是否感染木马了。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口。下面是一些常用的端口:
1~1023之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。
1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。
除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马。
四.信息泄露
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-mail ,IRC或ICO的方式告知控制端用户。
从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统、系统目录、硬盘分区情况、系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接。
五.建立连接
这里我们介绍木马连接是怎样建立的,一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端、服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。为便于说明我们采用图示的方式来讲解。
4
如图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A 机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种:信息反馈和IP扫描。这里重点介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,现在A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1037与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的是要扫描整个IP地段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中B机的IP是202.102.47.5,那么B机上网IP的变动范围是在202.102.000.000-202.102.25 5.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。
六.远程控制
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,如图
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面介绍控制端具体能享有哪些控制权限,这远比你想象的要大。
1.窃取密码:一切以明文的形式,或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取。
2.文件操作:控制端可由远程控制对服务端上的文件进行删除、新建、修改、
5
上传、下载、运行、更改属性等一系列操作,基本涵盖了Windows平台上所有的文件操作功能。
3.修改注册表:控制端可任意修改服务端注册表,包括删除、新建或修改主键、子健、键值。有了这项功能,控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。
4.系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标、键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息。
七.木马的防御
首先,建议大家最好到正规网站去下载软件,这些网站的软件更新快,且大部分都经过测试,可以放心使用。假如需要下载一些非正规网站上的软件,注意不要在在线状态下安装软件,一旦软件中含有木马程序,就有可能导致系统信息的泄露。
其次 个人电脑上最好装上杀毒软件,时刻检测个人电脑。养成良好的用电脑的习惯。
参考文献
(1)《计算机病毒分析与防范大全》 王建峰 电子工业出版社 (2)《计算机病毒原理与防治》 卓新建 北京邮电出版社 (3)《计算机病毒分析与对抗》 傅建明 武汉大学出版社
6
相关推荐:
loading