它是壹種基於遠程控制的黑客工具,具有隱蔽性和非授權性的特點。
所謂隱蔽,就是特洛伊的設計者為了不讓特洛伊被發現,會用各種手段隱藏特洛伊,這樣即使服務器發現感染了特洛伊,也只能望“馬”興嘆,因為無法確定其具體位置。
所謂未授權,是指壹旦控制終端與服務器連接,控制終端將享有服務器的大部分操作權限,包括修改文件、修改註冊表、控制鼠標鍵盤等。,而這些權利不是服務器賦予的,而是被特洛伊馬程序竊取的。
從特洛伊馬的發展來看,基本上可以分為兩個階段。
起初,網絡還處於UNIX平臺時期,特洛伊馬應運而生。當時木馬程序的功能比較簡單,往往是在系統文件中嵌入壹個程序,利用跳轉指令來執行壹些特洛伊木馬的功能。在這個時期,特洛伊馬的設計者和使用者大多是技術人員,他們必須具備相當的網絡和編程知識。
然後隨著WINDOWS平臺的日益普及,出現了壹些基於圖形化操作的特洛伊木馬程序,用戶界面的改進使得用戶無需了解太多專業知識就能熟練操作木馬。相對的特洛伊木馬入侵也頻繁出現,而且由於這段時間木馬的功能日臻完善,對服務器的破壞更大。
所以,特洛伊馬發展到今天,它已經做了它能做的壹切。壹旦它被壹匹特洛伊馬控制,妳的電腦將沒有秘密可言。
原理:木馬會想盡辦法隱藏自己。主要的方式有:把自己藏在任務欄裏,這是最基本的。只要窗體的Visible屬性設置為False,並且ShowInTaskBar設置為False,程序在運行時就不會出現在任務欄中。在任務管理器中隱形:將程序設置為“系統服務”很容易偽裝自己。
當然,也會悄悄開始。當然,妳不會期望用戶在每次啟動後點擊“特洛伊馬”圖標來運行服務器。特洛伊馬會在每次用戶啟動時自動加載服務器,使用Windows系統啟動時自動加載應用程序的方法,比如startup group,win.ini,system.ini,registry等等。讓我們具體談談特洛伊馬是如何自動加載的。
在win.ini文件中,在[WINDOWS]下,“run=”和“load=”是加載特洛伊木馬程序的可能方式,壹定要密切關註。壹般來說,它們的等號後面沒有什麽。如果妳發現它們後面的路徑和文件名不是妳熟悉的啟動文件,妳的電腦可能是特洛伊木馬。當然,妳得看清楚,因為很多“木馬”,比如“AOL特洛伊特洛伊馬”,都是把自己偽裝成command.exe文件,不註意的話,妳可能發現不了它不是真正的系統啟動文件。
在system.ini文件中,[BOOT]下有壹個“shell=文件名”。正確的文件名應該是“explorer.exe”。如果不是“explorer.exe”而是“shell = explorer.exe程序名”,那麽後面的程序就是“特洛伊馬”程序,也就是說妳已經拿下了“特洛伊馬”。
註冊表中的情況是最復雜的。通過regedit命令打開註冊表編輯器,點擊“key本地-機器/軟件/微軟/Windows/currentversion/run”目錄,查看鍵值中是否有不熟悉的自動啟動文件,擴展名為EXE。
記住這裏:有些“特洛伊馬”程序生成的文件與系統自帶文件非常相似,想通過偽裝蒙混過關,比如“酸電池v1.0特洛伊馬”。它將註冊表“key本地-機器/軟件/微軟/Windows/當前版本/運行”中Explorer的鍵值更改為Explorer = "C:/Windows/Explorer。Exe”,而木馬程序和真正的Explorer只有“I”和“L”的區別。
當然,在註冊表中仍有許多地方可以隱藏特洛伊馬程序。如“HKEY-當前-用戶/軟件/微軟/視窗/當前版本/運行”和“HKEY-用戶/* * */軟件/微軟/視窗/當前版本/運行”。最好的辦法是在“HKEY-本地-機器/軟件/微軟/Windows/currentversion/run”下找到“特洛伊馬”程序的文件名,然後在整個註冊表中搜索。
知道了特洛伊馬的工作原理,就很容易幹掉特洛伊馬。如果有特洛伊木馬,最安全有效的方法就是立即斷開電腦與網絡的連接,防止黑客通過網絡攻擊妳。
然後編輯win.ini文件,將[WINDOWS]下的“run=木馬程序”或“load=木馬程序”改為“run=”和“load =”;編輯system.ini文件,並將[BOOT]下的“shell =特洛伊”文件更改為“shell = explorer”。exe”;在註冊表中,用regedit編輯註冊表。先在“HKEY-本地-機器/軟件/微軟/Windows/currentversion/run”下找到木馬程序的文件名,然後在整個註冊表中搜索替換木馬程序。
有時候需要註意的是,有些特洛伊木馬程序並不只是刪除“key本地-機器/軟件/微軟/Windows/currentversion/run”下的特洛伊木馬鍵,因為有些木馬,比如BladeRunner木馬,刪除了會自動添加。妳需要的是記住。
重新啟動計算機,然後從註冊表中刪除所有特洛伊文件的鍵值。至此,我們完成了。
特洛伊馬壹詞的由來:
“特洛伊馬”最初是指古希臘士兵躲在特洛伊馬後進入敵方城市,從而占領敵方城市的故事。在互聯網上,“特洛伊馬”是指壹些程序員在其可從網絡下載的應用程序或遊戲中包含可以控制用戶計算機系統的程序,可能導致用戶系統被破壞甚至癱瘓。