木馬介紹
*請閱讀以下題目以便更明白木馬的知識。
什麼是木馬?
木馬,全名特洛伊木馬﹝Trojan Horse﹞,它們不是病毒,沒有傳染力,但一旦被它入侵,卻有十分危險﹝視乎入侵者而已﹞。例如被入侵的電腦會資料外洩,檔案被刪除等等。基本上這台被入侵的電腦已被入侵者全權控制了。
木馬入侵原理
木馬機本上是一個遠端管理程式, 原理是在你的電腦裏安裝server程式, 再經這server程式進入及控制你的電腦, 它可以上傳或下傳你的資料,控制你的電腦。
一個完善的木馬程式主含有以下三個檔案:
server.exe - 伺服器端程式,用來安裝在被入侵電腦上的程式,給client.exe連上。
edit server.exe - 用來設定server.exe程式的,如連接的port,登入server的密碼等等。
client.exe - 用戶端程式,是用來連接server.exe,控制被入侵的電腦的。
*注意,以上三個檔案的名稱視乎木馬程式而改變。
木馬的特性
一經被木馬入侵,即是入侵者在你電腦上安裝了server.exe, 當被入侵的電腦在每次開啟時,server.exe便會自動執行, 而且這些檔案大小很細,所以很難察覺這些檔案正在執行, 就算你按Alt + Ctrl + Delete, Windows也不會顯示這些木馬程式正在執行, 因為大部份木馬程式也是隱藏地自動執行的, 除非被入侵的電腦清除server.exe, 否則一經入便長期被入侵。
清除server.exe是十分困難的, 因為server.exe在每次電腦開啟時便會自動執行, 但在windows中正在執行的程式是無法移動及刪除的, 所以刪除過程頗為複雜。
檢驗電腦有沒有木馬
方法一:安裝防毒軟件,再用防毒軟件檢查電腦上有沒有被木馬入侵。
方法二:檢查windows中一些可以令程式在登入windows時自動立即執行的地方,有沒有一些不明來歷的檔案正在執行。
這些地方包括:
檢查Registry-command
執行c:\windows\regedit.exe
到HKEY_CLASSES_ROOT\exefile\shell\open\command
檢查Registry-Run
執行c:\windows\regedit.exe
到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
檢查Registry-RunOnce
執行c:\windows\regedit.exe
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
檢查Registry-RunServices
執行c:\windows\regedit.exe
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
檢查Win.ini﹝只限Window 9x﹞
用c:\windows\notepad.exe開啟c:\windows\win.ini
檢查有沒有RUN=xxxxx.exe(xxxxx.exe可以是任何名稱),一般情況下不應該有這字串的。
檢查System.ini﹝只限Window 9x﹞
用c:\windows\notepad.exe開啟c:\windows\system.ini
檢查shell=Explorer.exe後有沒有xxxxx.exe(xxxxx.exe可以是任何名稱),一般情況下不應該有這字串的。
清除木馬方法
你可以安裝防毒軟件,再用防毒軟件檢查電腦上有沒有被木馬入侵,有的話就把它刪除吧!
檢查windows中一些可以令程式在登入windows時自動立即執行的地方,有沒有一些不明來歷的檔案正在執行,有的話就打它刪除吧!
*刪除了這些不明來歷的檔案只是停止木馬的自動執行系統,完成後還要刪除這個木馬程式,才算完全清除這木馬。
預防木馬方法
安裝防毒軟件!
不要接收或安裝一些不明來歷的檔案,特別是exe檔案。因為木馬程式多是exe檔案。﹝exe檔案亦即是執行檔﹞
<转至香港黑客网>
