关于木马的特征和规则

vebee

关于木马的特征和规则

请问各位，木马或者是危险软件的特征或者行为具体一点是哪些？

我不太懂 谢谢


最好是详细一点

ps： 我是指加载驱动，修改主页这样的行为，哪位例举一下，越详细越好

或者说什么的行为我们判断为木马或者恶意软件？

[ 本帖最后由 vebee 于 2009-5-12 13:57 编辑 ]

月光下的忍者

各种各样，木马病毒百花齐放~

没有做不到，只有想不到~

所以童鞋们才来到了HIPS区~

HIPS的精髓：阻止一切，例外放行~

只放行需要的，其它的任由它千变万化都被阻止了~

vebee

就是不知道 是什么行为

嘿嘿  新人 小菜


不好意思  

阁下就是月光mm吧

月光下的忍者

那我就随便举一个很常见的说吧~

先钻进系统文件夹某个地方运行，或者插入到某个进程实现开机启动和绕过防火墙~

如果没有插入到某个进程则属于添加开机启动项的低级木马~

可以潜伏，也可以保持运行，可以修改你QQ程序，也可以等你运行后进程访问修改~

当然也可以键盘记录，可能会产生一个LOG文件，当然也可以截屏~

等等等等各种各样的都有可能……最后将盗取的内容发送出去~

加载驱动是为了提高权限，便可以结束你的任何软件（包括安软）~

修改主页很可能是那个主页挂马，你一开浏览器就可以让你中上，也可能是流氓广告~

xxl

"Trojanhouse"中文译为“特洛伊木马”，简称“木马”。是一种基于远程控制的黑客工具，基本过程是服务端向控制端发送命令，然后服务端运行这些命令，因而具有非授权性和隐藏性，非授权性指控制器与服务器连接，控制器享有大部分操作权限，如修改，添加，删除，修改注册表，控制鼠标，键盘等，这些权利并非服务器赋予，而是木马自行窃取的。
隐藏一般分为：（1）断口隐藏：隐藏于断口，等待命令，激活。如冰河，subseven。
（2）进程隐藏：拦截系统调用的服务，替代系统功能，嵌如操作系统之中，能看到，但无法删除，它一般只是用DLL文件来监听。
（3）反弹式木马：防火墙对进入的连接检查非常严格，但对于连出的却疏于防范，在这种情况下尽管一般的传统性木马都不能入侵这些防火墙开启的服务器，也不能入侵局域网主机，因为局域网通过代理上网的电脑，多台共用代理服务，本地没有独立互连网IP，所以传统性木马也不能入侵，此时，一种与一般木马工作原理相反的木马——反弹式木马，它威力极大，由于它是主动连接的，所以一般的防火墙对它无能为力。例如：网络神偷就是这样。
（4）溢出植入性木马，它主要针对系统溢出漏洞，植入木马。
        目前常见的木马有断口隐藏木马和进程隐藏木马，进程隐藏木马已经危害到了 Windows 操作系统安全和系统的稳定性。微软下一代操作系统将会用DLL数字签名，校验技术等，预计木马DLL的时代很快就会结束。希望如此。

xxl

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：

1、隐蔽性是其首要的特征

如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：

a、不产生图标

它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。

xxl

木马的关键是能以欺骗的方式进入被入侵的计算机,并可以打开系统的端口,这样其client端就可以与其连接,从而得到系统的控制权.
有的木马具有非常高的AI！木马是利用系统的漏洞、端口进入到系统中进行危险操作的东西！

木马的出现让我们损失的不仅仅是电脑控制权，更多的是隐私、金钱甚至是名誉。防范木马已经成为安全领域中最重要的问题之一。可目前各大杀毒厂商还停止在病毒库查杀的方式上，让我们总是慢木马一步。而动辄手工清除木马的教程都要几大篇，其实只要我们具备一些基本的安全知识，完全可以防住木马攻击。一、认识木马
　　从本质上说，木马就是一种远程控制软件。不过远程控制软件也有分类。一般来说就是名正言顺的帮你远程管理和设置电脑的软件，如Windows XP自带的远程协助功能，这类软件在运行时，都会在系统任务栏中出现，明确的告诉用户当前系统处于被控制状态；而木马则会偷偷潜入你的电脑进行破坏，并通过修改注册表、捆绑在正常程序上的方式运行，使你难觅其踪迹。

　　一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027等，QQ会打开4000、4001……等端口，我们可以使用netstat -an命令查看系统当前的端口状态。

木马与普通远程控制软件另外一个不同点在于，木马实现的远程控制功能更为丰富，其不仅能够实现一般远程控制软件的功能，还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。而且你还可能成为养马者的帮凶，养马者还可能会使用你的机器去攻击别人，让你来背黑锅。

二、木马传播途径
　　一般来说，木马会通过以下几种方式传播：

　　最常见的就是利用聊天软件，例如你的QQ好友中了某种木马，这个木马很有可能在好友的机器上运行QQ，并发一条消息给你，诱使你打开某个链接或运行某个程序，如果你不慎点击或运行，木马就会偷偷跑进来。

　　另外一种流行的方法是文件捆绑，如与图片文件捆绑，当你浏览图片的时候，木马也会偷偷溜达进来；网页里养马也是一种常见的方法，黑客把做好的木马放到网页上，并诱使你打开，你只要浏览这个页面就可能中招。

　　最后一种常用方法是网吧种植，网吧的机器安全性差，黑客还可以直接在机器上做手脚，所以网吧中带马的机器很多。在网吧上网时受到木马攻击的几率也很大。而且上边这些方法可能还会联合行动，组合在一起对你进行攻击。

　　还有一种是与网页结合，利用代码把木马嵌入到网页，当访问网页时就会中招。

三、检测木马

　　对于本地电脑，可以通过以下方式查看是否含有木马：

　　首先是查看开放端口，作为远程控制软件，木马同样具备远程控制软件的特征。为了与其主人联系，它必须给自己开道门(即端口)，因此我们可以通过查看机器开放的端口，来判断是否有木马经过。通过上面说到的netstat -an命令即可，其中“ESTABLISHED”表示已经建立连接的端口“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子，如7626(冰河木马)，54320(Back Orifice 2000)等。

　　然后查看注册表，为了实现随系统启动等功能，木马都会对注册表进行修改，我们可以通过查看注册表来寻找木马的痕迹，在“运行”中输入“regedit”，回车后打开注册表编辑器，

　　定位到：HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下，分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键，检查里边是否有可疑的内容。

再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下，分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序，就要提高警惕了。

　　再查看系统配置文件，很多木马文件都会修改系统文件，而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”，回车后会打开“Windows”文件夹，找到里边的win.ini文件，在里边搜索“windows”字段，如果找到形如“load=file.exe，run=file.exe”这样的语句(file.exe为木马程序名)，就要格外小心了，这很可能是木马的主程序。类似的，在system.ini文件中搜索“boot”字段，找到里边的“Shell=ABC.exe”，默认应为“Shell=Explorer.exe”，如果是其他程序则也可能是中了木马。

　　除此之外，你还可以通过查看系统进程和使用专用木马检测软件的方法，来推断系统中是否存在木马。

四、木马防御
　　mshta.exe是执行hta文件的，一些网站上有恶意hta文件都是通过这个程序来运行。在系统中搜索mshta.exe文件，将其改名。再在“运行”中输入“%windows%coMMand”，将里边debug.exe和ftp.exe也改名。

　　打开注册表编辑器，定位到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ，在里边找到“Active Setup controls”子键(如没有需手动建立)，再在其下创建新子键，命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C}，在右侧的空白处单击鼠标右键，选择“新键”→“DWORD值”，键名为“Compatibility”，设定键值为“0x00000400”即可。

1688388728

很详细

vebee

好的 好好学习了

Jacky2

要我说，LZ，找个VM，下个鸽子，自己试试比啥都扎实

HIPS区里的高手，有哪位不熟悉木马？

我说的是实话，不信你试试，保证比啥都印象深刻，还长见识

试试，试试，试试，试试......