說起網(wǎng)絡安全,我想確實是一個難題,因為網(wǎng)絡的確不安全,那麼到底怎麼不安全呢?這也是一兩句話難以說清楚,現(xiàn)在我只談一談簡單的木馬攻防戰(zhàn)術.

木馬程序用“瞞天過�！被颉芭�著羊皮的狼”之類的詞來形容這類程序一點也不為過,直截了當?shù)恼f法是木馬有兩個程序,一個是服務器程序,一個是控制器程序,當你的電腦運行了服務器程序后,客人就可以使用控制器程序進入你的電腦,通過指揮服務器程序達到控制你的電腦的目的.

有些網(wǎng)友會說我的電腦沒有什麼秘密的資料,就抱著無所謂的態(tài)度,我想你肯定不希望在奮勇沖浪的時候,在與MM談情說愛的時候,或許你在看屬于你隱私的電子郵件的時候總有一雙或很多雙眼睛在"笑瞇瞇"的"關心"著你吧,更有甚者,通過木馬將病毒傳染到你的電腦上,讓你死去活來,你的鼠標被人家控制,鍵盤不知什麼時候鎖住了,這電腦還算你的嗎?怎麼辦?涼拌!

那麼木馬究竟是何方神圣,讓我們來分析一下.

一個木馬要工作,那麼其服務器程序必須在目標上運行,沒有人會主動要求去運行它,但是會有這麼一天,有人對你抱以和善的微笑說,"我這有一個好游戲""我有漂亮的MM屏保和你分享一下"等等,當你打開這些所謂的程序時,一個宿主程序已經(jīng)悄悄潛入你的機子,第一步就這樣完成了,這完全是我們疏于防范造成的.

然后,木馬一般會在以下三個地方安營扎寨:注冊表、win.ini、system.ini,因為電腦啟動的時候,需要裝載這三個文件,大部分木馬是使用這三種方式啟動的.也有捆綁方式啟動的,木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標電腦上,可以捆綁到啟動程序上,也可以捆綁到一般程序的常用程序上.如果捆綁到一般的程序上,啟動是不確定的,這要看目標電腦主人了,如果他不運行,木馬就不會進入內(nèi)存.捆綁方式是一種手動的安裝方式,一般捆綁的是非自動方式啟動的木馬.非捆綁方式的木馬因為會在注冊表等位置留下痕跡,所以,很容易被發(fā)現(xiàn),而捆綁木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等,位置的多變使木馬由很強的隱蔽性.

木馬的服務器程序文件一般位置是在c:\windows和c:\windows\system中,為什么要在這兩個目錄下,因為windows的一些系統(tǒng)文件在這兩個位置,如果你誤刪了文件,你的電腦可能崩潰,你不得不重新安裝系統(tǒng).

木馬的文件名更是一種學問,木馬的文件名盡量和windows的系統(tǒng)文件接近,這樣你就會弄糊涂了,比如木馬SubSeven 1.7版本的服務器文件名是c:\windows\KERNEL16.DL,而windows由一個系統(tǒng)文件是c:\windows\KERNEL32.DLL,他們之差一點點,但是刪錯了的話,結果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統(tǒng)文件C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖標有點兩樣,你可不要刪錯了哦.上面兩個是假扮系統(tǒng)文件的類型,我們再來看看無中生有的類型,木馬SubSeven 1.5版本服務器文件名是c:\windows\window.exe,看清楚了哦,少一個s的哦,如果不告訴你這是木馬,你有膽子刪嗎？

但是木馬有一個致命的缺點,相對固定的端口,黑客要進入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須打開某個端口,大家叫這個端口為“后門”,木馬也叫“后門工具”.這個不得不打開的后門是很難隱蔽的,只能采取混淆的辦法,很多木馬的端口是固定的,讓人一眼就能看出是什么樣的木馬造成的.所以,端口號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變端口號,SUB7默認的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定會把目標電腦的主人弄混淆了.有些人會問,要是這個端口會自動改變那該多好呀,每次上網(wǎng)端口號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網(wǎng)的端口均會改變,你是黑客,你打算怎么進入我的電腦呢？你知道這個木馬現(xiàn)在開放的端口號是多少嗎？想掃描我的電腦？端口一共有6萬多個,你什么時候掃描完畢？半個小時,呵呵,我早發(fā)現(xiàn)了,早把你炸死了.即使我是菜鳥一個,你這樣高速度掃描我的電腦,也會導致我的電腦通訊阻塞,誰會在網(wǎng)速非常慢的情況下在網(wǎng)絡上待半個小時？所以,這基本上是不太可能的事情.

木馬有很強的隱蔽性,在WINDOWS中,如果某個程序出現(xiàn)異常,用正常的手段不能退出的時候,采取的辦法時按“Ctrl+Alt+Del"鍵,跳出一個窗口,找到需要終止的程序,然后關閉它.早期的木馬會在按“Ctrl+Alt+Del"顯露出來,現(xiàn)在大多數(shù)木馬已經(jīng)看不到了.所以只能采用內(nèi)存工具來看內(nèi)存中時候存在木馬.

木馬的文件名更是一種學問,木馬的文件名盡量和windows的系統(tǒng)文件接近,這樣你就會弄糊涂了,比如木馬SubSeven 1.7版本的服務器文件名是c:\windows\KERNEL16.DL,而windows由一個系統(tǒng)文件是c:\windows\KERNEL32.DLL,他們之差一點點,但是刪錯了的話,結果可大不相同的哦,刪除KERNEL32.DLL會讓你死翹翹的哦.再比如,木馬phAse 1.0版本,生成的木馬是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系統(tǒng)文件C:\WINDOWS\System\Msgsrv32.exe一模一樣,只是圖標有點兩樣,你可不要刪錯了哦.上面兩個是假扮系統(tǒng)文件的類型,我們再來看看無中生有的類型,木馬SubSeven 1.5版本服務器文件名是c:\windows\window.exe,看清楚了哦,少一個s的哦,如果不告訴你這是木馬,你有膽子刪嗎？

但是木馬有一個致命的缺點,相對固定的端口,黑客要進入你的電腦,必須要有通往你電腦的途徑,也就是說,木馬必須打開某個端口,大家叫這個端口為“后門”,木馬也叫“后門工具”.這個不得不打開的后門是很難隱蔽的,只能采取混淆的辦法,很多木馬的端口是固定的,讓人一眼就能看出是什么樣的木馬造成的.所以,端口號可以改變,這是一種混淆的辦法.我們知道7306是木馬netspy的,木馬SUB7可以改變端口號,SUB7默認的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定會把目標電腦的主人弄混淆了.有些人會問,要是這個端口會自動改變那該多好呀,每次上網(wǎng)端口號自動改變,呵呵,真聰明,可惜聰明過頭了.比如,真有這樣的木馬裝在我的電腦上,每次上網(wǎng)的端口均會改變,你是黑客,你打算怎么進入我的電腦呢？你知道這個木馬現(xiàn)在開放的端口號是多少嗎？想掃描我的電腦？端口一共有6萬多個,你什么時候掃描完畢？半個小時,呵呵,我早發(fā)現(xiàn)了,早把你炸死了.即使我是菜鳥一個,你這樣高速度掃描我的電腦,也會導致我的電腦通訊阻塞,誰會在網(wǎng)速非常慢的情況下在網(wǎng)絡上待半個小時？所以,這基本上是不太可能的事情.

木馬有很強的隱蔽性,在WINDOWS中,如果某個程序出現(xiàn)異常,用正常的手段不能退出的時候,采取的辦法時按“Ctrl+Alt+Del"鍵,跳出一個窗口,找到需要終止的程序,然后關閉它.早期的木馬會在按“Ctrl+Alt+Del"顯露出來,現(xiàn)在大多數(shù)木馬已經(jīng)看不到了.所以只能采用內(nèi)存工具來看內(nèi)存中時候存在木馬.

4.立即掛斷.盡管造成上網(wǎng)速度突然變慢的原因有很多,但有理由懷疑這是由特洛伊木馬造成的,當入侵者使用特洛伊的客戶端程序訪問你的機器時,會與你的正常訪問搶占寬帶,特別是當入侵者從遠端下載用戶硬盤上的文件時,正常訪問會變得奇慢無比.這時,你可以雙擊任務欄右下角的連接圖標,仔細觀察一下“已發(fā)送字節(jié)”項,如果數(shù)字變化成1～3kbps（每秒1～3千字節(jié)）,幾乎可以確認有人在下載你的硬盤文件,除非你正在使用ftp功能.對TCP/IP端口熟悉的用戶,可以在“MS－DOS方式”下鍵入“netstat－a"來觀察與你機器相連的當前所有通信進程,當有具體的IP正使用不常見的端口（一般大于1024）與你通信時,這一端口很可能就是特洛伊木馬的通信端口.當發(fā)現(xiàn)上述可疑跡象后,你所能做的就是：立即掛斷,然后對硬盤有無特洛伊木馬進行認真的檢查.

5.觀察目錄.普通用戶應當經(jīng)常觀察位于c：\、c：\windows、c：\windows\system這三個目錄下的文件.用“記事本”逐一打開c：\下的非執(zhí)行類文件（除exe、bat、com以外的文件）,查看是否發(fā)現(xiàn)特洛伊木馬、擊鍵程序的記錄文件,在c：\Windows或c：\Windows\system下如果有光有文件名沒有圖標的可執(zhí)行程序,你應該把它們刪除,然后再用殺毒軟件進行認真的清理.

6.在刪除木馬之前,最最重要的一項工作是備份,需要備份注冊表,防止系統(tǒng)崩潰,備份你認為是木馬的文件,如果不是木馬就可以恢復,如果是木馬你就可以對木馬進行分析.不同的不馬有不同的清除方法,由于涉及面太大,這里就不詳述了.

總之不管你喜歡不喜歡,木馬總是存在的,你只有去多多少少的了解一些木馬的知識,才不至于遭人暗算,警惕啊,我的朋友,在茫茫的大海中,總有那麼一雙眼睛在窺視著你。