木马病毒

  我怎么知道计算机是否装有“特洛伊木马病毒”？

  详细信息如下：

  1.当计算机不处理任何任务时，CPU利用率通常为0％至1％。 如果系统未运行任何程序和任务，并且利用率超过10％，则一定很奇怪。 此副本此时，您应该注意它。

  其次，进程，当计算机没有任何处理任务和程序时，一般的进程是非常熟悉的，如果exe进程中有很多莫名其妙的进程，那么此时您应该注意。 一般的系统进程是非常标准的英语或英语限制的版本，例如alg.exe，如果真的无法确定某个进程是否是病毒木马程序，则可以写下该进程的名称，百度会立即给出答案 现在！

  三，看网络流量和端口号

  以360防火墙为例查看此处的网络流量

  电脑病毒和木马之间的区别？

  1.计算机病毒的定义计算机病毒（Computer Virus）在《中华人民共和国计算机信息系统安全保护条例》中有明确定义。  “病毒”是指创建或插入会损坏计算机功能或破坏数据的计算机程序，从而影响计算机的使用，以及一组可自我复制的计算机指令或程序代码。  ”

  2.计算机病毒的特征计算机病毒是人为制作的程序，具有自我复制能力，强大的感染力，一定的潜伏性，特定的可触发性和极大的破坏性。

  三种病毒存在的必然性需要访问，复制和传输计算机信息。 作为一种信息，病毒可以被复制，感染和销毁。 当病毒获得控制后，它们将积极寻找感染目标并使其广泛可用。 为传播。

  四种长期的计算机病毒通常会利用计算机操作系统的弱点进行传播。 提高系统的安全性是防病毒软件的重要方面，但是还不存在完善的系统。 过分强调提高系统的安全性会使系统在大多数情况下都用于病毒检查，这会失去系统的可用性，实用性和易用性。 另一方面，信息保密的要求使人们无法在泄漏和捕获病毒之间进行选择。 病毒和反病毒将作为一项长期存在的技术而存在，并且随着计算机技术的发展，这两种技术都将长期开发。

  五，计算机病毒的出现病毒并非来自突然或偶然的原因。 突然的电源故障和意外错误将在计算机的磁盘和内存中产生乱码和随机指令，但是这些代码是混乱且混乱的，并且病毒是按照严格顺序组织的更完善，精致和严格的代码 并与系统的网络环境配合。 该病毒不会偶然形成，并且需要具有一定的长度。 该基本长度不可能由随机码生成。 病毒是人为的特殊程序。 流行病毒是大多数人故意写的。 大多数病毒可以找到作者信息和来源信息，并通过大量数据分析统计病毒作者的主要情况和目的是：一些有才华的程序员不满老板，以示自我并证明自己的能力，出于好奇，报仇，祝贺和求爱，以获取控制密码， 用于软件的薪酬保留陷阱。 当然，也有政治，军事，宗教，种族。 专为满足专利等需求而准备的，其中还包括一些病毒研究机构和黑客测试病毒。

  6.计算机病毒的分类根据对计算机病毒的多年研究，按照科学，系统和严格的方法，计算机病毒可以分类如下：根据计算机病毒属性的方法，计算机病毒可以分类如下： 属性：

  根据存在计算机病毒的媒体，可以根据存在病毒的媒体将病毒分为网络病毒，文件病毒和启动病毒。 网络病毒会通过计算机网络在网络中传播可执行文件，文件病毒会感染计算机中的文件（例如：COM，EXE，DOC等），引导病毒会感染计算机的引导扇区（Boot）和系统引导扇区 硬盘（MBR），这三种情况存在混合类型，例如：多种类型的病毒（文件和引导类型）感染文件和引导扇区这两个目标，此类病毒通常具有复杂的算法，它们使用非常规方法侵入 该系统，使用加密和变形算法。

  根据计算机病毒感染的方法，病毒感染方法可分为驻留病毒和非驻留病毒。 驻留病毒感染计算机后，其内存的驻留部分将放置在内存（RAM）中。 程序的此部分挂接系统调用，并将其合并到操作系统中。 他处于活动状态，直到关闭或重新启动为止。 非本地病毒在有机会被激活时不会感染计算机内存，并且某些病毒保留在内存中的一小部分，但没有通过该部分传播，这些病毒也被归类为非本地病毒。

根据计算机病毒破坏的能力，病毒破坏能力可以分为以下几种类型：无害类型对系统没有其他影响，除了减少感染期间的可用磁盘空间。 这样的非危险病毒只会减少内存，显示图像，发出声音和发出类似声音。 此类危险病毒会导致计算机系统运行中的严重错误。 这种非常危险的病毒会删除程序，破坏数据并清除系统内存区域和操作系统中的重要信息。 这些病毒对系统造成的危害不是它们自己的算法中存在危险的调用，而是当它们被感染时，它们将导致不可预知的灾难性破坏。 由其他程序引起的病毒引起的错误也可能损坏文件和扇区，并且这些病毒还根据引起破坏的能力进行了划分。 当前一些无害的病毒也可能会损坏DOS，Windows和其他操作系统的新版本。 例如：在早期的病毒中，有一种“ Denzuk”病毒在360K磁盘上运行得很好，而没有造成任何损坏，但可能会在后来的高密度软盘上造成很多数据丢失。

  根据特定于计算机病毒的算法，根据特定于病毒的算法，病毒可分为：伴随病毒本身不会更改文件本身，它们会根据算法生成EXE文件的伴随体， 名称和不同的扩展名名称（COM），例如：XCOPY.EXE的伴侣是XCOPY.COM。 该病毒会将自身写入COM文件，并且不会更改EXE文件。 当DOS加载文件时，首先执行协同程序，然后协同程序加载并执行原始EXE文件。  “蠕虫”型病毒通过计算机网络传播，不更改文件和数据信息，使用网络从一台计算机的内存传播到另一台计算机的内存，计算网络地址，并通过 网络。 有时它们存在于系统中，并且通常不占用内存以外的其他资源。 除伴随病毒和“蠕虫病毒”类型外，寄生虫病毒也可以称为寄生虫病毒。 它们连接到系统的引导扇区或文件，并通过系统的功能传播。 根据它们的不同算法，它们可以分为：练习类型病毒病毒本身包含错误，无法很好地传播。 例如，某些病毒处于调试阶段。 隐性病毒通常不会直接修改DOS中断和扇区数据，而是使用DOS内部修改（例如设备技术和文件缓冲区）来使其难以查看资源并使用更高级的技术。 使用DOS的可用数据区域工作。 变异病毒（也称为幽灵病毒）使用复杂的算法来使每个副本具有不同的内容和长度。 他们的一般方法包括混合了无关指令的解码算法和经过修改的病毒体。

  特洛伊木马（以下简称特洛伊木马），英文名称为“ Trojan house”，其名称取自希腊神话中的特洛伊木马。

  它是基于远程控制的黑客工具，具有隐藏和未经授权的功能。

  所谓隐蔽是指木马的设计为了防止发现特洛伊木马，计数器将使用多种方法隐藏特洛伊木马，以便即使发现服务器感染了特洛伊木马，也可能无法确定特洛伊木马的具体位置，因此 它通常只能看“马”。

  所谓未经授权，是指一旦控制终端与服务器连接，控制终端将享受服务器的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等，以及 权力不是由服务器授予的，而是通过特洛伊木马程序被盗的。

  从特洛伊木马的发展来看，它基本上可以分为两个阶段。

  最初，网络仍处于UNIX平台主导的时期。 木马诞生。 当时的Trojan程序的功能相对简单。 他们经常将程序嵌入系统文件中，并使用跳转指令执行某些Trojan功能。 在此期间，特洛伊木马程序的设计者和用户主要是技术人员，他们必须具有相当的网络和编程知识。

  后来，随着WINDOWS平台的日益普及，出现了一些基于图形化操作的特洛伊木马程序，并且用户界面得到了改进，从而使用户可以在不了解太多优质知识的情况下熟练地操作特洛伊木马。 相对的特洛伊木马入侵也经常发生。 并且由于在此期间木马的功能变得越来越完善，因此对服务器的损害也更大。

  因此，特洛伊木马一直发展到今天，并已得到最大程度的利用。 一旦受特洛伊木马控制，您的计算机将没有任何秘密。

  鉴于木马的巨大危害，我们将分三部分详细介绍木马：原理，防御和反击以及数据。 希望您对特洛伊木马攻击方法有一个全面的了解。

  原则

  基础知识

  在介绍特洛伊木马的原理之前，我们需要事先解释一些特洛伊木马的基本知识，因为有很多地方会提到这些内容。

  完整的Trojan系统由硬件，软件和特定的连接部分组成。

  （1）硬件部分：建立木马连接所需的硬件实体。 控制端：远程控制服务器的一方。 服务器：由控制器远程控制的一方。  INTERNET：由控制端对服务器进行远程控制和数据传输的网络载体。

  （2）软件部分：远程控制所需的软件程序。 控制程序：控件用于远程控制服务器的程序。 木马程序：潜入服务器以获取其操作权限的程序。 特洛伊木马程序：设置特洛伊木马程序的端口号，触发条件，特洛伊木马名称等，以使其在服务器端更加隐蔽。

  （3）特定的连接部分：通过INTERNET在服务器和控制终端之间建立特洛伊木马通道所需的元素。 控制终端IP，服务器IP：控制终端和服务器的网络地址，以及特洛伊木马发送数据的目的地。 控制端口，木马端口：即控制端口和服务器的数据端口。 通过此端口，数据可以直接到达控制端口程序或Trojan程序。

特洛伊木马原则

  特洛伊木马是用于网络入侵的黑客工具。 从过程的角度来看，它可以大致分为六个步骤（有关详细信息，请参见下图）。 下面我们将根据这六个步骤详细阐述特洛伊木马的攻击原理。

  1.配置木马

  一般来说，设计良好的木马具有Trojan配置程序。 从具体的配置内容来看，主要是实现以下两个功能：

  （1）特洛伊木马伪装：为了尽可能在服务器端隐藏特洛伊木马，特洛伊木马配置程序将使用多种伪装方法，例如修改图标，捆绑文件，自定义端口，自毁等。 在本节中有详细介绍。

  （2）信息反馈：Trojan配置程序将设置信息反馈方法或地址，例如设置信息反馈电子邮件地址，IRC编号，ICO编号等，我们将在“信息反馈”部分中详细介绍。

  2.传播木马

  （1）传输方式：

  传播特洛伊木马的主要方法有两种：一种是通过E-MAIL，控制端以邮件附件的形式发送特洛伊木马程序，只要打开附件系统，收件人将感染特洛伊木马。 另一个是软件下载以提供软件下载的名义，一些非正规网站将特洛伊木马与软件安装程序捆绑在一起。 下载后，只要运行这些程序，该木马程序将自动安装。

  （2）伪装：

  鉴于特洛伊木马的危害性，许多人仍然对特洛伊木马有所了解，这对特洛伊木马的传播具有一定的抑制作用，因此不愿看到特洛伊木马设计者，因此他们开发了多种功能来伪装特洛伊木马。 为了降低用户警觉性和欺骗用户。

  （1）修改图标

  当您在电子邮件附件中看到此图标时，您认为它是文本文件吗？ 但是我必须告诉您，这也可能是特洛伊木马程序。 已经有可用于特洛伊木马程序的图标的特洛伊木马。 更改为HTML，TXT，ZIP等各种文件的图标非常令人困惑，但是目前提供此功能的特洛伊木马仍然很少见，而且这种伪装并非无懈可击，因此不必整天担心 。 可疑。

  （2）捆绑文件

  这种伪装方法是将木马程序绑定到安装程序。 当安装程序运行时，木马会在用户不知情的情况下秘密进入系统。 至于要捆绑的文件，它们通常是可执行文件（即EXE和COM之类的文件）。

  （3）错误显示

  任何了解特洛伊木马的人都知道，如果打开文件，则什么也不会发生。 这可能是木马程序。 木马的设计者也意识到了这一缺陷，因此木马提供了一种称为错误显示的功能。 当服务器用户打开Trojan程序时，将弹出如下所示的错误提示框（当然是false）。 可以自由定义错误内容，并且大多数错误内容将被自定义为诸如“文件已损坏且无法打开！”之类的内容。 这样的信息，当服务器用户相信事实时，木马但是悄悄地入侵了系统。

  （4）自定义端口

  许多老式的特洛伊木马端口都是固定的，这为确定特洛伊木马是否受到感染带来了便利。 只需检查特定端口即可知道感染了特洛伊木马，因此现在许多新的特洛伊木马都添加了自定义端口的功能来控制最终用户可以选择1024至65535之间的端口作为特洛伊木马端口（通常不选择1024以下的端口）  ，这给被感染的木马类型带来了麻烦。

  （5）自毁

  此功能是为了弥补特洛伊木马的缺陷。 我们知道，当服务器用户打开一个包含特洛伊木马的文件时，该特洛伊木马会将其自身复制到WINDOWS的系统文件夹（在C： WINDOWS或C： WINDOWS SYSTEM目录下）。 一般而言，原始木马文件和系统文件文件夹中木马文件的大小是相同的（捆绑该文件的木马除外），那么找到该木马的朋友可以在最近的木马中找到原始木马文件。 接收信件并下载软件，然后根据原始木马的大小转到系统文件。查找相同大小的文件，然后确定哪个是木马。 木马的自毁功能意味着安装木马后，原始木马文件将被自动销毁。 这使服务用户很难找到木马的来源。 没有木马工具的删除，很难删除木马。

  （6）重命名木马

  安装在系统文件夹中的特洛伊木马的文件名通常是固定的，因此，只要根据一些有关查杀特洛伊木马的文章，根据地图在系统文件夹中搜索特定文件，就可以确定特洛伊木马在其中。 有许多木马可以让控制用户自由自定义已安装的木马文件名，因此很难确定受感染木马的类型。

  3.运行木马

  服务器用户运行特洛伊木马或捆绑特洛伊木马的程序后，将自动安装特洛伊木马。 首先将自己复制到WINDOWS的系统文件夹（C： WINDOWS或C： WINDOWS SYSTEM目录），然后在注册表，启动组和非启动组中设置特洛伊木马的触发条件，以便进行安装 特洛伊木马程序的完成。 安装后，您可以启动木马。 具体过程如下图所示：

  （1）通过触发条件激活木马

  触发条件是指启动木马的条件，大致出现在以下八个位置：

  1.注册表：在HKEY_LOCAL_MACHINE Software Microsoft Windows 下，在Run和RunServices下打开五个主键，然后查找可能是启动Trojan的键值。

2.在WIN.INI：C： WINDOWS目录中有一个配置文件win.ini，该文件以文本模式打开。 在[windows]字段中，有启动命令load =和run =，通常为空白。 启动程序，可能是木马。  3. SYSTEM.INI：C： WINDOWS目录中有一个配置文件system.ini，以文本模式打开它，[386Enh]，[mic]，[drivers32]中有命令行，并查找启动文件 木马命令。

  和Config.sys：C驱动器根目录中的这两个文件也可以启动Trojan。 但是，这种加载方法通常要求控制端的用户与服务器建立连接，然后将与Trojan启动命令添加到的名称相同的文件上载到服务器，以覆盖这两个文件。

  5. *。  INI：这是应用程序的启动配置文件。 控制终端使用这些文件来启动程序。 它使用Trojan启动命令将具有相同名称的文件上载到服务器，以覆盖具有相同名称的文件，从而可以实现启动Trojan的目的。

  6.注册表：打开HKEY_CLASSES_ROOT 文件类型 shell open 命令主键并查看其键值。 例如，国产冰马“冰河”是在HKEY_CLASSES_ROOT txtfile shell open command下修改键值，并将“ C： WINDOWS NOTEPAD.EXE％1”更改为“ C： WINDOWS SYSTEM   SYXXXPLR.EXE％1“，当您双击一个TXT文件时，原来使用NOTEPAD打开该文件的文件现在变成了特洛伊木马。 还应注意的是，不仅可以通过修改HTML，EXE，ZIP等文件的启动命令的键值来启动TXT文件，还可以启动特洛伊木马程序，区别仅在于主要的“文件类型”的区别。 键，TXT是txtfile，ZIP是WINZIP，您可以尝试找到它。

  7.捆绑文件：要达到此触发条件，控制终端和服务器必须首先通过特洛伊木马建立连接，然后控制用户使用工具软件将特洛伊木马文件与应用程序捆绑在一起，然后将其上传到 服务器覆盖原始文件。  ，即使删除了特洛伊木马，只要运行与特洛伊木马捆绑在一起的应用程序，特洛伊木马也将再次安装。

  8.启动菜单：在“启动---程序---启动”选项下，木马可能存在触发条件。

  （2）木马运行过程

  激活特洛伊木马程序后，进入内存并打开预定义的特洛伊木马程序端口，准备与控制终端建立连接。 这时，服务器用户可以在MS-DOS模式下键入NETSTAT -AN来查看端口状态。 通常，个人计算机脱机时将没有端口。如果您打开了端口，则应注意该端口是否感染了木马。 以下是在计算机感染特洛伊木马后使用NETSTAT命令查看端口的两个示例：

  其中，①是服务器与控制终端建立连接时的显示状态，②是服务器与控制终端尚未建立连接时的显示状态。

  在浏览Internet的过程中，您必须下载软件，发送信件和在线聊天。 必须打开某些端口。 以下是一些常用端口：

  （1）端口在1到1024之间：这些端口称为保留端口，并为某些外部通信程序保留，例如FTP的21个，SMTP的25个和POP3的110个。 很少有特洛伊木马使用保留端口作为特洛伊木马端口。

  （2）1025以上的连续端口：在线浏览网站时，浏览器将打开多个连续端口以将文本和图片下载到本地硬盘。 这些端口是1025以上的连续端口。

  （3）4000端口：这是OICQ的通信端口。

  （4）6667端口：这是IRC的通信端口。 除了上述端口可以基本排除之外，如果您发现还有其他端口处于打开状态，尤其是具有较大值的端口，那么您就不得不怀疑它是否感染了特洛伊木马。 当然，如果木马具有自定义端口的功能，那么任何端口都可以是木马端口。

  4.信息泄漏：

  一般来说，设计良好的特洛伊木马具有信息反馈机制。 所谓信息反馈机制，是指特洛伊木马安装成功后，将收集服务器的一些软硬件信息，并通过E-MAIL，IRC或ICO通知控制终端用户。 下图是典型的信息反馈电子邮件。

  从此电子邮件中，我们可以了解服务器的一些软件和硬件信息，包括使用的操作系统，系统目录，硬盘分区状态，系统密码等。在这些信息中，最重要的是服务器IP，因为只有获得 此参数为了与服务器建立连接，下一节将说明特定的连接方法。

  5.建立连接：

  在本节中，我们将说明如何建立Trojan连接。 建立Trojan连接必须首先满足两个条件：首先，Trojan程序已安装在服务器上； 第二，控制终端，服务器必须在线。 在此基础上，控制终端可以通过Trojan端口与服务器建立连接。 为了便于说明，我们使用插图的形式进行说明。

如上图所示，机器A是控制终端，机器B是服务器。 为了使机器A与机器B建立连接，必须知道机器B的特洛伊木马端口和IP地址。由于特洛伊木马端口是由机器A预先设置的，因此它是已知项，因此最重要的是如何获取 B机器的IP地址。 获取B机IP地址的主要方法有两种：信息反馈和IP扫描。 上一节已经介绍了上一个，不再赘述。 我们将专注于IP扫描。 由于B机器配备了Trojan Horse程序，因此其Trojan端口7626已打开，因此现在A机器只需在IP地址段中扫描端口7626为打开的主机即可。 例如，图中机器B的IP地址是。 当机器A扫描该IP并发现端口7626已打开时，该IP将被添加到列表中。 此时，A机可以通过Trojan的控制终端程序向B机发送连接信号。  B机器中的Trojan程序在收到信号后立即响应。 当A机器接收到响应信号时，它将打开一个随机端口1031。与B机器的Trojan端口7626建立连接，然后真正建立Trojan连接。 值得一提的是，扫描整个IP地址段显然很耗时且费力。 一般而言，控制终端首先通过信息反馈获取服务器的IP地址。 因为用于拨号Internet访问的IP地址是动态的，也就是说，每次“是”，用户的IP地址都是不同的，但是此IP在一定范围内变化。 如图所示，B机的IP为，那么B机的IP接入范围是---，因此每次控制终端只需要搜索该IP地址段即可找到B。 机。

  6.遥控器：

  建立木马连接后，控制端口和木马端口之间将出现一个通道，请参见下图

  控制终端上的控制程序可以使用此通道与服务器上的Trojan程序联系，并使用Trojan程序远程控制服务器。 下面我们将介绍控制终端可以享受的特定控制权，它比您想象的要大得多。

  （1）窃取密码：特洛伊木马可以检测到所有以纯文本形式*或缓存在CACHE中的密码。 此外，许多木马还提供了按键记录功能，可以记录服务器上的每次敲击。 键盘的作用，因此一旦木马入侵，密码就很容易被盗。

  （2）文件操作：控制终端可以通过远程控制在服务器上删除，创建，修改，上载，下载，运行，更改属性等一系列操作，基本上涵盖了WINDOWS平台上的所有文件操作功能。

  （3）修改注册表：控制终端可以随意修改服务器注册表，包括删除，创建或修改主键，子键和键值。 使用此功能，控制终端可以禁止使用服务器的软盘驱动器和CD-ROM驱动器，锁定服务器的注册表，并将服务器上的特洛伊木马触发条件设置为更隐蔽的一系列高级操作。

  （4）系统操作：此内容包括重新启动或关闭服务器操作系统，断开服务器网络连接以及控制服务器鼠标，键盘，监视服务器端桌面操作，查看服务器端进程等。控制器甚至可以随时将信息发送到服务器。 想象一下，当突然在服务器端桌面上弹出一个段落时，跳转就不足为奇了