些类型_隐藏进程的木马程序有哪些

hacker|
76

木马会隐藏进程?原理

由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。

小知识:

“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪

解决办法:现在下载个360安全卫士,为什么推荐它呢?由于它跟卡吧斯基联手,下一个安全卫士能免费试用三个月卡吧斯基,这样你的问题就能解决。

下载安全卫士后它再把卡吧斯基装上,这在安全卫士杀马程序就能操作的,无须到网站上下,方便简洁。下完后它会提示你把现有的杀毒软件谢载掉,把它谢完重启后再装卡吧斯基,最后装完升级,重启进入安全模式。这样差不多能百分百把木马干掉,我还没试过这方法不爽的。你试试吧

怎样让木马隐藏的更好?

一.躲过杀毒软件,悄无声息进入系统

木马要进入用户系统,首先要过杀毒软件这一关。否则一旦杀毒软件报警,木马就无隐蔽性可言了,立马被杀毒软件赶出系统。因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己,比较常见的方法有:寄宿于正常文件,木马加壳加密,修改木马特征码。

寄宿于正常文件

这个方法就是将木马程序与正常的文件捆绑在一起,捆绑后会生成一个可执行文件,当运行这个可执行文件时,正常文件和木马程序都会同时运行,这样木马就可以隐藏自己,悄悄进入用户的系统。要让木马实现这样的效果比较简单,只需要下载一个文件捆绑器即可,这里我们以木马老大“灰鸽子”出口的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮,选择一个正常的可执行文件,例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来。需要捆绑的文件添加完成后,我们可以在“捆绑器”下方为捆绑后生成的文件指定一个文件图标。最后单击“捆绑文件”,即可将两个文件捆绑成一个可执行文件。

虽然这种方法比较简单,但是效果不佳,碰上杀毒能力强劲的杀毒软件,木马还是会被逮个正着。

二.木马加壳加密

“壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。当使用完毕后,壳又会将程序进行加密,整个过程都是在壳的保护过程中进行的。

正因为壳的性质,木马会进行加壳操作以使自身得到加密,这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎,增强了加壳程序的检测,对于加过壳的程序,杀毒软件会先将其脱壳,再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件,那么还是很难逃过杀毒软件的查杀的,除非使用一些冷门的加壳软件。

修改木马特征码

这应该是最为有效的躲避杀毒软件的方法。我们都知道,杀毒软件判定这个程序是否是病毒是通过特征码来决定的,如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号,那么就判定它是病毒。根据这个原理,我们是否只要让木马的代码与杀毒软件的特征对不上号,就可以躲过杀毒软件的查杀呢?答案是肯定的,修改木马的特征码需要使用16进制编辑器,例如UltraEdit、Winhex等。修改特征码可以采用两种方法:1、直接修改特征码:用16进制编辑器打开木马后,将其中的特征码都替换为0;2、增加跳转指令:在木马特征码处增加一条跳转指令,让程序运行到该处时跳到下一段代码,这样做的目的是使杀毒软件检测时跳过这段代码的检测。

防范:在这一部分,木马的隐藏手段对我们的威胁还是比较小的。只要有足够的安全意识,就可以将木马拒之门外。

首先我们来看看如何对付经过捆绑的木马文件。由于捆绑文件是由两个文件合并生成的,虽然我们只能看到一个文件,但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上钩,这就表示文件被捆绑了。

至于对木马程序进行加壳,曾经是很流行的一种木马隐藏手段,但是随着杀毒软件的升级,木马已经很难再有效地利用这种手段。根据壳的原理我们可以得知,加壳木马运行后,会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。

如果唯一能对杀毒软件造成一点危害的,就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件,安装两款杀毒也是一个不错的办法。

三.隐藏窗口、设置文件属性、自我删除

隐藏窗口

木马的服务端程序是一个可执行程序,和我们在Windows上使用的绝大多数的软件相同,都是标准的Win32程序。不同的是,我们运行普通的可执行程序时,会出现软件窗口,我们可以在这个软件窗口中进行操作。而木马的服务端运行后,却没有出现窗口,这是因为木马服务端程序在编写的过程中将其窗口属性设置为隐藏,也就是说,木马服务端运行后的窗口是存在的,只是我们无法看到而已。

设置文件属性

木马为了隐藏在用户系统中生成的文件,通常会设置文件的属性为“隐藏”和“系统”,这样我们就无法在普通模式下看到木马的文件。

自我删除

自我删除是木马最初就具有的一种功能,当运行木马服务端程序后,服务端程序会将自身删除。这样做的目的是清除留下的痕迹,达到隐藏自身的效果。

防范:隐藏窗口和删除自身是木马服务端最常用的功能,虽然可以在一定程度上隐藏自己,但是也会因此而暴露自己。当我们双击一个可执行程序,结果没有出现任何窗口,或者运行后这个可执行文件消失了。那么我们很有可能中了木马,因为这是运行木马服务端最基本的两个特征。

设置文件属性是木马和病毒乐此不疲的隐藏手段,虽然手法简单,但效果不错。破解的方法也比较简单,点击资源管理器的“工具”菜单→“文件夹选项”,切换到“查看”标签,将“隐藏受保护的操作系统文件”前面的钩去掉,同时选择“显示所有文件和文件夹”选项,即可让隐藏的木马文件现形。

四.进程隐藏,遁地于无形

稍懂得安全保护知识的朋友都会通过任务管理器查看是否有可疑进程,以此确定木马的存在。不过随着木马编写技术的提高,在任务管理器中查找木马的方法不再是100%的有效。通过Hook技术编写的木马可以实现进程的隐藏和进程的插入。即使木马在系统中运行,我们在任务管理器中也只能看到正常的进程,而无法看到木马的进程。在了解这种隐藏技术之前,我们有必要先了解一下什么是Hook。

什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应,木马程序便抢在函数返回前对结果进行了修改。

传统的进程隐藏技术

在Windows98系统中有一种能将进程注册为服务进程的技术。这种技术称为RegisterServiceProcess。通过这种技术,任何程序的进程都能将自己注册为服务进程,也就是说木马可以将自己的进程注册为服务进程。而服务进程在Windows98中的任务管理器中是不显示的。这样我们就无法通过任务管理器找到木马的进程。

通过Hook的进程隐藏

传统的进程隐藏技术到了Windows2000以后就毫无用武之地,因为在Windows2000以后的系统中,服务进程也是在任务管理器中显示的,例如svchost.exe进程,该进程是一个服务进程,我们可以在Windows2000的任务管理器中看到,而在Windows98下则不可以。此路不通,另寻他路。传统进程隐藏技术落后后,木马又转而使用Hook技术的进程隐藏。

新型的进程隐藏技术基本都是通过Hook来实现的。例如我们熟悉的灰鸽子木马,其通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数。由于灰鸽子事先对该API函数进行了Hook,因此“任务管理器”返回给我们的信息是不真实的,是被Hook过的信息,而有关木马的进程信息已经被悄悄的处理掉了。

防范:使用“Windows优化大师”集成的“进程管理”工具。运行“Windows优化大师”→“系统性能优化”→“系统安全优化”→“进程管理”。在其中选择一个进程,然后将下方的进程状态切换到“模块列表”标签,一般的隐藏进程都会在这里现形。

至于采用Hook技术的进程隐藏,我们无法使用一般的工具来检查,不过有一款被喻为“反黑之刃”的软件──Icesword,可以将通过Hook技术隐藏的木马进程统统挖掘出来。Icesword我们曾经做过专门的介绍,在此不在阐述。用Icesword查看隐藏进程方法:运行Icesword,单击“进程”按钮即可。隐藏进程将会以红色字体显示。

特洛衣木马的典故是什么

请参考如下资料,希望对你有所帮助

特洛伊木马(Trojan Horse)。

“特洛伊木马”这一词最早出先在希腊神话传说中。

相传在3000年前,在一次希腊战争中。

麦尼劳斯(人名)派兵讨伐特洛伊(王国),但久攻不下。

他们想出了一个主意:首先他们假装被打败,然后留下一个木马。

而木马里面却藏着最强悍的勇士!最后等时间一到,木马里的勇士全部冲出来把敌人打败了!

这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里,掩饰真正的企图。

至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。

黑客程序里的特洛伊木马有以下的特点:

(1)主程序有两个,一个是服务端,另一个是控制端。

(2)服务端需要在主机执行。

(3)一般特洛伊木马程序都是隐蔽的进程。

(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。

而服务端主机在接受命令后,会执行相应的任务。

(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)

在许多人眼中,特洛伊木马是一种病毒。

其实特洛伊木马并不是一种病毒,它没有完全具备病毒的性质。(包括:转播,感染文件等。)

特洛伊木马程序的发展历史:

第一代木马:控制端 —— 连接 —— 服务端

特点:属于被动型木马。

能上传,下载,修改注册表,得到内存密码等。

典型木马:冰河,NetSpy,back orifice(简称:BO)等。

第二代木马:服务端 —— 连接 —— 控制端

特点:属于主动型木马。

隐蔽性更强,有利用ICMP协议隐藏端口的,

有利用DLL(动态连接库)隐藏进程的,甚至出现能传播的木马。

典型木马:网络神偷,广外女生等。(反弹端口型木马)

目前几乎所有的后门型木马都参考特洛伊木马而来。

特洛伊木马的性质?

木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。

这种木马是可以在任何盘符的,当然也包括系统盘,

你可以访问腾讯电脑管家官网,下载安装一个电脑管家

使用电脑管家的杀毒功能来查杀一下,就可以清除它们了

0条大神的评论

发表评论