查人人中国名人网9948钢管:木马程序的原理
来源:百度文库 编辑:查人人中国名人网 时间:2024/04/29 04:04:24
一、木马的隐蔽手段
1.隐蔽木马加载的手段可以说是千变万化。但木马都是为一个目的,那就是骗取用户运行它,以运行它的服务产,端程序。随着互联网技术的发展,越来越多的技术为木马所利用。javaScript\VBSrcipt\ActiveX\XML......等等等等,几乎每一个WWW的新功能都会导致木马的快速进化。
2.很多木马喜欢把自己的名字改为Windows.exe,看见这个进程你敢随意地删掉它吗?还有就是更改一些后缀名,用系统dll文件作为自己的名字,只不过后缀名改为dl,如果你不仔细看也不会发现。
3.木马还有一种更隐蔽的方法,那就是修改虚拟设备驱动程序“.vxd”。这种方法的木马基本上摆脱了原有的木马的监听端口模式。这样的木马使用dll进行监听,一旦发现控制端的连接请求就激活自身,将自己插入一个进程以启动自身,这样就会造成系统没有增加新文件,没有新的进程运行,不需要打开端口。因此使用一些常规的方法是查不到它的!可以说它的运行几乎是无迹可寻!
二、防范
1.查看系统托盘。
有些木马会使用冒充工具软件的图标来欺骗用户,从而达到常驻内存的目的。因此如果系统托盘上出现一些未明的图标时一定要查明它的来源。
2.查看正在运行的进程可以快速获知木马的存在。查看时最简单的方法是打开任务管理器,如果看到有不明的进程运行,也须查明这个进程的身份。如果是木马则可以停止它。
3.常使用一些端口检测软件对系统的端口进行监控。
4.不要执行任何来历不明的软件或程序,因为其中会包含病毒。
5.由于木马常用使用邮件附件、QQ信息的附件的方式传播,所以要谨慎对待这些信息的附件,不要随意去点击!(包括熟悉的人的信息)。在接收邮件后都首先要用杀毒软件扫描一遍。
6.经常升级杀毒软件的病毒库。进行全系统的病毒扫描查杀。