篇一:教你如何做木马
单 位 信管09-1班
学 号09201141
江西农业大学南昌商学院本科毕业论文
(信息管理与信息系统)
教你如何做木马
姓 名 龚辉
专 业信息管理与信息系统
指导教师 袁黎晖
江西农业大学南昌商学院
二0一二年十月
论文独创性声明
本人声明,所呈交的学位论文系在导师指导下独立完成的研究成果。文中合法应用他人的成果,均已做出明确标注或得到许可。论文内容未包含法律意义上已属于他人的任何形式的研究成果,也不包含本人已用于其他学位申请的论文或成果。
本文如违反上述声明,愿意承担以下责任后后果:
1.交回学校授予的学士学位;
2.学校可在相关媒体上对本人的行为进行通报;
3.本文按照学校规定的方式,对因不当取得学位给学校造成的名誉损害,进行公开道歉;
4.本人负责因论文成果不实产生的法律纠纷。
论文作者签名:日期: 2012年 10 月 1 日
摘 要
大家好,本毕业论文只是在一边教你做木马的时候,一边讲述些本人对于木马的一些认识,有些来自网上,有些是自己的理解,木马并不一定是危险的,也并不全是害人的,事物都有两面性,用的好木马也能给你提供很多帮助。
【关键词】木马,冰河,病毒,工具,隐藏
Abstract
Hello everyone, this thesis only in the side to teach you to do a Trojan, as she told the story of the Trojan horse some I some understanding, some from the Internet, some are their own understanding, trojan is not necessarily dangerous, also is not all bad, everything has two sides, with a good horse can also give you help a lot
【Key Words】Trojan horse, ice, tools, hide
目录
错误!未找到引用源。
篇二:教你如何手动查杀电脑中的木马
教你如何手动查杀电脑中的木马
首先要知道木马的种类,木马是属于病毒的一种,他起的作用其实就是类似于间谍的功能。木马从诞生到现在已经有很多的种类,而且到现在的木马往往不会是单一的功能。
但想去查杀一个木马首先必须知道木马的种类。
1、破坏删除型
这类的木马的功能就是删除计算机里的文件:如 DLL、EXE、INI类型的文件。它就像一个定时炸弹,只要黑客一激活,那么他就开始肆意的破坏,而且一点不比病毒
差。
2、远程控制型
这类木马就是在你计算机内注入一个客户端程序,可以让服务端的人完全控制他人机器,监视屏幕动作,查看计算机磁盘内任何文件,可以进行任何操作,包括关机、重起。这类木马是数量最多,危害最大的。冰河、广外女生、灰鸽子都是国内知名的远
程控制木马
3、密码发送型
前段时间在我们论坛官员飞火身上发生的盗号事件,我看来就是这类木马在捣鬼。这类木马只要一开始运行,就开始自动搜索内存、Cache文件以及各类文件,一旦搜索
到有用的密码,就自动将密码发送到预先指定好的QQ邮箱中去。
4、键盘记录型
在传奇这一大网络游戏盛行的前两年,也是键盘记录木马盛行的几年。不过这类木马是非常简单的,顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。只要你在键盘上输入什么一木马都能记录下来,像QQ阿拉大盗、传奇木马都
是属于这一类型的。
5、DOS攻击型
DOS木马不是用来破坏被注入的机子,而是借用这台被注入的机子去攻击另外的
机子有点类似于传销,不停的给自己发展“下线”。给网络造成堵塞。
6、代理型
木马为了隐藏自己,就给被注入的机子种上代理木马,让他成为攻击的跳板去间
接的攻击别人。
7、FTP型
这类的木马和网页木马一样,打开着21端口,等待着别人来连接。只要一连接上
FTP服务器或者一打开网页,木马就自动注入机子运行。这就是所谓的守株待兔。
8、程序杀手型
前几种木马再如何隐蔽也会被杀毒软件给查杀,而这种吗就是关闭机子上运行的
杀毒软件、防火墙,类似于工兵、探路先锋的角色。
9、反弹端口型
现在很多人都知道怎么关闭没有用的端口来杜绝木马和病毒。而这类木马就是利用用户开放的端口来进行传播,一般他是从80端口开始(HTTP端口) 任何人都不会关闭这个端口的,然后开始寻找其他端口一旦找到端口存在就是自动打开端口。现在木马的变种越来越高级、许多杀毒软件根本不能杀掉甚至根本无法查找出来,下面说说最基本的手动查杀木马方法,首先要学会找出木马。再差的木马也不可能在任务栏图标里显示出来,会想尽方法隐藏自己。机子启动的时候、木马也会跟着启动,他
会想尽办法自动加载,这是最基本的。
潜伏在启动组、Win.ini、System.ini、注册表等是木马比较惬意的地方,win.ini文件中,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么GAME.exe 这个文件就是木马了。而system.ini文件中,在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你
已经中“木马”了。
还有启动组,你可以看到随机运行的程序是那些,如果有不知名的程序,那么就要小心是不是木马了。以上这三种方法打开的方式都是同时[开始]→[运行] 输入 msconfig。
如果在注册表里那就比较复杂了,首先打开注册表[开始]→[运行] 输入 regedit。点击打开HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run (随机启动目录)查看右边窗口的键值中有没有自己不熟悉的自动启动文件,扩展名为.exe类型的。这里要特边注意一些木马可以的去模仿系统文件,比如expiorer.exe(正确的是expLorer.exe)、command.exe(正确的是command.com),而且这些木马会在注册表里布满自己的脚印,最好的方法就是在HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 找到木马的文件名后,再整个注册表里自动查找各个键
值。
还有使用winhex一类的文件去读取计算机内存,查看有没有木马在后台运行。如果你精通这个软件的话,还有更好的效果。因为类似于键盘记录木马和密码发送木马在注入之前都要把控制者的邮箱和密码设置好,用winhex软件可以直接读取木马中的内存
信息,直接获得对方的邮箱和密码。至于干什么用、我不说,大家也明白。
找到了木马下一步就是删除。
第一步 很简单就是断开网络。关闭共享文件和目录。
接着 打开win.ini文件,将[windows]字段中有启动命令,“run=“木马程序”或“load=“木马程序”更改为“run=”和“load=”。打开system.ini文件,将[BOOT]字段下面的“shell=木马文件”,更改为:“shell=explorer.exe”;再打开注册表在HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run删除木马文件的键值,然后用木马的文件名搜索整个注册表,一一删除。删除完后千万不能忘记退回到MS-DOS系统下找到木马删除。98自带MS-DOS系统,至于2000和XP 就用98启动盘进入了MS-DOS系统,删除。为保安全最好再重起进入安全模式、查杀一次。进入安全系统的方法就是重起电脑按F8键,选择安全模式进入。把带有病毒的文件删除,有些木马驻留在IE文件内,打开IE,选择选择IE工具栏中的“工具”/“Internet选项”,选择“删除文件”删除,如果有脱机内容,也一起删除。有些会驻留在系统还原文件中也就是C盘的System Volume Information目录下。先取消系统还原功能,然后将带毒文件删除。2000和XP关闭系统还原的方法:右键单击“我的电脑”,选“属性”——“系统还原”——在“在所有驱动器上关
闭系统还原”前面打勾——按“确定”退出。
当然最简单的删除木马的方法就是重装系统。杀完木马后就要给自己的机子装上防护,一般来说我建议机子上最好有三种软件,一、杀毒软件:如诺顿、卡巴、江民等,
二、防火墙:诺顿、天网、瑞星个人防火墙等、三、木马查杀软件:木马克星、绿鹰PC精灵、Ewido Security Suite等。对于杀毒软件建议用诺顿或者卡巴、诺顿占内存太大、机子配置不好的别用。而最好不要两种杀度软件一起用、有些杀度软件互相不兼容、我曾经一起用过卡巴和金山毒霸就是不兼容,结果开机就需要两小时。防火墙推荐天网,国产的,占内存小操作起来又简单。木马查杀工具推荐木马克星或者Ewido Security Suite。把三种搭配一起用是最好的,但也要注意不要起冲突,金山毒霸和天网不兼容起冲突,其他的我就不知道了,大家自己慢慢试试。还有要注意关闭自己不用的TCP/IP端口,虽然现在有了反弹端口木马,但毕竟比起其他木马来这种木马是少数。最主要的是
自己小心,不要进入那些乱七八糟的网站、不要轻易接受别人用QQ发过来的exe类型
文件,要经常的对杀毒软件进行升级,对电脑经常性的全面杀毒
篇三:木马病毒在windows系统中的几种启动方式
木马病毒在windows系统中的几种启动方式
如果你的电脑中一种新型的木马病毒你能怎么办?特别是一些未知类型的木马病毒,使用一般的杀毒软件或防木马软件是很难将其根除的,这时候我们就需要手动来清除这些病毒文件了。
其实我们只要能破坏这些病毒的启动条件,就可以达到清除病毒的目的,为此,就本人在这方面的一些经验提供给大家,以供参考。
病毒的启动主要分为3类,分别是:一、随windows系统启动,二、映像劫持启动,三、捆绑和嵌入正常程序中启动。下面我们主要就第一和第二点进行详细介绍。
第一部分:Windows自启动程序
一、经典的启动——“启动”文件夹
单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,如所示,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:
当前用户:
所有用户:
二、有名的启动——注册表启动项
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run],也要仔细查看。
2.RunOnce键
RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce]
[HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]键,与Run不同的是,RunOnce下的程序仅会被自动执行一次。
3.RunServicesOnce键
RunServicesOnce键位于[HKEY_CURRENT_USER\Software\MicrosoftWindows\Current Version\RunServicesOnce]
和[HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\Current Version\RunServicesOnce]下,其中的程序会在系统加载时自动启动执行一次。
4.RunServices键
RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]
和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]键。
5.RunOnceEx键
该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
6.load键
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。
7.Winlogon键
该键位于位于注册表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]
和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
8.其他注册表位置
还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提示:
注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别:前者对所有用户有效,后者只对当前用户有效。
三、古老的启动——自动批处理文件
从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
小提示:
★在Windows 98中,Autoexec.bat还有一个哥们——Winstart.bat文件,winstart.bat位于Windows文件夹,也会在启动时自动执行。
★在Windows Me/2000/XP中,上述两个批处理文件默认都不会被执行。
四、常用的启动——系统配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
1.Win.ini文件
使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示:
“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
2.System.ini文件
使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成“shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序如所示。
3.wininit.ini
wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动
时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
小提示:
★如果不知道它们存放的位置,按F3键打开“搜索”对话框进行搜索;
★单击“开始→运行”,输入sysedit回车,打开“系统配置编辑程序”,如图2所示,在这里也可以方便的对上述文件进行查看与修改。
五、智能的启动——开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。
六、定时的启动——任务计划
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
小提示:“任务计划”也是一个特殊的系统文件夹,单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹,从而方便进行查看和管理。
七、跟着别人的启动(病毒映像劫持,在下部分介绍)——随软件开启的程序
八、从“系统信息”查看启动程序
单击“开始→程序→附件→系统工具→系统信息”,双击“软件环境”,单击“启动程序”,在右边窗口出现的程序就是所有自启动程序,在“装载源”或“位置”下显出该程序是由注册表还是“启动”文件夹启动的。从这里只能查看自启动程序,不能对自启动程序进行禁止自启动等任何更改操作。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有