⑴ php程序,如何檢測是否被植入後門,木馬
清馬
1、找掛馬的標簽,比如有<script language="javasc粻紶綱咳蕺糾告穴梗膜ript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>,或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬,一般是JS掛馬。
2、找到了惡意代碼後,接下來就是清馬,如果是網頁被掛馬,可以用手動清,也可以用批量清,網頁清馬比較簡單,這里就不詳細講,現在著重講一下SQL資料庫清馬,用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」, 解釋一下這一句子的意思:把欄位名里的內容包含aaa的替換成空,這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下,可以實行以上兩步驟進行清馬,如果你的網站程序有備份的話,直接覆蓋原來的文件即可。
修補漏洞(修補網站漏洞也就是做一下網站安全。)
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!
⑵ BT怎麼用
BT之新手下載完全教程
教程一:
BT介紹
bt全名為BitTorrent,是一個p2p(點對點)下載軟體,你在下載(download)的同時,也在為其他用戶提供上傳(upload),因為大家是「互相幫助」,所以不會隨著用戶數的增加而降低下載速度。
總的來說,BT下載的特點就是下的人越多速度就越快。為家庭上網用戶和普通寬頻用戶大大提高下載速度提供了一個極好的方法,這是其它任何工具所無法比擬的!
其原理就是下載和上載同時進行,如有100個人在用BT下載電影,那麼也就是說有99人在為另外一個人提供下載資源,所以只要你的「帶寬」允許,理論上速度可以達到無限快!
我說的也有很多不準確和不專業的地方,不過大意就是這樣,請大家見諒!所以我強烈推存大家使用這種無可比擬的下載方式!最主要的它是免費的哦!
首先我們得先去下載個種子,比如我想去下載電影,點擊進入電影BT區,如圖:
之後找個種子貼,點擊進入,但是要找帖子發布日期比較新的,否則,可能會沒有種子提供下載數據!如圖:
在帖子裡面找到附件,把種子另存到你的硬碟中即可,如圖:
選擇保存種子附件的位置,點擊保存:
種子附件下載完畢後,點擊打開文件夾:
就顯示出了種子在你硬碟中的位置:
這里:我以BITCOMET為例,為大家闡述下BT下載的方法,右鍵用BITCOMET的方法把剛剛保存在硬碟的種子打開(如圖)
之後出現了任務屬性,如圖:
點擊任務屬性裡面右上角的「瀏覽」,選擇保存要下載文件的位置,如圖:
選擇好保存文件的位置後點擊確定,就可進行下載了如圖:
看看我的速度,不慢吧?!還在上升之中,大家還在等什麽,趕快來我們BT之家下載吧!
其他BT軟體的方法和它大同小異!具體的可以模仿本教程!
下載教程:http://www.bitcomet.com/index-zh.htm
發貼總希望有人回復,哪怕別人在回復里啥也不說;
只是,一個字一個笑臉也會讓我深深感到被關注的幸福;
看完貼後,無論你感到喜歡不喜歡,都請你告訴我;
因為,無論你說什麼,都比冷漠要強;
只要帖不太差......請頂一下…謝謝你的回應!!
2005-11-21 18:20:30 IP:保密
漫步人生
等級:精靈
許可權:版主
積分:812
發帖數:627
注冊時間:2005-10-15
編輯 刪除 引用 第2樓
教程二:
----------【 BT 新 手 必 看 】----------
新手問題
[新-1]:BitTorrent(BT)是什麼?
BT是一種類似與電驢的P2P共享軟體(不是「變態」),全名叫"BitTorrent",中文全稱:"比特流"
[新-2]:我能拿BT來幹些什麼?
最新的電影,游戲,動漫,只要你想的到的,BT都能提供給你,而且速度也是bt的,遠遠超過你的想像,再也不用為只有幾K的下載速度煩惱了.
[新-3]:我能在哪裡下載到BitTorrent這個軟體?
http://www.bitcomet.com/index-zh.htm
下載安裝客戶端以後,就開始你的BT共享之旅吧!!
[新-4]:我已經安裝好客戶端了,我怎麼用BT進行下載呢?
找一些提供torrent文件下載的站點, 點擊torrent文件就可以開始下載了.
[新-5]k,也就是說,我必須找一些網站來下載torrent文件, 那麼怎麼樣得到torrent文件呢?
torrent文件是由一些BT愛好者自發組建的網站提供的,http://www.bitcomet.com/index-zh.htm
[新-6]: torrent文件實際包含了什麼信息?
torrent文件(擴展名為.torrent),包含了一些 Bit Torrent 下載 所必須的信息,有了這個文件,你才可以下載最新,最酷的東東.torrent文件通常很小,大約幾百K大小吧.
[新-6]:torrent文件可以提供那些類型文件的下載呢?
一切都可以共享!!.
[新-7]:我心動了,什麼樣的文件下載最為迅速呢?
最熱,最酷的東西下載最為迅捷,BT的原理是:下載的人越多,速度越快,完全不同於以往的任何同類軟體.
需要注意的是:你的下載速度是取決於你的上傳速度的,如果你的上傳速度 不快,到時候下載速度慢可不要找我.
[新-9]:Bit Torrent 的工作原理是什麼,我很想知道?
BT首先在上傳者端把一個文件分成了Z個部分,甲在伺服器隨機下載了第N各部分,乙在伺服器隨機下載了第M個部分,這樣甲的BT就會根據情況到乙的電腦上去拿乙已經下載好的M部分,乙的BT就會根據情況去到甲的電腦上去拿甲已經下載好的N部分,這樣就不但減輕了伺服器端得負荷,也加快了用戶方(甲乙)的下載速度,效率也提高了,更同樣減少了地域之間的限制。比如說丙要連到伺服器去下載的話可能才幾K,但是要是到甲和乙的電腦上去拿就快得多了。所以說用的人越多,下載的人越多,大家也就越快,BT的優越性就在這里。而且,在你下載的同時,你也在上傳(別人從你的電腦上拿那個文件的某個部分),所以說在享受別人提供的下載的同時,你也在貢獻。
--------------------------------------------------------------------------------
速度
[速-1]: 我是窄帶,能用bt嗎?
無論你是什麼連接類型,都可以使用BT.內網的用戶也可以使用.不過需要提醒的是,你的下載速度取決於你的上傳速度,
[速-2]:為什麼有的文件下載速度比其他文件慢?
如果下載的人不多,那麼下載速度當然快不起來,那你就可以運用宣傳手段,讓更多的人來下載,這樣你的速度就快了. 另外一個原因是你的下載速度取決於與你一起下載的人的速度,如果他們不快,你當然快不起來.
[速-3]: 為什麼我的下載速度很慢,但上傳速度卻快的驚人呢?
[速-4]: 為什麼我得下載速度不穩定?
這取決於很多的因素,諸如下載的人數變動,seed減少,你的網速等等.
[速-5]: 怎樣才能加快我下載的速度?
升級你的網路,比方說安裝光纖網,呵呵,還有就是讓更多的人同時下載你想要的文件,優化你的系統,下載熱門的東東,都可以加快你的速度.
--------------------------------------------------------------------------------
下載
[下-1]:為什麼剛開始下載,文件就已經很大了呢?
BitTorrent 下載開始前,會先生成與原文件一樣大小,並且一摸一樣的文件來存放數據,BT會隨機下載文件的相應部分來填入這個文件中,當全部填充完畢之後,你的下載也就完成了.
如果你不知道這個文件是未下載完成,還是已經下載好的,請使用 TorrentSpy這個軟體.
[下-2]: 後綴名.bin .cue的文件怎麼樣打開?
用虛擬光碟機打開即可,下載 alcohol
--------------------------------------------------------------------------------
客戶端
[客-1]:我必須使用官方版本的客戶端下載嗎?
不,你可以使用任何BT下載程序.
[客-2]: 我在哪兒能找到別的客戶端的下載?
推薦:http://www.bitcomet.com/index-zh.htm
[客-3]: BT軟體現在有什麼新的進展嗎?
是的,已經修正了一些bug.現在的官方客戶端 比以前更加穩定,其他的非官方的客戶端也正在不斷改進之中..
--------------------------------------------------------------------------------
製作torrent文件(發布)
[發-1]: 必需軟體
下載completedir.
[發-2]:發布教程
1.安裝CompleteDir。從開始菜單里啟動CompleteDir, 或者去Program Files/Completedir把雙擊completedirgui.exe。
2.點select選取你要發布的文件所在的目錄。
如果你想將一個子目錄里的內容按一個文件來發布,比如說王菲的《胡思亂想》專輯,假設目錄雖在位置為: 「C:\王菲\王菲-胡思亂想\「, directory to bulid里就填: "C:\王菲"
如果要發布王菲的單曲,就把 胡思亂想.mp3 放到 「C:\王菲」 里。
注意:製作時 "C:\王菲" 里所有文件和目錄都會被掃描,所以只把要發布的放進去就可以了。
注意,一般用BT發布的東西在150M - 1G之間會比較有效率。
3. announce URL 里填寫tracker伺服器的地址, 例如大家可以填的tracker伺服器地址:
在那裡填入:
http://bt.btbbt.com:6969/announce
http://bt1.btbbt.com:7000/announce
第三行piece size用預設的就可以了。
4.點擊make,開始製作.torrent文件了,一個.torrent約20-50k。1GB的內容可能需要2分鍾左右的時間。任務完成後,可以結束completedir程序。此時.torrent文件已經製作成功。
6.此時,還需要你提供一個發放源,請你自己雙擊硬碟上的.torrent文件(或是網頁上的),然後自動跳出一個對話框讓你選擇路徑,此時不能把路徑搞混,應該選擇你剛選的文件源(如同續傳或reseed),將BT下載文件/目錄指向你剛才共享的那裡。再經過2分鍾左右的時間核算成功看到提示Finish後,不關閉這個窗口就正式作了種子提供上傳服務了 (感謝你咯)。
7.發布。瀏覽 http://bbs.btbbt.com/forumdisplay.php?fid=14 發新貼,填寫相關信息,上傳.torrent文件。等一小會兒,你發布的文件就可以在http://bbs.btbbt.com/forumdisplay.php?fid=62 里看到了。
因為上載的人之間互相可以傳送數據,所以你被佔用的帶寬應該不會很多。請發布者至少保持較長時間的上載支持(一般24小時左右,或至少堅持到第一批人下載完成。),也請下載的人遲些再關閉下載完成的窗口以給別人方便。
8.注意,發布共享的人最好配置好防火牆對外開埠,以便其他在防火牆內的用戶可以訪問。但是,如果即使你無法開埠(比如一部分內網用戶),也是可以發布的。
--------------------------------------------------------------------------------
安全
[安-1]:BitTorrent會泄漏我的隱私嗎??
不可能,.官方版客戶端 不會泄漏任何有關你私人的信息,有可能你要問我為什麼這個自信,冷靜的想一想,BT作為一個開放源代碼的軟體,任何人都可以看見代碼,如果有這種惡意代碼,早就被人發覺了,非官方版的客戶端不能保證其安全性,請大家酌情使用.
[安-2]: 我的那些個人信息會被共享?
tracker伺服器以及與你一起下載同一個文件的人會知道你的ip,不過這不是什麼問題,你在瀏覽網頁的同時,網站伺服器也同時知道你的ip,除非你共享非法的東東,否則是絲毫沒有安全問題的.
--------------------------------------------------------------------------------
我應該怎樣做
[做-1]: 怎樣為一個文件做seed?
雙擊那個你已經完成下載的文件(或者是你想與大家分享的文件)的torrent文件,選擇這個文件的位置,然後就可以開始seed了 製作torrent文件參見上傳教程.
[做-2]:我點擊了torrent文件的下載連接,但是BT沒有自動開始下載,我該怎麼辦?
點擊"打開",這樣BT就會自動開始下載.如果你把torrent文件下載到了硬碟上,找到那個torrent文件.雙擊之,選擇存放位置,就可以開始下載了.
[做-3]: 怎樣打開一個已經下載好的文件?
與你平常做的一樣---雙擊執行就可以了.如果文件不能打開,請檢查是否安裝了必要的軟體.比如說播放dvdrip文件需要安裝必須的codecs.
--------------------------------------------------------------------------------
我能做這些嗎
[Q-1] : 我能預覽未完成的文件嗎?
大多數情況下是不可以的.大多數的預覽軟體只能預覽文件的開頭,而BT下載的時候是隨機選擇開始部分的.這些軟體對於BT下載的文件就無能為力了.
[QI-2]:我能阻止別人從我這兒下載嗎?
官方版的BT是不能這樣做的.從BT的原理來說,下載速度是與上傳速度休戚相關的,所以不推薦這樣做.
[Q-3]: Bt能否斷點續傳?
當然可以.重新開始下載就可以了,BT自己會自動搜尋已下載的部分,不過記得要把文件存在以前下載的那個地方,^_^
--------------------------------------------------------------------------------
熱點問題
[問-1]: 我得硬碟不夠了,5555..
去加個120G的硬碟吧,^_^.還有一種可能就是硬碟有了問題,運行scandisk修復一下磁碟錯誤,一般都能得到解決
[問-2]: 下載在xx%停止了,救命啊
出現這種情況大多數是因為種子沒有了的緣故(舉個例子:一個文件被分成10個部分,但有第八部分的人只有一個,如果這個人斷線了,那麼其他下載的人就只能完成到90%了),這時候你可以去論壇發貼,請求別人reseed,不過千萬不要用跪求等字眼,這樣讓人心生厭惡.
[問-3]: 下載完的文件無法打開.
首先:確定文件時候已經完整下載(最好的檢驗方法就是再次運行你的客戶端軟體讓他檢查一下是否下載完畢),
第二:如果文件完整無缺,請確保安裝了正確的解碼器以及必要的打開這個文件的軟體
第三:如果你確信上兩步的確毫無問題,你可以到發布這個torrent文件的網站上救助,看看其他下載這個文件的人是否有這個問題
第四:如果其他人都打開正常,那麼恭喜你,重裝系統吧!!!
第五:或者你不想重裝,那麼請教一下身邊的老鳥,看他們是否有解決的方法,多多請教別人,自己的知識也能獲得增長
參考資料:http://www.catcn.net/html/2005-11-21/231625205954.html
⑶ *********************************************
下面的這個文章是我在《黑客技術大寶庫》中看到的,作者把木馬(病毒)說明得很詳細,我相信你看了之後會知道不少東西的。
木馬指南
1.這篇文章關於什麼?
在這篇文章里,我將向你解釋木馬及其未來的一些令人感興趣的事情.我希望你能認識到木馬是危險的,
它仍是一個很大的安全問題.盡管許多人說不從網路上下載文件你將不會感染木馬,這是不正確的.我在這兒
想解釋的是木馬有將來及其一些令人感興趣的事.這篇文章只是為基於WINDOWS平台而非UNIX的木馬准備.
2.木馬是什麼?
包含在合法程序里的未授權的程序.該未授權的程序執行用戶未知(很可能不想)的功能.
一個合法的但是已經被改動的程序,在它裡麵包含有未授權的代碼,這段代碼執行用戶未知(很可能不想的功能.
任何看起來執行想要和必須的功能(因為裡面的未授權代碼對用戶是未知的)而實際執行一些用戶未知
(很可能不想)的功能.
TROJANS也能叫做RAT's或遠程管理工具(Remote Administration Tools),TROJAN的名字來自古老的神話故事:
希臘人在戰爭中如何給他們的敵人一個很大的木馬做為禮物,他們接受了這個禮物,把木馬帶進了他們的王國,
在晚上,希臘士兵沖出了木馬,向城市發動了進攻,完全征服了它.
3.木馬的今天
特洛伊木馬一直是一個大的安全問題,即使在如今也是.絕大多數人不知道木馬為何物,他們不停從可疑
的人或不可信的地方下載文件.如今在網上有多於600種我所知的木馬,我想實際會比這多的多,因為如今的每一
個黑客和程序員都有自己的為了他(她)特定需要沒在任何地方公布的木馬.每個黑客小組都有他們自己的木馬
和程序.當有人開始學WINSOCK編程的時候,最先生成的通常是聊天客戶端軟體和木馬.即使有反病毒掃描器(我
將在下面談到),人們仍舊會被感染,被自己,被某些黑客,或被一些朋友.
4.木馬的將來
我想有許多人們認為木馬已經過時,沒有前途,我不這樣認為.木馬將總是有前途,新東西會加到裡面,在
木馬中有如此多的東西可以被有技巧的程序員改善.
有新的選項和更好的加密方法的木馬每天都在由程序員製造,以致防木馬軟體不能檢測到它們.因此,沒有
人知道在網上有多少木馬.但是程序員仍在編制木馬,他們在將來也會繼續.從技術上來說,木馬幾乎可以在任何
地方任何操作系統或硬體平台上出現,然而在前面提到的室內工作除外.木馬的廣泛傳播很象病毒,來自網際網路
的軟體下載,尤其是共享和免費軟體,總是可疑的,類似地,來自地下組織伺服器或用戶新聞組的材料也在侯選
之列.有成千上萬的軟體沒有檢查來源,新程序特別是免費軟體每天都在出現,他們可能都是木馬.因此,留心你
正在下載什麼,正從哪兒下載,總是從正式的頁面下載軟體.
5.防病毒掃描器
人們認為,當他們有了有最新的病毒定義的防病毒掃描器之後,他們在網上就是安全的,他們將不會感染
木馬或沒有人可以訪問.
他們的計算機.這種觀點是不正確的.防病毒掃描器的目的是檢測病毒而不是木馬.但是當木馬流行的時候,
這些掃描器也開始加一些木馬的定義,他們不能發現木馬並分析他們,這就是他們為什麼只能檢測常用和廣為
人知的木馬比如BO和NETBUS或少數幾個其他的.正如我說的,木馬有大約600種,而這些掃描器只能檢測他們中
極少的一部分.這些掃描器不是可以阻止試圖連接你的電腦或試圖攻擊你(正如人們認為他們那樣)的防火牆.
因此,我希望你明白這些掃描器的主要目的不是當你上線的時候檢測木馬並保護你.絕大多數的網際網路用戶只知
道BO和NETBUS是特洛伊木馬,有一些特定的工具只能清除這些木馬,人們就認為他們是安全的能受保
護不感染每一個木馬.
6.我怎麼會感染木馬?
每個人都問這個問題,人們經常問他們自己怎麼會感染上木馬,也有一些人問的時候,他們確實運行了
某些由別人發送或從某個地方下載的文件,人們總是說他們不會運行任何東西或下載某些文件,但是他們做了.
人們總是在上線的時候不注意一些事情,這就是為什麼他們會忘記他們感染木馬是在什麼時候.
你會在任何地方受感染,在這里我會試圖解釋這些事情:
---從ICQ
---從IRC
---從附件
---從物理訪問
---從詭計
6.1 從ICQ
人們認為當他們正用ICQ交談的時候不會感染,然而,他們忘記了某人給他們發送文件的時刻.每個人都知
道ICQ有多不安全,這就是為什麼那麼多人害怕使用它.正如你所知道的,ICQ有一個BUG讓你可以發送EXE文件
給某人,但是文件看起來是BMP或JPG或不管你想讓它看起來象什麼的東西.這是非常危險的,正如你明白的,
你會陷入麻煩.攻擊者將只是把文件的圖標改成象一個BMP圖象,告訴你它是他的相片,將它重命名為photo.bmp,
接著你會得到它,當然,在得到它之前你會看到bmp圖象,此時你是安全的,因為它還沒有被執行,接著你運行
它看照片,你認為沒有什麼可擔心的,其實有.
那是為什麼絕大多數人說他們不運行任何文件,因為他們知道他們運行了一個圖片而不是可執行文件.一
個防止這個ICQ里的BUG的方法是在運行之前總是檢查文件的類型,它可能有一個BMP的圖標但是如果文件類
型寫著可執行,我想你知道如果你運行它的話將是一個錯誤.
6.2 從IRC
你也可能從IRC上通過接收不可信來源文件而感染木馬.我建議你應該總是paranoid,不接收來自任何人
甚至是你的最好的朋友的文件,因為有人可能偷取了他(她)的密碼而來感染你.當有人問某人某些事如一個
秘密或別的只有他(她)知道的事時,他(她)認為他(她)可以100%的確信問的那個人是他(她)的朋友,
正如我告訴你paranoid,因為有人可以感染你的朋友並檢查他(她)的IRC日誌,看秘密是什麼或了解其他的
事情.正如我所說,paranoid是更安全的,不要接受任何來自在IRC上的任何人的文件或其他地方如EMAIL,
ICQ,甚至你的在線朋友.
6.3 從附件
同樣的事情也會伴隨EMAIL附件發生.不要運行任何東西即使它說你將會看到熱辣的色情作品或一些服
務器的密碼或別的什麼東西.用木馬感染某人最好的方法是向伺服器投遞大量的EMAIL,因為在網上有很多新
手,他們當然會受感染.這是最好的感染辦法--如我所說:為什麼它是想感染大眾的人的首選方法.
6.4 物理訪問
當你的」朋友「可以物理訪問你的計算機的時候,你當然會被感染.讓我們假定你丟下某人在你
的電腦旁5分鍾,那麼你當然會被你的"朋友「中的某人感染.有一些非常精明的人,時刻想著物理訪問某人
的電腦的新方法,下面是一些有趣的詭計:
1.你的」朋友「可能請你」嗨兄弟,能給我一點水嗎?「或其他的可以讓他單獨呆著的事情,你會去取
點水,接著..你知道會發生什麼.
2.攻擊者可能有一個計劃.比方你邀請他(她)12:00在你的家裡,他會叫你的一個」朋友「在12:15給
你打電話和你談一些事情,攻擊者又有時間感染你了.也可以是:給你打電話的」朋友「說一些如」有人
在你身邊嗎?如果有的話,不如移到其他地方,我不想讓任何人聽到我們的談話「,這樣,攻擊者又單獨
呆著有時間感染你了.
6.5 詭計
這是一個對真想要些什麼的人起作用的詭計,當然攻擊者知道它是什麼.比方說受害人想看色情作品
或***密碼,那麼,攻擊者會在受害人屋子前留下一個含有木馬的軟磁碟,當然會將木馬和XXX圖片放在
一起.這是一個壞事情,因為有時候你真的想要某些東西,並且最後發現了它.
7.木馬會有多危險?
許多不知道木馬是什麼的人認為當他們運行一個可執行文件的時候什麼都沒有發生,因為他們的電腦仍
舊還在工作,所有的數據都還在.如果上病毒的話,他們的數據將被毀壞,電腦將不再工作.
有人正在你的電腦上上傳和下載文件;有人正讀你所的IRC日誌,了解你和你朋友的有趣的事情;有人
正讀你的所有的ICQ消息;有人正刪除你電腦上的文件....
這是一些顯示木馬有多危險的例子.人們只是在被感染的機器上用木馬代替如CIH一樣的病毒,然後毀壞機器.
8.不同種類的木馬
--遠程式控制制型木馬:
這是現在最流行的木馬.每個人都想有這樣的木馬,因為他們想訪問受害人的硬碟.RAT'S (remote access
trojans)使用起來非常簡單,只需要某人運行伺服器,你得到受害人的IP,你對他或她的計算機有完全的訪問
權.你能做一些事情,它依賴於你使用的木馬.但是,RAT'S有通常的遠程式控制制木馬的功能如:KERLOGGER,上傳
和下載,MAKE A SCREEN SHOT等等.有人將木馬用於惡意的目的,他們只是想刪除又刪除....
這是LAME.但是我有一個關於使用木馬最好方法的指南,你應該讀它.有很多用於檢測最常用木馬的程序,
但是新木馬每天都出現,這些程序不是最好的防禦.木馬總是做同樣的事情.如果每次WINDOWS重新啟動的時候,
木馬重啟,這意味著它放了什麼東西在注冊表或WIN.INI或其他的系統文件里,因此它能重啟.木馬也可能在
WINDOWS系統目錄里生成一些文件,這些文件總是看起來象一些受害人認為是正常的WINDOWS可執行文件.絕大
多數木馬隱瞞任務表Most trojans hide from the Alt+Ctrl+Del menu,有人只用ALT+CTRL+DEL來看哪些進
程正在運行,這是不好的.有程序會正確地告訴你進程和文件來自哪兒,但是有一些木馬(正如我跟你所說)
使用偽造的名字,對有些人來說,要決定哪個進程應該殺死是有一點困難的.
遠程式控制制木馬打開一個埠讓每一個人都可以連上你的電腦.有些木馬有些選項象改變埠和設置密碼以
使只有那個感染你的傢伙可以使用你的電腦.改變埠選項是非常好的,因為我確信你不想讓你的受害人看見
他的電腦上的埠31377是開著的.遠程式控制制木馬每天都在出現,而且將繼續出現對那些使用這樣的木馬的人:
小心感染你自己,那麼那些你想毀滅的受害人將會報復,你將會感到難過.
--發送密碼型木馬:
這些木馬的目的是得到所有緩存的密碼然後將他們送到特定的EMAIL地址,不不讓受害者知道 e-mail.絕大
多數這種木馬在WINDOWS每次載入的時候不重啟,他們使用埠25發送郵件.也有一些木馬發送其他的信息如
ICQ,計算機信息等等.如果你有任何密碼緩存在你電腦的任何地方,這些木馬對你是危險的.
--Keyloggers:
這些木馬是非常簡單的,他們做的唯一的事情就是記錄受害人在鍵盤上的敲擊,然後在日誌文件中檢查
密碼.在大多數情況下,這些木馬在WINDOWS每次載入的時候重啟,他們有象在線和下線的選項,當用在線選
項的時候,他們知道受害人在線,會記錄每一件事情.然而,當用下線選項的時候,WINDOWS開始後被寫下的
每一件事情會被記錄並保存在受害人的硬碟等待傳送.
--破壞型木馬:
這種木馬的唯一功能是毀壞和刪除文件,使得他們非常簡單易用.他們能自動刪除你計算機上所有的DLL,
EXE,INI文件.這是非常危險的木馬,一旦你被感染,毫無疑問,如果你沒有清除,你的計算機信息將不再存在.
--FTP型木馬:
這種木馬在你的電腦上打開埠21,讓任何有FTP客戶軟體的人都可以不用密碼連上你的電腦並自由上傳和
下載.這些是最常用的木馬,他們都是危險的,你應該小心使用他們.
9.誰會感染你?
基本上,你會被每個知道會如何使用木馬(這非常簡單)當然知道怎麼感染你的人感染.使用木馬的人是僅
僅停留在使用木馬階段的黑客,他們中的一些人不會走到下一個階段,他們是只能使用木馬(正如我所說這非
常簡單)的LAMERS,但是,讀了這篇文章後,你將知道別人用木馬感染你的最常用方法,它將使那些想用木馬
感染你的人感到困難.
10.攻擊者要找什麼?
你們中的一些人可能認為木馬只用來搞破壞,他們也能用來刺探某人的機器,從裡面取走很多私人信息.
攻擊者取的信息將包括但不限於下列常用數據:
----信用卡信息
----信貸信息
----常用帳號信息
----任何帳號數據
----資料庫
----郵件列表
----私人地址
----EMAIL地址
----帳號密碼
----個人簡歷
----EMAIL信息
----計算機帳號或服務訂閱信息
----你或你的配偶的姓名
----子女的姓名年齡
----你們的地址
----你們的電話號碼
----你寫給別人的信
----你家庭的照片
----學校作業
----任何學校的帳號信息
11.木馬如何工作?
在這兒我會向你解釋木馬是如何工作的,如果你有些單詞不了解,你可以查閱「文章中常用術語」部分.
當受害人運行木馬伺服器的時候,它確實在做些什麼,如打開某個特定埠監聽連接,它可以使用TCP或UDP
協議.當你連上受害人的IP地址時,你可以做你想做的事,因為你放了木馬的計算機上的伺服器讓你這么做.
一些木馬每次在WINDOWS被載入的時候重啟,他們修改WIN.INI或SYSTEM.INI,因此他們可以重啟,但是大多
數新木馬使用注冊表完成相應功能.木馬象客戶和伺服器一樣相互通信,受害人運行伺服器,攻擊者使用客戶
向伺服器發送命令,伺服器只是按客戶說的去做.
12.最常用木馬埠
這兒有最常用的木馬埠列表:
Satanz Backdoor|666
Silencer|1001
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
WebEx|1001
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
BackDoor|1999
Trojan Cow|2001
Ripper|2023
Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874
Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422
Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011
FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
13.不用掃描器如何監視自己的計算機?
大眾認為當他們有木馬和防病毒掃描器時他們就是安全的,最好的檢測木馬的方法是自己動手,你不能
確信木馬掃描器是否正確地工作因此開始自己檢測.在這篇文章里我已經包含了軟體和課程評論的列表,它
們將有助於你自己檢測你的機器是否有木馬.你總需要檢測你的系統看什麼埠開著,如果你看到有一個常用
木馬埠開著,你很可能已經感染了木馬.
**註解**
你可以在DOS方式下使用NETSTAT或用其他的軟體做這件事.
**註解**
總是注意你的電腦上有什麼文件在運行,檢查它裡面的一些可疑的東西如它的名字.我想你會檢測象
config.EXE,himem.exe,winlilo.exe或其他一些有趣的文件,Hex Edit them,如果你發現一些有趣的東西
如SchoolBus Server,立刻殺死他們.確信你在監視注冊表並時刻檢查它裡面新的變動,確信你在監視
system.ini或win.ini,因為仍舊有很多木馬從它們重啟.正如我告訴你的下載一些廣為人知的程序如ICQ或
MIRC總要從其官方主頁下載.遵循這些簡單的規則將有助於防止你的電腦感染上木馬.
14.幫助你監視自己的電腦的軟體
正如我告訴你的我已經包含了可以幫助你監視自己的計算機防止木馬感染的軟體的列表.
++++++++++++++++
----LogMonitor+
++++++++++++++++
文件和目錄監視工具
Version: 1.3.4
Home page: http://www.geocities.com/koenigvad/Eng/
Author: Vadim Dumbravanu, [email protected]
Log Monitor是一個文件和目錄監視工具,它定期檢查選定文件的修改時間,運行外部程序看是否文件已被
改變.對目錄而言,它處理象文件改動,添加或刪除.
平台:Windows 95/98/NT
自由供個人和商業使用,看LICENSE.TXT得到版權信息.文件包含下列主題:
--1.目的
--2.用法
--3.特性
--4.安裝
--5.反安裝
1.目的
程序的目的是讓不同的管理員使用自動處理程序.有時候這些自動處理程序會停止工作甚至異常終止,處理
程序生成或更新錯誤的日誌文件.Log Monitor會由他們的日誌文件監視這樣的處理程序,向管理員發出問題警告.
2.用法
絕大多數處理程序跟蹤日誌文件,定期更新他們.因此,如果這些處理程序異常終止,日誌文件停止改變.如果
處理程序在選定的時段沒有更新日誌文件,Log Monitor會運行一個外部程序,可能是net send bla bla bla或內
存分頁程序或進程重啟.如果文件也被改變,Log Monitor會運行一個程序,因此你可以檢查文件是否改變.Log
Monitor也可以監視目錄並處理目錄下的文件的變化,添加和刪除.Log Monitor也被用做一個任務調度程序,如果
你想比如每個小時運行一次任務,NT Scheler Service是不符合要求的.使用Log Monitor你可以添加根本不存在
的文件,接著選定3600秒的時間段和程序,只要文件不更新,選定的程序將每個小時運行一次.在程序被啟動
之前你可以定義運行時間和日期.
3.特性
好幾個文件或目錄可以同時被監視,每個文件有自己的時間,由獨立的線程處理.監視進程的列表存儲在配
置文件里.可以最小化到System Tray,也可以恢復.
有暫停監視選定文件的能力,「暫停」狀態也可以存儲在配置文件里.
依調度工作,可以只在選定的每周每月的時間間隔內檢查文件和目錄.
其他很多很好的特性...
++++++++++++
----PrcView+
++++++++++++
PrcView是一個可以顯示廣泛的現運行進程信息的免費進程查看工具,這些信息包括這樣的細節:生成時間,
版本,選定進程使用的DLL文件的全路徑,所有線程的列表,內存塊和堆.PrcView也允許你殺死或附帶一個調試
器到選定的進程,PrcView既可在WINDOWS 95/98也可在WINDOWS NT平台運行,程序包括窗口和命令行兩個版本.
PrcView可以以帶有最初的版權條款的壓縮包形式並遵循非商業原則自由免費分發.
該程序由商業組織向第三方的分發和基於該 程序的工作必須經作者允許.如果你在運行該程序的時候遇到問題請
訪問www.teamcti.com以獲得最新版本,如果仍有問題,請發送一個簡短的描述給[email protected]
----XNetStat
XNetStat是一個和DOS提示符下的NETSTAT一樣的程序,該程序顯示你計算機上所有打開的埠和已經建立的
連接,如果你需要或有任何疑問請MAIL:[email protected]
++++++++++++
----AtGuard+
++++++++++++
AtGuard是一個有很酷特性的防火牆軟體.它也能顯示你的計算機中的哪個文件打開了一個向外的連接,如果
你想檢測電腦上的木馬,這是非常有用的.我丟失了該程序的URL,但是,你可以試著在altavista.com或
packetstorm.securify.com搜索一下.
+++++++++++++++++++++++++
-----ConSeal PC FIREWALL+
+++++++++++++++++++++++++
這款軟體使你的PC更安全,相比其他基於PC的防火牆,它有一些超過它們的主要優勢.在Windows 95,
Windows 98 and Windows NT(3.51 & 4.0)上,它都可以使用.對WINDOWS機器,它可能是最好的防火牆,會
幫助你堵住你機器上的木馬埠,也能抵禦各種DOS攻擊.
+++++++++++++++++
----LockDown2000+
+++++++++++++++++
這真是一個好的可以檢測許多木馬的工具包,它也作為防火牆可以保護你免受NUKE和ICQ攻擊,還可以阻
止文件共享以使你不再有這方面的問題.它定期更新,加入很多新的木馬定義.你想免受攻擊和木馬感染的話,
你必須擁有它.你可以在 www.lockdown2000.com處獲得.
++++++++++
----TDS-2+
++++++++++
TDS(Trojan Defence Suite)也是一個有很多功能和插件的反木馬工具包,它也幾乎檢測所有木馬並定
期更新.如果你想免受攻擊和木馬感染,這也是必須有的一個工具.你可以在www.tds.diamondcs.com.au處獲得.
使用所有課程中提到到反木馬工具包,將會構建一個安全的反木馬的WINDOWS機器.
15.在程序中設置後門
使用木馬感染別人的人正變得更聰明了,他們開始將木馬設在一些每個人都使用的真實程序裡面,因此,
他們可以感染受害者.絕大多數人知道當他們運行一個木馬程序的時候,沒有什麼事情發生或出錯信息出現,
但是,當木馬被設進其他的程序的時候,這些程序正常工作,沒有任何出錯信息,受害者會認為他(她)沒
有被感染.這是不正確的.程序員會把兩個或更多的可執行部分合成一個生成程序,因此,他們可以將木馬設
在一些每個人都知道的程序里.這些開放源代碼的廣為人知的程序也是危險的.好的程序員可以修改源代碼使
它象一個木馬,比方說,你正在使用被修改過的郵件客戶.人所共知,發送密碼型木馬會使用埠25發送一些
包含有信息的郵件.想像如果攻擊者修改了你的郵件客戶把你的郵箱密碼發送給他(她)會怎樣.當然,你會
看見(如果你正在監視的話)埠25正開著,但是,很可能你不會注意,因為你正在發送郵件(正常情況下
發郵件時埠25開著),正如我所說,人們正變得越來越聰明.
16.建議
我的一些建議將幫助你免受木馬或病毒感染:
-1.從不接收文件,即使來自你的朋友.你永遠也不能確定電腦的另一端是誰.
-2.當執行文件的時候,首先檢查它的類型,因為有些人可能設詭計讓你運行它.
-3.總是監視你計算機上的開放埠和運行的文件.
-4.只從官方主頁下載軟體
-5.當玩木馬的時候,你可能感染自己,因為木馬創造者有時將木馬伺服器放在客戶里,因此當你運行客戶的
時候,你也被感染了.這又一次向你顯示木馬是很危險的,一旦你犯了錯誤,你會丟失一些敏感數據.
-6.變得paranoid會更安全.人們總是嘲笑那些燒掉他們每張紙片的人,他們將所有的密碼放在頭腦里,並使
用加密,不用ICQ或IRC,因為他們知道這些協議是多麼脆弱.
17.最後的話
文章到這里就沒了,不久我將更新它.BTW,這是我的最大的也是寫得最好的文章,我真的很喜歡它,我也希
望它將幫助那些想知道如何保護自己免受木馬感染和想學更多有關知識的人們.這又是一篇安全相關的教程,正
如我以前所說我現在開始寫這樣的文章了.你可以查閱我的雜志:blackcode.com/bc-tech/magazine.php3
這篇指南出與教育目的,對讀了這篇文章之後發生的任何事情,我不會承擔任何責任.我只是告訴你如何做
而不是叫你做,那是你的決定.如果你想把這篇文章放在你的站點或FTP或新聞組或其他的任何地方,你可以這
樣做,但是,沒有作者的允許不要改變任何東西.看到這篇文章出現在其他的頁面上,我將會感到很幸福.