木马基础知识学习

个端口么?
　　
4.隐藏通讯
　　
隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。
　　
5.隐藏隐加载方式
　　
木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不做任何伪装，就告诉你这是木马，你会运行它才怪呢。而随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化
　　
6.最新隐身技术
　　
在Win9x时代，简单地注册为系统进程就可以从任务栏中消失，可是在Windows2000盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。运行(太搞笑了，木马被客户端控制)。使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道，在NT下，Administrator是可以看见所有进程的)。在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。
　　
这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库(DLL)来加载木马。这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

电脑知识学习论坛为电脑初学者的疑难杂症提供最佳解决方案。电脑基础知识学习QQ群：81158926 欢迎电脑爱好者加入。

5．使用更优秀的软件代替产品；（例如用myie2代替ie，用total command 代替资源浏览器。不是说微软自身的产品不能用——有时候就是因为微软的产品功能太多，众多的功能中有可能有存在漏洞的，就会危机到系统安全了，所以推荐使用代替产品。而事实上不少第三方软件的确相当好用的）

6．使用个人版网络防火墙，将icmp反馈禁止，再根据自己需要把敏感端口全部禁止掉；（在金山、瑞星、kv、天网的防火墙设置中，很容易找到“禁止icmp回应”，“禁止ping响应”这样的规则，勾选上就行了）win2k/xp自带的ipsec也能实现，不过比较繁复一些，个人感觉适合系统管理员而不是普通用户，另外winxp自带的防火墙也能作到禁止ping回应，各位可以试着开启它）

7.修改xp/win2000的默认设置，在服务中禁止掉自己不需要的一些服务。如messager和远程操作注册表都是常常被利用的服务程序；（在中文版本中，都有详细的中文提示，yesky网站上的介绍文章也相当多，各位可以搜索一下）

8．养成安全意识。网络前辈说过一句名言“安全，从来都不是技术问题，而是一个意识。”前面几条都是在第8条的基础上得到体现的，如果没有了安全意识，即使用再昂贵的杀毒软件也懒于升级、用再优秀的操作系统也懒于打patch，那么一切都是白费了。特别是对待目前逐渐成为主流的病毒/攻击欺骗而言，如果用户不在主观上保持“存疑”的态度，那么随意接受/打开外来的文件，中毒的可能性是相当大的。另外补充一句，网络上只有“本地”和“远程”2个概念，不管是不是朋友的计算机，是不是同一个工作组内的机器，它始终是台远程机器发送过来的数据——保持必要的怀疑，不管该计算机是谁拥有。

9．在金山，瑞星和kv3000的主页，对待流行病毒，都有专杀工具和注册表修复工具免费下载，如果用户能确认自己所中的是何种病毒时，使用专杀工具能获得更高的杀毒效率；而且在这些站点上，还有最新的病毒预报可以看到，方便用户提前作好准备以及了解攻击细节。

四、感染木马后的状况
　　
对于一些常见的木马，如SUB7、BO2000、冰河等等，它们都是采用打开TCP端口监听和写人注册表启动等方式，使用木马克星之类的软件可以检测到这些木马，这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马人侵，因此我们也可以通过手工来侦测木马。
　　
也许你会对硬盘空间莫名其妙减少500M感到习以为常，这的确算不了什么，天知道Windows的临时文件和那些乌七八糟的游戏吞噬了自己多少硬盘空间。可是，还是有一些现象会让你感到警觉，一旦你觉得你自己的电脑感染了木马，你应该马上用杀毒软件检查一下自己的计算机，然后不管结果如何，就算是Norton告诉你，你的机器没有木马，你也应该再亲自作一次更深人的调查，确保自己机器安全。经常关注新的和出名的木马的特性报告，这将对你诊断自己的计算机问题很有帮助。
　　
(1)当你浏览一个网站，弹出来一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而览浏器突然自己打开，并且进入某个网站，那么，你要小心。
　　
(2)你正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。
　　
(3)你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。
　　
(4)硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。这时，最简单的方法就是使用netstat-a命令查看。你可以通过这个命令