木马啊木马

[size=5][color=Magenta]　　　　说明：本文章自己写了近两个小时请大家不要随意转栽，谢谢[/color][/size]　
　　　
　　　麻痹的，这几天一直很郁闷，ＱＱ总站不稳，而Ｑ上的好友也莫名其妙的被黑掉好多，真是郁闷，ＮＮＤ装了天网才发现自己的电脑被木马糟蹋的不像个样子了，真是Ｊ８的愁了，以前总以为自己不会被挂到马，麻痹的弄的自己电脑给别人做了几天的肉鸡，真是Ｊ８的郁闷，在这里提醒所有的网络朋友，请务随意打开你Ｑ上好友发的你的网站，小心被对方挂马．现在的马的隐蔽性很强了．
　　　
　　今天告诉大家木马的运行程序和木马的来历，其实大家都应该有中马的经历吧，呵呵，那么你对木马了解多少呢，嘻.....
　　
　　　什么是木马呢？它的原名是“特洛伊木马”（trojan horse），其实木马也是有个来历的：源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。呵呵．．大家明白了吧

　　　其实木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。木马程序不能算是一种病毒，但杀毒软件已开始查杀一些木马了，也有不少人称木马程序为黑客病毒。
　　　
　　　作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用．一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，当人现在常用的方法无非就着几种:
　　　　　
　　在Win.ini中启动，在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：
　　　　　　　　run=c:\windows\file.exe

　　　　　　　　load=c:\windows\file.exe

　　利用注册表加栽运行，一般木马都喜欢藏身于注册表中，为什么呢？做为一个平常人，对Ｃ语言了解多少呢，你能随便改注册表吗，答案是你肯定不敢的，所以木马一般都喜欢藏与注册表中，偶就中的这样的，注册表被挂马的人改的不像样子了，我真是服了他，那么有耐心来修改．也真是难为他了．．．．．．麻痹的你在弄劳资端口，劳资肯定飞了你的硬盘，草．．．．．．说起劳资就火，麻痹的．

　　在Autoexec.bat和Config.sys中加载运行，请大家注意一下，在Ｃ盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

　　在Winstart.bat中启动，Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

　　　启动组，木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shellFolders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组１的哦，嘎嘎，别太懒了，多看看启动主是有好处滴．
　　　
　　　*.INI ，即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。 这样的马还没被别人挂过，嘻．．．
　　　
　　　修改文件关联，修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。哈哈，我想这样的马大家应该都被挂到过了，因为一般的杀毒软件是不拦截滴，在这里给大家一点提示（对付这类木马呢，只能经常检察HKEY_C\shell\open\command主键，查看其键值是否正常。）

　　　捆绑文件，实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。（真的很郁闷，以前写了个这样的木马，也捆绑住了，但好象运行不起来，不知道是怎么回事希望哪为大虾指点下好吗？）

　　　
　　　反弹端口型木马的主动连接方式，反弹端口型木马我已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。如果你装的有天网，因此只要留意也可在网络神偷服务端进行主动连接时发现它。


[size=5][color=Magenta]　　　　说明：本文章自己写了近两个小时请大家不要随意转栽，谢谢[/color][/size]　　　　

想请教你个问题可以吗？

你好,什么事啊?:handshake :handshake

我已经解决了谢谢你:)