駭客知識之你真的知道特洛伊木馬嗎(轉)

駭客知識之你真的知道特洛伊木馬嗎(轉)[@more@]　　特洛伊木馬是一種非常危險的惡性程式，它無休止的竊取使用者的資訊，從而給使用者造成了巨大的損失。本期專題我們從特洛伊木馬的原理、技術以及防禦與清除方面給大家進行全方位的介紹，讓大家瞭解特洛伊木馬，同時提高對特洛伊木馬的防範意識……

　　什麼是特洛伊木馬?

　　“特洛伊木馬”（trojan horse）簡稱“木馬”，據說這個名稱來源於希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城，久久無法攻下。於是有人獻計製造一隻高二丈的大木馬，假裝作戰馬神，讓士兵藏匿於巨大的木馬中，大部隊假裝撤退而將木馬擯棄於特洛伊城下。城中得知解圍的訊息後，遂將“木馬”作為奇異的戰利品拖入城內，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉，匿於木馬中的將士開秘門遊繩而下，開啟城門及四處縱火，城外伏兵湧入，部隊裡應外合，焚屠特洛伊城。後世稱這隻大木馬為“特洛伊木馬”。如今駭客程式借用其名，有“一經潛入，後患無窮”之意。

　　完整的木馬程式一般由兩個部份組成：一個是伺服器程式，一個是控制器程式。“中了木馬”就是指安裝了木馬的伺服器程式，若你的電腦被安裝了伺服器程式，則擁有控制器程式的人就可以透過網路控制你的電腦、為所欲為，這時你電腦上的各種檔案、程式，以及在你電腦上使用的帳號、密碼就無安全可言了。

　　木馬程式不能算是一種病毒，但越來越多的新版的防毒軟體，已開始可以查殺一些木馬了，所以也有不少人稱木馬程式為駭客病毒。

　　詳解木馬原理

　　介紹特洛伊木馬程式的原理、特徵以及中了木馬後系統出現的情況……

　　特洛伊木馬是如何啟動的

　　作為一個優秀的木馬，自啟動功能是必不可少的，這樣可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要，所以，很多程式設計人員都在不停地研究和探索新的自啟動技術，並且時常有新的發現。一個典型的例子就是把木馬加入到使用者經常執行的程式 (例如explorer.exe)中，使用者執行該程式時，則木馬自動發生作用。當然，更加普遍的方法是透過修改Windows系統檔案和登錄檔達到目的，現經常用的方法主要有以下幾種:

　　1.在Win.ini中啟動

　　在Win.ini的[windows]欄位中有啟動命令"load＝"和"run＝"，在一般情況下 "＝"後面是空白的，如果有後跟程式，比方說是這個樣子：

run=c:windowsfile.exe
load=c:windowsfile.exe

　　要小心了，這個file.exe很可能是木馬哦。

　　2.在System.ini中啟動

　　System.ini位於Windows的安裝目錄下，其[boot]欄位的shell=Explorer.exe是木馬喜歡的隱藏載入之所，木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裡的file.exe就是木馬服務端程式!

　　另外，在System.中的[386Enh]欄位，要注意檢查在此段內的"driver＝路徑程式名"這裡也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這3個欄位，這些段也是起到載入驅動程式的作用，但也是增添木馬程式的好場所，現在你該知道也要注意這裡嘍。

　　3.利用登錄檔載入執行

　　如下所示登錄檔位置都是木馬喜好的藏身載入之所，趕快檢查一下，有什麼程式在其下。

　　4.在Autoexec.bat和Config.sys中載入執行

　　請大家注意，在C盤根目錄下的這兩個檔案也可以啟動木馬。但這種載入方式一般都需要控制端使用者與服務端建立連線後，將己新增木馬啟動命令的同名檔案上傳到服務端覆蓋這兩個檔案才行，而且採用這種方式不是很隱蔽。容易被發現，所以在Autoexec.bat和Confings中載入木馬程式的並不多見，但也不能因此而掉以輕心。

　　5.在Winstart.bat中啟動

　　Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批處理檔案，也是一個能自動被Windows載入執行的檔案。它多數情況下為應用程式及Windows自動生成，在執行了Windows自動生成，在執行了Win.com並加截了多數驅動程式之後

　　開始執行 (這一點可透過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被載入執行，危險由此而來。

　　6.啟動組

　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐留的。啟動組對應的資料夾為C:Windowsstart menuprogramsstartup,在登錄檔中的位置:HKEY_CURRENT_USERSoftwareMicrosoftwindowsCurrentVersionExplorershellFolders Startup="c:windowsstart menuprogramsstartup"。要注意經常檢查啟動組哦!

　　7.*.INI

　　即應用程式的啟動配置檔案，控制端利用這些檔案能啟動程式的特點，將製作好的帶有木馬啟動命令的同名檔案上傳到服務端覆蓋這同名檔案，這樣就可以達到啟動木馬的目的了。只啟動一次的方式:在winint.ini.中(用於安裝較多)。

　　8.修改檔案關聯

　　修改檔案關聯是木馬們常用手段 (主要是國產木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT檔案的開啟方式為Notepad.EXE檔案，但一旦中了檔案關聯木馬，則txt檔案開啟方式就會被修改為用木馬程式開啟，如著名的國產木馬冰河就是這樣乾的. "冰河"就是透過修改HKEY_CLASSES_ROOT xtfilewhellopencommand下的鍵值，將“C:WINDOWSNOTEPAD.EXE本應用Notepad開啟，如著名的國產HKEY一CLASSES一ROOT xt鬧eshellopencommandT的鍵值，將 "C:WINDOWSNOTEPAD.EXE%l"改為 "C:WINDOWSSYSTEMSYSEXPLR.EXE%l"，這樣，一旦你雙擊一個TXT檔案，原本應用Notepad開啟該檔案，現在卻變成啟動木馬程式了，好狠毒哦!請大家注意，不僅僅是TXT檔案，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。

　　對付這類木馬，只能經常檢查HKEY_Cshellopencommand主鍵，檢視其鍵值是否正常。