特洛伊木马攻防介绍（特洛伊木马攻击类型属于什么威胁）

大家好,今天就和小鱼一起来看看这个问题吧 。特洛伊木马攻击类型属于什么威胁，特洛伊木马攻防介绍很多人还不知道，现在让我们一起来看看吧！

特洛伊木马攻防介绍：

什么是特洛伊木马：

木马要想运行，它的服务器程序必须在目标上运行，没有人会主动要求运行。但是总有一天，会有人对你善意的一笑，说‘我这里有个不错的游戏’，‘我有个漂亮的MM屏保要分享给你’等等。当你打开这些所谓的程序时，一个宿主程序已经潜入了你的电脑，第一步就这样完成了。这完全是由于我们的疏忽。

然后，木马通常会在以下三个地方安营扎寨：注册表、win.ini和system.ini，因为电脑启动时需要加载这三个文件，而大多数木马都是通过这三种方式启动的。还有捆绑的启动方式。木马phAse 1.0和NetBus 1.53可以捆绑在目标电脑上，捆绑到启动程序中。也可以和通用程序的通用程序绑定。如果和一般程序捆绑，启动是不确定的，要看目标电脑的主人。如果他不跑，木马就不会进入内存。绑定是一种手动安装的方式，一般不会自动启动的木马都会被绑定。不捆绑的木马，因为会在注册表等地方留下痕迹，所以很容易被发现，而黑客可以确定捆绑方式、捆绑位置、捆绑位置。

木马服务器程序文件的一般位置在c:\windows和c:\windows\system中。为什么它们在这两个目录中？因为有些windows系统文件就在这两个位置，如果你误删了这些文件，你的电脑可能会崩溃，你必须重新安装系统。

木马的文件名是一种学问。木马的文件名尽可能的接近windows的系统文件，这样你会比较混乱。例如，特洛伊木马Subseven版的服务器文件名是c:\windows\KERNEL16。DL，而windows的系统文件是c:\windows\KERNEL32。DLL，它们几乎是一样的，但是如果删除错误，结果会很不一样。删除KERNEL32.DLL会让你死。比如木马1.0版本，生成的木马是c : \ WINDOWS \ System \ msgsrv32.exe，和WINDOWS系统文件c 3360 \ WINDOWS \ System \ Msgsrv32.exe完全一样，只是图标有点不同。请不要删除错误的。以上两种都是冒充系统文件的类型。我们来看看无中生有的类型。木马Subseven版服务器的文件名为c : \ windows \ window.exe。看清楚，少了一个S。如果我不告诉你这是木马，你有勇气删吗？

然而，特洛伊木马有一个致命的缺陷。黑客要想用相对固定的端口访问你的电脑，必须有办法。也就是说，木马必须打开某个端口，这个端口被称为“后门”，木马也被称为“后门工具”。这种不得不打开的后门很难隐藏，只能采取混淆视听。很多木马都有固定的端口，所以人们一眼就能看出是哪种木马造成的.端口号可以改，这是一种混淆的方式。我们知道7306属于木马netspy，木马SUB7可以改变端口号。SUB7的默认端口是1243，但是如果把1243的端口改成7306呢？呵呵，肯定会迷惑目标电脑的主人。有人会问，要是这个端口会自动改变就好了，每次上网端口号都会自动改变。呵呵，真聪明！可惜太巧了。比如我的电脑上安装了这样的木马，每次上网的端口都会变。你是黑客。你打算怎么进入我的电脑？你知道这个木马现在开放的端口号是多少吗？想扫描我的电脑吗？有6万多个端口。你什么时候能完成扫描？半个小时，呵呵，早发现早杀了你。即使我是个菜鸟，这么高的速度扫描我的电脑也会导致我的电脑通讯受阻。谁会以很慢的速度在网上呆半个小时？所以，这基本上是不太可能的事情。

木马具有很强的隐蔽性。在WINDOWS中，如果一个程序出现异常，用正常手段无法退出，解决方法是按下“Ctrl Alt Del”键，弹出一个窗口，找到需要终止的程序，然后关闭。早期的木马按“Ctrl Alt Del”就会露出来，现在大部分木马都看不到了。所以只能用内存工具来看看内存里有没有木马。

木马还有很强的潜伏能力。表观木马被发现并删除后，备份木马会在一定条件下跳出来。这种情况主要是由目标计算机所有者的操作造成的。我们先来看一个典型的例子：木马冰川(冰川1.2正式版)已经升级到3.0版本。该木马有两个服务器程序，c : \ WINDOWS \ SYSTEM \ Kernel32.exe挂在注册表的启动组中。当计算机启动时，它将载入内存。这是一个表面上的木马。另一个是c : \ Windows \ System \ sysexplr.exe，也在注册表里。它修改文本文件的关联。当你点击文本文件时，它就开始了。它将检查Kernel32.exe是否存在。如果是这样，它将什么也不做。

　　说了这麽多,是不是感到很恐怖,很上火,别着急,清凉解暑药马上就到.

　　特洛伊密码攻防办法：

　　　特洛伊密码攻防办法1.必须提高防范意识,不要打开陌生人信中的附件,哪怕他说的天花乱坠,熟人的也要确认一下来信的原地址是否合法.

　　　特洛伊密码攻防办法2.多读readme.txt.许多人出于研究目的下载了一些特洛伊木马程序的软件包,在没有弄清软件包中几个程序的具体功能前,就匆匆地执行其中的程序,这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品.软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明,尽管它一般是英文的,但还是有必要先阅读一下,如果实在读不懂,那最好不要执行任何程序,丢弃软件包当然是最保险的了.有必要养成在使用任何程序前先读readme.txt的好习惯.

　　值得一提的是,有许多程序说明做成可执行的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊木马程序,或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的,目的就是让用户误以为是程序说明文件去执行它,可谓用心险恶.所以从互联网上得来的readme.exe最好不要执行它.

　　　特洛伊密码攻防办法3.使用杀毒软件.现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,如KV300、KILL98、瑞星等等,可以不定期地在脱机的情况下进行检查和清除.另外,有的杀毒软件还提供网络实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失,但是要记住,它不是万能的.

　　　特洛伊密码攻防办法4.立即挂断.尽管造成上网速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊木马造成的,当入侵者使用特洛伊的客户端程序访问你的机器时,会与你的正常访问抢占宽带,特别是当入侵者从远端下载用户硬盘上的文件时,正常访问会变得奇慢无比.这时,你可以双击任务栏右下角的连接图标,仔细观察一下“已发送字节”项,如果数字变化成1～3kbps(每秒1～3千字节),几乎可以确认有人在下载你的硬盘文件,除非你正在使用ftp功能.对TCP/IP端口熟悉的用户,可以在“MS-DOS方式”下键入“netstat-a"来观察与你机器相连的当前所有通信进程,当有具体的IP正使用不常见的端口(一般大于1024)与你通信时,这一端口很可能就是特洛伊木马的通信端口.当发现上述可疑迹象后,你所能做的就是：立即挂断,然后对硬盘有无特洛伊木马进行认真的检查.

　　　特洛伊密码攻防办法5.观察目录.普通用户应当经常观察位于c：\、c：\windows、c：\windows\system这三个目录下的文件.用“记事本”逐一打开c：\下的非执行类文件(除exe、bat、com以外的文件),查看是否发现特洛伊木马、击键程序的记录文件,在c：\Windows或c：\Windows\system下如果有光有文件名没有图标的可执行程序,你应该把它们删除,然后再用杀毒软件进行认真的清理.

　　　特洛伊密码攻防办法6.在删除木马之前,最最重要的一项工作是备份,需要备份注册表,防止系统崩溃,备份你认为是木马的文件,如果不是木马就可以恢复,如果是木马你就可以对木马进行分析.不同的不马有不同的清除方法,由于涉及面太大,这里就不详述了.

　　总之不管你喜欢不喜欢,木马总是存在的,你只有去多多少少的了解一些木马的知识,才不至于遭人暗算,警惕啊,我的朋友,在茫茫的大海中,总有那麽一双眼睛在窥视着你.看了“特洛伊木马攻防介绍”文章的还看了：

1.关于《网络攻击与防御技术》的介绍

2.关于《网络攻防技术原理与实战》的介绍

3.希腊神话特洛伊木马计

4.关于网络技术攻击的介绍

5.特洛伊木马比喻什么

这篇文章到此就结束，希望能帮助到大家。