冰河木馬

更新時間:2023-04-19 13:58:45 閱讀：評論：0

個人業績總結-應用文范文

2023年4月19日發(作者：學生會主席競選稿)木馬病毒的防范
一、綜述:
在我潛意識中說起“木馬”馬上就聯想到三國時期諸葛亮先生發明的木牛流馬，當初怎么就
想不通它與病毒扯上關系了。經過一番了解，原來它是借用了一個古希臘士兵藏在木馬中潛
入敵方城市，從而一舉占領敵方城市的故事，因為現在所講的木馬病毒侵入遠程主機的新版人民幣發行方式
在戰略上與其攻城的方式一致。通個這樣的解釋相信大多數朋友對木馬入侵主機的方式所有
領悟：它就是通過潛入你的電腦系統，通過種種隱蔽的方式在系統啟動時自動在后臺執行的
程序，以“里應外合”的工作方式，用服務器/客戶端的通訊手段，達到當你上網時控制你
的電腦，以竊取你的密碼、游覽你的硬盤資源，修改你的文件或注冊表、偷看你的郵件等等。
一旦你的電腦被它控制，則通常表現為藍屏然死機；CD-ROM莫名其妙地自己彈出；鼠標左
右鍵功能顛倒或者失靈或文件被刪除；時而死機，時而又重新啟動；在沒有執行什么操作的
時候，卻在拼命讀寫硬盤；系統莫明其妙地對軟驅進行搜索；沒有運行大的程序，而系統的
速度越來越慢，系統資源占用很多；用CTRL＋ALT＋DEL調出任務表，發現有多個名字相同
的程序在運行，而且可能會隨時間的增加而增多等等。
不過要知道，即使發現了你的機器染上木馬病毒，也不必那么害怕，因為木馬病毒與一般病
毒在目的上有很大的區別，即使木馬運行了，也不一定會對你的機器造成危害。但肯定有壞
處，你的上網密碼有可能已經跑到別人的收件箱里了，這樣黑客們就可以盜用你的上網賬號
上網了！木馬程序也是病毒程序的一類，但更具體的被認為黑客程序，因為它入侵的目的是
為發布這些木馬程序的人，即所謂的黑客服務的。
本文將就木馬的一些特征、木馬入侵的一些常用手法以及如何避免木馬的入侵各方面作一些
綜合說明。
木馬是病毒的一種，同時木馬程序又有許多種不同的種類，那是受不同的人、不同時期開發
來區別的。
二、基本特征：
1、隱蔽性是其首要的特征
如其它所有的病毒一樣，木馬也是一種病毒，它必需隱藏在你的系統之中，它會想盡一切辦
法不讓你發現它。很多人的對木馬和遠程控制軟件有點分不清，因為我前面講了木馬程序就
要通過木馬程序駐留目標機器后通過遠程控制功能控制目標機器。實際上他們兩者的最大區
別就是在于這一點，舉個例子來說吧，象我們進行局域網間通訊的常軟件——PCanywhere
大家一定不陌生吧，大家也知道它是一款遠程通訊軟件。PCanwhere在服務器端運行時，客
戶端與服務器端連接成功后客戶端機上會出現很醒目的提示標志。而木馬類的軟件的服務器
端在運行的時候應用各種手段隱藏自己,不可能還出現什么提示，這些黑客們早就想到了方
方面面可能發生的跡象，把它們扼殺了。

例如大家所熟悉木馬修改注冊表和ini文件以便機器在下一次啟動后仍能載入木馬程式，它
不是自己生成一個啟動程序，而是依附在其它程序之中。有些把服務器端和正常程序綁定成
一個程序的軟件,叫做exe-binder綁定程式，可以讓人在使用綁定的程式時，木馬也入侵了
系統，甚至有個別木馬程序能把它自身的exe文件和服務器端的圖片文件綁定，在你看圖片
的時候，木馬也侵入了你的系統。它的隱蔽性主要體現在以下兩個方面：
a、不產生圖標
它雖然在你系統啟動時會自動運行，但它不會在“任務欄”中產生一個圖標，這是容易理解
的，不然的話，憑你的火眼金睛你一定會發現它的。我們知道要想在任戴克肖務欄中隱藏圖標，只
需要在木馬程序開發時把“Form”的“Visible ”屬性設置為“Fal”、把
“ShowintaskBar”屬性設置為“Fla”即可；
b、自動隱藏
木馬程序自動在任務管理器中隱藏，并以“系統服務”的方式欺騙操作系統。
2、它具有自動運行性
它是一個當你系統啟動時即自動運行的程序，所以它必需潛入在你的啟動配置文件中，如
、、以及啟動組等文件之中。
3、木馬程序具有欺騙性
木馬程序要達到其長期隱蔽的目的，就必需借助系統中已有的文件，以防被你發現，它經常
使用的是常見的文件名或擴展名，如“dllwinsyxplorer等字樣，或者仿制一些不易
被人區別的文件名，如字母“l”與數字“1”、字母“o”與數字“0”，常修改基本個文件
中的這些難以分辨的字符，更有甚者干脆就借用系統文件中已有的文件名，只不過它保存在
不同路徑之中。還有的木馬程序為了隱藏自己，也常把自己設置成一個ZIP文件式圖標，當
你一不小心打開它時，它就馬上運行。等等這些手段那些編制木馬程序的人還在不斷地研究、
發掘，總之是越來越隱蔽，越來越專業，所以有人稱木馬程序為“騙子程序”。
4、具備自動恢復功能
現在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相
互恢復。
5、能自動打開特別的端口
木馬程序潛入人的電腦之中的目的不主要為了破壞你的系統，更是為了獲取你的系統中有用
的信息，這樣就必需當你上網時能與遠端客戶進行通訊，這樣木馬程序就會用服務器/客戶
端的通訊手段把信息告訴黑客們，以便黑客們控制你的機器，或實施更加進一步入侵企圖。
你知不知道你的電腦有多少個對外的“門”，不知道吧，告訴你別嚇著，根據TCP/IP協議，
每臺電腦可以有256乘以256扇門，也即從0到65535號“門，但我們常用的只有少數幾個，
你想有這么門可以進，還能進不來？當然有門我們還是可以關上它們的，這我在預防木馬的
辦法中將會講到。
6、功能的特殊性
通常的木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache

中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作、以
及鎖定鼠標等功能,上面所講的遠程控制軟件的功能當然不會有的，畢竟遠程控制軟件是用
來控制遠程機器，方便自己操作而已，而不是用來黑對方的機器的。
7、黑客組織趨于公開化
以往還從未發現有什么公開化的病毒組織（也許是我孤陋寡聞），多數病毒是由個別人出于
好奇（當然也有專門從事這一職業的），想試一下自己的病毒程序開發水平而做的，但他（她）
絕對不敢公開，因為一旦發現是有可能被判坐牢或罰款的，這樣的例子已不再什么新聞了。
如果以前真的也有專門開發病毒的病毒組織，但應絕對是屬于“晉懷公地下”的。現在倒好，什么
專門開發木馬程序的組織到處都是，不光存在，而且還公開在網上大肆招兵買馬，似乎已經
合法化。正因如此所以黑客程序不斷升級、層出不窮，黑的手段也越來越高明。我不知道為
什么，但據講其理由是“為了自衛、為了愛新生嬰兒拉稀怎么辦國” 。
三、木馬入侵的常用手法
雖然木馬程序千變萬化，但正如一位木馬組織的負責人所講，大多數木馬程序沒有特別的功
能，入侵的手法也差不多，只是以前有關木馬程序的重復，只是改了個名而已，現在他們都
要講究效率，據說他們要杜絕重復開發，浪費資源。當然我們也只能講講以前的一些通用入
侵手法，因為我們畢竟不是木馬的開發者，不可能有先知先覺。
1、在文件中加載
一般在文件中的[windwos]段中有如下加載項：
run= load= ，一般此兩項為空，如圖1所示。

圖1

如果你發現你的系統中的此兩項加載了任何可疑的程序時，應特別當心，這時可根據其提供
的源文件路徑和功能進一步檢查。我們知道這兩項分別是用來當系統啟動時自動運行和加載
程序的，如果木馬程序加載到這兩個子項中之后，那么當你的系統啟動后即可自動運行或加
載了。當然也有可能你的系統之中確是需要加載某一程序，但你要知道這更是木馬利用的好
機會，它往往會在現有加載的程序文件名之后再加一個它自己的文件名或者參數，這個文件
名也往往用你常見的文件，如、等來偽裝。
2、在文件中加載
我們知道在系統信息文件中也有一個啟動加載項，那就是在[BOOT]子項中的
“Shell”項，如圖2所示。

圖2

在這里木馬最慣用的伎倆就是把本應是“Explorer”變成它自己的程序名，名稱偽裝成幾乎
與原來的一樣，只需稍稍改"Explorer”的字母“l”改為數字“1”，或者把其中的“o”改
為數字“0”，這些改變如果不仔細留意是很難被人發現的，這就是我們前面所講的欺騙性。
當然也有的木馬不是這樣做的，而是直接把“Explor小學生名著 er”改為別的什么名字，因為他知道還
是有很多朋友不知道這里就一定是“Explorer”，或者在“Explorer”加上點什么東東，加
上的那些東東肯定就是木馬程序了。
3、修改注冊表
如果經常研究注冊表的朋友一定知道，在注冊表中我們也可以設置一些啟動加載項目的，編

制木馬程序的高手們當然不會放過這樣的機會的，況且他們知道注冊表中更安全，因為會看
注冊表的人更少。事實上，只要是”RunRun-RunOnceRunOnceEx RunServices
RunServices-RunServicesOnce 等都是木馬程序加載的入口，如
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce]，
如圖3所示；

圖3

[HKEY_CURRENT_USERSOFTWA三國時期三大戰役 REMicrosoftWindowsCurrentVersionRun或Run-或
RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如圖4所示。

圖4

你只要按照其指定的源文件路徑一路查過去，并具體研究一下它在你系統這中的作用就不難
發現這些鍵值的作用了，不過同樣要注意木馬的欺騙性，它可是最善于偽裝自己呵！同時還
要仔細觀察一下在這些鍵值項中是否有類似、空格、.exe或其它可疑的文件名，
如有則立即刪除。
4、修改文件打開關聯
木馬程序發展到了今天，他們發現以上的那些老招式不靈了，為了更加隱蔽自己，他們所采
用隱蔽的手段也是越來越高明了（不過這也是萬物的生存之道，你說呢？），它們采用修改
文件打開關聯來達到加載的目的，當你打開了一個已修改了打開關聯的文件時，木馬也就開
始了它的運作，如冰河木馬就是利用文本文件（.txt）這個最常見，但又最不引人注目的文
件格式關聯來加載自己，當有人打開文本文件時就自動加載了冰河木馬。
修改關聯的途經還是選擇了注冊表的修改，它主要選擇的是文件格式中的“打開”、“編
輯”、“打印”項目，如冰河木馬修改的對象如圖5所示，

圖5

如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOTtxtfileshellopencommand]中的鍵
值不是“c:windows %1”，而是改為“ %1”。
以上所介紹的幾種木馬入侵方式，如果發現了我們當然是立即對其刪除，并要立即與網絡斷
開，切斷黑客通訊的途徑，在以上各種途徑中查找，如果是在注冊表發現的，則要利用注冊
表的查找功能全部查找一篇，清除所有的木馬隱藏的窩點，做到徹底清除。如果作了注冊表
備份，最好全部刪除注冊表后再導入原來的備份注冊表。
在清除木馬前一定要注意，如果木馬正在運行，則你無法刪除其程序，這時你可以重啟動到
DOS方式然后將其刪除。有的木馬會自動檢查其在注冊表中的自啟動項，如果你是在木馬處
于活動時刪除該項的話它能自動恢復，這時你可以重啟到DOS下將其程序刪除后再進入
Win9x下將其注冊表中的自啟動項刪除。
四、如何避免木馬的入侵
談到這個問題，我真有點害怕講下去，因為我知道我所講的這些預防辦法那些專門研究木馬
的黑客早就注意了，或許早就想好了對策，但是不管怎樣我相信如果注意了以下幾個方面多
多少少對阻止木馬的入侵有些好處的，特別是對那些入門級的木馬！在此先要聲明，反木馬
就象反病毒一樣永遠沒有止境，也永遠沒有一個百分百的解決方案，因為都是先有木馬，然
后才有我們反木馬的方法和軟件，我們始終是個追隨者！

1、不要執行任何來歷不明的軟件
對于從網上下載的軟件在安裝、使用前一定要用多幾種反病毒軟件，最好是專門查殺木馬的
軟件進行檢查，確定無毒了再執行、使用。
2、不要相信你的郵箱不會收到垃圾和帶毒的郵件
永遠不要相信你的郵箱就不會收到垃圾和帶毒的郵件，即使從沒露過面的郵箱或是ISP郵
箱，有些時候你永遠沒辦法知道別人如何得知你的mail地址的。
3、不要輕信他人
不要因為是你的好朋友發來的軟件就運行，因為你不能確保他的電腦上就不會有病毒，當然
好朋友故意欺騙的可能性不大，但也許他（她）中了黑客程序自己還不知道！同時，網絡發
展到今天，你也不能保證這一定是你的朋友發給你的，因為別人也可冒名給你發郵件。
4、不要隨便留下你的個人資料
特別不要在聊天室內公開你的Email地址。因為你永遠不會知道是否有人會處心積慮收集
起你的資料，以備將來黑你！更不要將重要口令和資料存放在上網的電腦里，以防黑客侵入
你的電腦盜走你一切“值錢的東東”。
5、網上不要得罪人
在聊天時，永遠不要以為網絡上誰也不認識誰就出言不遜，這樣會不小心得罪某些高人，到
時找你開刀。
6、不要隨便下載軟件
特別是不可靠的小FTP站點、公眾新聞級、論壇或BBS上，因為這些地方正是新病毒發布的
首選之地。
7、最好使用第三方郵件程序
如Foxmail等,不要使用Microsoft的Outlook程序，因為Outlook程序的安全漏洞實在太
多了，況且Outlook也是那些黑客們首選攻擊的對象，已經選好了許多攻擊入口；
8、不要輕易打開廣告郵件中附件或點擊其中的鏈接
因為廣告郵件也是那些黑客程序依附的重要對象，特別是其中的一些鏈接。
9、將windows資源管理器配置成始終顯示擴展名
因為一些擴展名為：VBS、SHS、PIF的文件多為木馬病毒的特征文件，更有些文件為又擴展
名，那更應重點查看，一經發現要立即刪除，千萬不要打開，只有時時顯示了文件的全名才
能及時發現。
10、盡量少用共享文件夾
如果因工作等其它原因必需設置成共享，則最好單獨開一個共享文件夾，把所有需共享的文
件都放在這個共享文件夾中，注意千萬不要系統目錄設置成共享！

11、給電子郵件加密
為了確保你的郵件不被其它人看到，同時也為了防止黑客們的攻擊，向大家推薦一款加蕁麻疹什么癥狀密專
家——PGP，相信它一定不會讓你失望的！
12、隱藏IP地址
這一點非常重要！！你上網時最好用一些工具軟件隱藏你的電腦的IP地址，如使用ICQ，
就進入“ICQMenuSecuri-ty&Privacy”，把“IP Publishing”下面的“Do not Publish IP
ad-dress”選項上。
13、運行反木馬實時監控程序
最后，好是最重要的一點就是你在上網時必需運行你的反木馬實時監控程序，如、the
cleaner，它的實時監控程序TCA，可即時顯示當前所有運行程序并有詳細的描述信息，加
外如加上一些專業的最新殺毒軟件、個人防火墻進行監控那更是放心了，當然這要你的愛機
夠檔次才行，你說呢？

轉正自我總結-村委會述職報告

本文發布于:2023-04-19 13:58:44，感謝您對本站的認可！

本文鏈接：http://m.newhan.cn/zhishi/a/168188392546167.html

本文word下載地址：冰河木馬.doc

本文 PDF 下載地址：冰河木馬.pdf

上一篇：讀書卡內容

下一篇：返回列表

標簽：冰河木馬

留言與評論（共有 0 條評論）