百度超级搜霸怎么用_百度超级搜霸_百度超级搜霸v540(2)

后来有人用于了内存与硬盘，在硬盘或内存的分区，创建 f文件，并在Open中选定木马程序，这样，当你开启硬盘分区或硬盘时，就会触发木马程序的运行。木马作者还在不断寻找“可乘之机”这里也是例子，又有不断的自启动的地方被开掘出来。

(2)木马运行过程 木马被唤醒后，进入硬盘，并打开事先定义的木马端口，准备与控制端建立联结。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看网关状态，一般个人电脑在脱机状态下是不会有网关 开放的，如果有网关开放，你还要留意能否感染木马了。

下面是手机感染木马后，用NETSTAT命令查 看网关的两个实例： 其中①是服务端与控制端建立联结时的显示状况，②是服务端与控制端还未完善连接时的显示状况。 在上网过程中要下载工具，发送邮件，网上交谈等必然开启一些网关，下面是一些常见的网关： (1)1---1024之间的端口：这些网关叫保留端口，是专给一些对外通信的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。

只有极少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口：在蹭网浏览网页时，浏览器会开启多个连续的网关下载文字，图片到本地 硬盘上，这些网关都是1025以上的连续端口。 (3)4000端口：这是OICQ的通信网关。

(4)6667端口：这是IRC的通信网关。 除上述的网关基本可以排除在外，如看到也有其它端口开启，尤其是数值比较大的端口，那还要担心 是否感染了木马，当然如果木马有定制端口的用途，那任何网关都有可能是挂马端口。

【四。信息外泄】一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功调试后会采集 一些服务端的软硬件信息，并借助E-MAIL，IRC或ICO的手段告知控制端客户。

从反馈信息中控制端可以了解服务端的一些软软件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在很多信息中，最重要的是服务端IP，因为只有受到这个参数，控制端才能与服务端建立 连接，具体的联结方式我们会在下一节中讲解。

【五。建立联结】这一节我们讲解一下木马连接是怎样创建的 。一个木马连接的构建首先需要满足两个条件：一是 服务端已调试了木马程序；二是控制端，服务端都要 。在此基础上控制端可以借助木马端口与服 务端建立联结。

假设A机为控制端，B机为服务端，对于A机来说要与B机构建连接需要了解B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是能否取得B机的IP地址。获得B机的IP 地址的方式主要有两种：信息反馈和IP扫描。

对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是进入开放状态的，所以今天A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是 ，当A机扫描到 这个IP时看到它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以借助木马的控 制端程序向B机发出连接讯号，B机中的木马程序收到信号后及时做出响应，当A机收到响应的讯号后， 开启一个随即端口1031与B机的木马端口7626建立联结，到此时一个木马连接才算真正确立。

值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先借助信息反馈赢得服务端的IP地址，由于 拨号上网的IP是动态的，即客户每天上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是 ，那么B机上网IP的变动范围是在 --- ，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

【六。远程控制】木马连接创建后，控制端端口和木马端口之间将要发生一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序获得联络,并借助木马程序对服务端进行远 程控制。

下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想像的要大。 (1)窃取密钥：一切以明文的手段，*形式或缓存在CACHE中的密钥都能被木马探测到，此外很多木马还 提供有击键记录功能，它将要记录服务端每次撞击键盘的动作，所以若想有挂马入侵， 密码将很容易被篡改。

(2)文件操作：控制端可借助远程控制对服务端上的文件进行卸载,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本包括了WINDOWS平台上所有的文件操作功用。 (3)修改注册表：控制端可任意设置服务端注册表，包括卸载，新建或设置子句，子键，键值。

有了这 项用途控制端就可以允许服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设定得更隐秘的一系列高级操作。 (4)系统操作：这项内容涵盖重启或关掉服务端操作系统，断开服务端网络连结，控制服务端的键盘， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然弹出一段话，不可怕一跳才怪木马和细菌都是一种人为的程序,都属于电脑病毒,为什么木马要单独提起来说内?大家都明白当时的电脑病毒的用处,其实完全就是为了搞破坏,破坏手机里的资料数据,除了毁坏之外其它无非就是有些病毒制造者为了超过诸多目的而进行的震慑和敲诈勒索的用处,或为了显摆自己的技术。

"木马"不一样,木马的用处是赤裸裸的偷偷窥视对方和抢劫别人密码,数据等,如抢劫管理员密码-子网密码搞破坏,或者好玩,偷窃上网密钥用于它用,游戏账号,股票帐号,甚至网上银行帐户等。达到窥探对方隐私和受到经济利益的目的。

所以木马的功用比初期的电脑病毒更加有用。更无法直接超过使用者的目的!导致许多别有用心的程序开发者大量的撰写这类具有诈骗和监控对方手机的侵入性程序,这就是目前网上长期木马泛滥成灾的因素。鉴于木马的很多很大危害性和它与初期病毒的功用性质不一样,所以木马貌似属于真菌中的一类,但是要单独的从病毒种类中间剥离出去。

独立的称之为"木马"程序。 一般来说一种杀毒工具程序,它的挂马专杀程序能够杀毒某某木马的话,那么它自己的普通查杀程序也显然无法杀掉这种木马,因为在木马盛行的现在,为挂马单独设计一个专门的挂马杀毒工具,那是能增加该杀毒工具的产品档次的,对其口碑也大大的有益,实际上一般的普通查杀工具里都包括了对挂马的加壳功能。

如果以后大家说某某杀毒工具没有木马查杀的程序,那这家杀毒工具厂商自己也就像有点过意不去,即使它的普通杀毒工具里显然的有杀除木马的用途。 还有一点就是,把加壳木马程序单独剥离出去,可以增加查杀精度,现在好多杀毒工具里的挂马专杀程序只对挂马进行杀毒,不去检测普通细菌库里的病毒代码,也就是说当客户运行木马查杀程序的之后,程序只读取木马代码库里的数据,而不读取病毒代码库里的数据,大大提高木马加壳速度。

我们了解查杀普通细菌的速率是比较慢的,因为今天有太多太多的细菌。每个文件要经过几万条木马代码的检测,然后再加上已知的差不多有近10万个病毒代码的检测,那速度岂不是很慢了。省去普通病毒代码检测,是不是就增加了强度,提高了速度内? 也就是说现在很多加壳工具自带的挂马专杀程序只杀毒木马而一般不去查杀病毒,但是它自身的普通细菌查杀程序既查杀病毒又查杀木马!。

收起

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-119855-2.html