⑴ php程序,如何检测是否被植入后门,木马
清马
1、找挂马的标签,比如有<script language="javasc粻紶纲咳蕺纠告穴梗膜ript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=网马地址></iframe>,或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马,一般是JS挂马。
2、找到了恶意代码后,接下来就是清马,如果是网页被挂马,可以用手动清,也可以用批量清,网页清马比较简单,这里就不详细讲,现在着重讲一下SQL数据库清马,用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”, 解释一下这一句子的意思:把字段名里的内容包含aaa的替换成空,这样子就可以一个表一个表的批量删除网马。
在你的网站程序或数据库没有备份情况下,可以实行以上两步骤进行清马,如果你的网站程序有备份的话,直接覆盖原来的文件即可。
修补漏洞(修补网站漏洞也就是做一下网站安全。)
1、修改网站后台的用户名和密码及后台的默认路径。
2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。
3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。
4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。
5、尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码。
6、写入一些防挂马代码,让框架代码等挂马无效。
7、禁用FSO权限也是一种比较绝的方法。
8、修改网站部分文件夹的读写权限。
9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全也是很有必要了!
⑵ BT怎么用
BT之新手下载完全教程
教程一:
BT介绍
bt全名为BitTorrent,是一个p2p(点对点)下载软件,你在下载(download)的同时,也在为其他用户提供上传(upload),因为大家是“互相帮助”,所以不会随着用户数的增加而降低下载速度。
总的来说,BT下载的特点就是下的人越多速度就越快。为家庭上网用户和普通宽带用户大大提高下载速度提供了一个极好的方法,这是其它任何工具所无法比拟的!
其原理就是下载和上载同时进行,如有100个人在用BT下载电影,那么也就是说有99人在为另外一个人提供下载资源,所以只要你的“带宽”允许,理论上速度可以达到无限快!
我说的也有很多不准确和不专业的地方,不过大意就是这样,请大家见谅!所以我强烈推存大家使用这种无可比拟的下载方式!最主要的它是免费的哦!
首先我们得先去下载个种子,比如我想去下载电影,点击进入电影BT区,如图:
之后找个种子贴,点击进入,但是要找帖子发布日期比较新的,否则,可能会没有种子提供下载数据!如图:
在帖子里面找到附件,把种子另存到你的硬盘中即可,如图:
选择保存种子附件的位置,点击保存:
种子附件下载完毕后,点击打开文件夹:
就显示出了种子在你硬盘中的位置:
这里:我以BITCOMET为例,为大家阐述下BT下载的方法,右键用BITCOMET的方法把刚刚保存在硬盘的种子打开(如图)
之后出现了任务属性,如图:
点击任务属性里面右上角的“浏览”,选择保存要下载文件的位置,如图:
选择好保存文件的位置后点击确定,就可进行下载了如图:
看看我的速度,不慢吧?!还在上升之中,大家还在等什麽,赶快来我们BT之家下载吧!
其他BT软件的方法和它大同小异!具体的可以模仿本教程!
下载教程:http://www.bitcomet.com/index-zh.htm
发贴总希望有人回复,哪怕别人在回复里啥也不说;
只是,一个字一个笑脸也会让我深深感到被关注的幸福;
看完贴后,无论你感到喜欢不喜欢,都请你告诉我;
因为,无论你说什么,都比冷漠要强;
只要帖不太差......请顶一下…谢谢你的回应!!
2005-11-21 18:20:30 IP:保密
漫步人生
等级:精灵
权限:版主
积分:812
发帖数:627
注册时间:2005-10-15
编辑 删除 引用 第2楼
教程二:
----------【 BT 新 手 必 看 】----------
新手问题
[新-1]:BitTorrent(BT)是什么?
BT是一种类似与电驴的P2P共享软件(不是“变态”),全名叫"BitTorrent",中文全称:"比特流"
[新-2]:我能拿BT来干些什么?
最新的电影,游戏,动漫,只要你想的到的,BT都能提供给你,而且速度也是bt的,远远超过你的想象,再也不用为只有几K的下载速度烦恼了.
[新-3]:我能在哪里下载到BitTorrent这个软件?
http://www.bitcomet.com/index-zh.htm
下载安装客户端以后,就开始你的BT共享之旅吧!!
[新-4]:我已经安装好客户端了,我怎么用BT进行下载呢?
找一些提供torrent文件下载的站点, 点击torrent文件就可以开始下载了.
[新-5]k,也就是说,我必须找一些网站来下载torrent文件, 那么怎么样得到torrent文件呢?
torrent文件是由一些BT爱好者自发组建的网站提供的,http://www.bitcomet.com/index-zh.htm
[新-6]: torrent文件实际包含了什么信息?
torrent文件(扩展名为.torrent),包含了一些 Bit Torrent 下载 所必须的信息,有了这个文件,你才可以下载最新,最酷的东东.torrent文件通常很小,大约几百K大小吧.
[新-6]:torrent文件可以提供那些类型文件的下载呢?
一切都可以共享!!.
[新-7]:我心动了,什么样的文件下载最为迅速呢?
最热,最酷的东西下载最为迅捷,BT的原理是:下载的人越多,速度越快,完全不同于以往的任何同类软件.
需要注意的是:你的下载速度是取决于你的上传速度的,如果你的上传速度 不快,到时候下载速度慢可不要找我.
[新-9]:Bit Torrent 的工作原理是什么,我很想知道?
BT首先在上传者端把一个文件分成了Z个部分,甲在服务器随机下载了第N各部分,乙在服务器随机下载了第M个部分,这样甲的BT就会根据情况到乙的电脑上去拿乙已经下载好的M部分,乙的BT就会根据情况去到甲的电脑上去拿甲已经下载好的N部分,这样就不但减轻了服务器端得负荷,也加快了用户方(甲乙)的下载速度,效率也提高了,更同样减少了地域之间的限制。比如说丙要连到服务器去下载的话可能才几K,但是要是到甲和乙的电脑上去拿就快得多了。所以说用的人越多,下载的人越多,大家也就越快,BT的优越性就在这里。而且,在你下载的同时,你也在上传(别人从你的电脑上拿那个文件的某个部分),所以说在享受别人提供的下载的同时,你也在贡献。
--------------------------------------------------------------------------------
速度
[速-1]: 我是窄带,能用bt吗?
无论你是什么连接类型,都可以使用BT.内网的用户也可以使用.不过需要提醒的是,你的下载速度取决于你的上传速度,
[速-2]:为什么有的文件下载速度比其他文件慢?
如果下载的人不多,那么下载速度当然快不起来,那你就可以运用宣传手段,让更多的人来下载,这样你的速度就快了. 另外一个原因是你的下载速度取决于与你一起下载的人的速度,如果他们不快,你当然快不起来.
[速-3]: 为什么我的下载速度很慢,但上传速度却快的惊人呢?
[速-4]: 为什么我得下载速度不稳定?
这取决于很多的因素,诸如下载的人数变动,seed减少,你的网速等等.
[速-5]: 怎样才能加快我下载的速度?
升级你的网络,比方说安装光纤网,呵呵,还有就是让更多的人同时下载你想要的文件,优化你的系统,下载热门的东东,都可以加快你的速度.
--------------------------------------------------------------------------------
下载
[下-1]:为什么刚开始下载,文件就已经很大了呢?
BitTorrent 下载开始前,会先生成与原文件一样大小,并且一摸一样的文件来存放数据,BT会随机下载文件的相应部分来填入这个文件中,当全部填充完毕之后,你的下载也就完成了.
如果你不知道这个文件是未下载完成,还是已经下载好的,请使用 TorrentSpy这个软件.
[下-2]: 后缀名.bin .cue的文件怎么样打开?
用虚拟光驱打开即可,下载 alcohol
--------------------------------------------------------------------------------
客户端
[客-1]:我必须使用官方版本的客户端下载吗?
不,你可以使用任何BT下载程序.
[客-2]: 我在哪儿能找到别的客户端的下载?
推荐:http://www.bitcomet.com/index-zh.htm
[客-3]: BT软件现在有什么新的进展吗?
是的,已经修正了一些bug.现在的官方客户端 比以前更加稳定,其他的非官方的客户端也正在不断改进之中..
--------------------------------------------------------------------------------
制作torrent文件(发布)
[发-1]: 必需软件
下载completedir.
[发-2]:发布教程
1.安装CompleteDir。从开始菜单里启动CompleteDir, 或者去Program Files/Completedir把双击completedirgui.exe。
2.点select选取你要发布的文件所在的目录。
如果你想将一个子目录里的内容按一个文件来发布,比如说王菲的《胡思乱想》专辑,假设目录虽在位置为: “C:\王菲\王菲-胡思乱想\“, directory to bulid里就填: "C:\王菲"
如果要发布王菲的单曲,就把 胡思乱想.mp3 放到 “C:\王菲” 里。
注意:制作时 "C:\王菲" 里所有文件和目录都会被扫描,所以只把要发布的放进去就可以了。
注意,一般用BT发布的东西在150M - 1G之间会比较有效率。
3. announce URL 里填写tracker服务器的地址, 例如大家可以填的tracker服务器地址:
在那里填入:
http://bt.btbbt.com:6969/announce
http://bt1.btbbt.com:7000/announce
第三行piece size用缺省的就可以了。
4.点击make,开始制作.torrent文件了,一个.torrent约20-50k。1GB的内容可能需要2分钟左右的时间。任务完成后,可以结束completedir程序。此时.torrent文件已经制作成功。
6.此时,还需要你提供一个发放源,请你自己双击硬盘上的.torrent文件(或是网页上的),然后自动跳出一个对话框让你选择路径,此时不能把路径搞混,应该选择你刚选的文件源(如同续传或reseed),将BT下载文件/目录指向你刚才共享的那里。再经过2分钟左右的时间核算成功看到提示Finish后,不关闭这个窗口就正式作了种子提供上传服务了 (感谢你咯)。
7.发布。浏览 http://bbs.btbbt.com/forumdisplay.php?fid=14 发新贴,填写相关信息,上传.torrent文件。等一小会儿,你发布的文件就可以在http://bbs.btbbt.com/forumdisplay.php?fid=62 里看到了。
因为上载的人之间互相可以传送数据,所以你被占用的带宽应该不会很多。请发布者至少保持较长时间的上载支持(一般24小时左右,或至少坚持到第一批人下载完成。),也请下载的人迟些再关闭下载完成的窗口以给别人方便。
8.注意,发布共享的人最好配置好防火墙对外开端口,以便其他在防火墙内的用户可以访问。但是,如果即使你无法开端口(比如一部分内网用户),也是可以发布的。
--------------------------------------------------------------------------------
安全
[安-1]:BitTorrent会泄漏我的隐私吗??
不可能,.官方版客户端 不会泄漏任何有关你私人的信息,有可能你要问我为什么这个自信,冷静的想一想,BT作为一个开放源代码的软件,任何人都可以看见代码,如果有这种恶意代码,早就被人发觉了,非官方版的客户端不能保证其安全性,请大家酌情使用.
[安-2]: 我的那些个人信息会被共享?
tracker服务器以及与你一起下载同一个文件的人会知道你的ip,不过这不是什么问题,你在浏览网页的同时,网站服务器也同时知道你的ip,除非你共享非法的东东,否则是丝毫没有安全问题的.
--------------------------------------------------------------------------------
我应该怎样做
[做-1]: 怎样为一个文件做seed?
双击那个你已经完成下载的文件(或者是你想与大家分享的文件)的torrent文件,选择这个文件的位置,然后就可以开始seed了 制作torrent文件参见上传教程.
[做-2]:我点击了torrent文件的下载连接,但是BT没有自动开始下载,我该怎么办?
点击"打开",这样BT就会自动开始下载.如果你把torrent文件下载到了硬盘上,找到那个torrent文件.双击之,选择存放位置,就可以开始下载了.
[做-3]: 怎样打开一个已经下载好的文件?
与你平常做的一样---双击执行就可以了.如果文件不能打开,请检查是否安装了必要的软件.比如说播放dvdrip文件需要安装必须的codecs.
--------------------------------------------------------------------------------
我能做这些吗
[Q-1] : 我能预览未完成的文件吗?
大多数情况下是不可以的.大多数的预览软件只能预览文件的开头,而BT下载的时候是随机选择开始部分的.这些软件对于BT下载的文件就无能为力了.
[QI-2]:我能阻止别人从我这儿下载吗?
官方版的BT是不能这样做的.从BT的原理来说,下载速度是与上传速度休戚相关的,所以不推荐这样做.
[Q-3]: Bt能否断点续传?
当然可以.重新开始下载就可以了,BT自己会自动搜寻已下载的部分,不过记得要把文件存在以前下载的那个地方,^_^
--------------------------------------------------------------------------------
热点问题
[问-1]: 我得硬盘不够了,5555..
去加个120G的硬盘吧,^_^.还有一种可能就是硬盘有了问题,运行scandisk修复一下磁盘错误,一般都能得到解决
[问-2]: 下载在xx%停止了,救命啊
出现这种情况大多数是因为种子没有了的缘故(举个例子:一个文件被分成10个部分,但有第八部分的人只有一个,如果这个人断线了,那么其他下载的人就只能完成到90%了),这时候你可以去论坛发贴,请求别人reseed,不过千万不要用跪求等字眼,这样让人心生厌恶.
[问-3]: 下载完的文件无法打开.
首先:确定文件时候已经完整下载(最好的检验方法就是再次运行你的客户端软件让他检查一下是否下载完毕),
第二:如果文件完整无缺,请确保安装了正确的解码器以及必要的打开这个文件的软件
第三:如果你确信上两步的确毫无问题,你可以到发布这个torrent文件的网站上救助,看看其他下载这个文件的人是否有这个问题
第四:如果其他人都打开正常,那么恭喜你,重装系统吧!!!
第五:或者你不想重装,那么请教一下身边的老鸟,看他们是否有解决的方法,多多请教别人,自己的知识也能获得增长
参考资料:http://www.catcn.net/html/2005-11-21/231625205954.html
⑶ *********************************************
下面的这个文章是我在《黑客技术大宝库》中看到的,作者把木马(病毒)说明得很详细,我相信你看了之后会知道不少东西的。
木马指南
1.这篇文章关于什么?
在这篇文章里,我将向你解释木马及其未来的一些令人感兴趣的事情.我希望你能认识到木马是危险的,
它仍是一个很大的安全问题.尽管许多人说不从网络上下载文件你将不会感染木马,这是不正确的.我在这儿
想解释的是木马有将来及其一些令人感兴趣的事.这篇文章只是为基于WINDOWS平台而非UNIX的木马准备.
2.木马是什么?
包含在合法程序里的未授权的程序.该未授权的程序执行用户未知(很可能不想)的功能.
一个合法的但是已经被改动的程序,在它里面包含有未授权的代码,这段代码执行用户未知(很可能不想的功能.
任何看起来执行想要和必须的功能(因为里面的未授权代码对用户是未知的)而实际执行一些用户未知
(很可能不想)的功能.
TROJANS也能叫做RAT's或远程管理工具(Remote Administration Tools),TROJAN的名字来自古老的神话故事:
希腊人在战争中如何给他们的敌人一个很大的木马做为礼物,他们接受了这个礼物,把木马带进了他们的王国,
在晚上,希腊士兵冲出了木马,向城市发动了进攻,完全征服了它.
3.木马的今天
特洛伊木马一直是一个大的安全问题,即使在如今也是.绝大多数人不知道木马为何物,他们不停从可疑
的人或不可信的地方下载文件.如今在网上有多于600种我所知的木马,我想实际会比这多的多,因为如今的每一
个黑客和程序员都有自己的为了他(她)特定需要没在任何地方公布的木马.每个黑客小组都有他们自己的木马
和程序.当有人开始学WINSOCK编程的时候,最先生成的通常是聊天客户端软件和木马.即使有反病毒扫描器(我
将在下面谈到),人们仍旧会被感染,被自己,被某些黑客,或被一些朋友.
4.木马的将来
我想有许多人们认为木马已经过时,没有前途,我不这样认为.木马将总是有前途,新东西会加到里面,在
木马中有如此多的东西可以被有技巧的程序员改善.
有新的选项和更好的加密方法的木马每天都在由程序员制造,以致防木马软件不能检测到它们.因此,没有
人知道在网上有多少木马.但是程序员仍在编制木马,他们在将来也会继续.从技术上来说,木马几乎可以在任何
地方任何操作系统或硬件平台上出现,然而在前面提到的室内工作除外.木马的广泛传播很象病毒,来自因特网
的软件下载,尤其是共享和免费软件,总是可疑的,类似地,来自地下组织服务器或用户新闻组的材料也在侯选
之列.有成千上万的软件没有检查来源,新程序特别是免费软件每天都在出现,他们可能都是木马.因此,留心你
正在下载什么,正从哪儿下载,总是从正式的页面下载软件.
5.防病毒扫描器
人们认为,当他们有了有最新的病毒定义的防病毒扫描器之后,他们在网上就是安全的,他们将不会感染
木马或没有人可以访问.
他们的计算机.这种观点是不正确的.防病毒扫描器的目的是检测病毒而不是木马.但是当木马流行的时候,
这些扫描器也开始加一些木马的定义,他们不能发现木马并分析他们,这就是他们为什么只能检测常用和广为
人知的木马比如BO和NETBUS或少数几个其他的.正如我说的,木马有大约600种,而这些扫描器只能检测他们中
极少的一部分.这些扫描器不是可以阻止试图连接你的电脑或试图攻击你(正如人们认为他们那样)的防火墙.
因此,我希望你明白这些扫描器的主要目的不是当你上线的时候检测木马并保护你.绝大多数的因特网用户只知
道BO和NETBUS是特洛伊木马,有一些特定的工具只能清除这些木马,人们就认为他们是安全的能受保
护不感染每一个木马.
6.我怎么会感染木马?
每个人都问这个问题,人们经常问他们自己怎么会感染上木马,也有一些人问的时候,他们确实运行了
某些由别人发送或从某个地方下载的文件,人们总是说他们不会运行任何东西或下载某些文件,但是他们做了.
人们总是在上线的时候不注意一些事情,这就是为什么他们会忘记他们感染木马是在什么时候.
你会在任何地方受感染,在这里我会试图解释这些事情:
---从ICQ
---从IRC
---从附件
---从物理访问
---从诡计
6.1 从ICQ
人们认为当他们正用ICQ交谈的时候不会感染,然而,他们忘记了某人给他们发送文件的时刻.每个人都知
道ICQ有多不安全,这就是为什么那么多人害怕使用它.正如你所知道的,ICQ有一个BUG让你可以发送EXE文件
给某人,但是文件看起来是BMP或JPG或不管你想让它看起来象什么的东西.这是非常危险的,正如你明白的,
你会陷入麻烦.攻击者将只是把文件的图标改成象一个BMP图象,告诉你它是他的相片,将它重命名为photo.bmp,
接着你会得到它,当然,在得到它之前你会看到bmp图象,此时你是安全的,因为它还没有被执行,接着你运行
它看照片,你认为没有什么可担心的,其实有.
那是为什么绝大多数人说他们不运行任何文件,因为他们知道他们运行了一个图片而不是可执行文件.一
个防止这个ICQ里的BUG的方法是在运行之前总是检查文件的类型,它可能有一个BMP的图标但是如果文件类
型写着可执行,我想你知道如果你运行它的话将是一个错误.
6.2 从IRC
你也可能从IRC上通过接收不可信来源文件而感染木马.我建议你应该总是paranoid,不接收来自任何人
甚至是你的最好的朋友的文件,因为有人可能偷取了他(她)的密码而来感染你.当有人问某人某些事如一个
秘密或别的只有他(她)知道的事时,他(她)认为他(她)可以100%的确信问的那个人是他(她)的朋友,
正如我告诉你paranoid,因为有人可以感染你的朋友并检查他(她)的IRC日志,看秘密是什么或了解其他的
事情.正如我所说,paranoid是更安全的,不要接受任何来自在IRC上的任何人的文件或其他地方如EMAIL,
ICQ,甚至你的在线朋友.
6.3 从附件
同样的事情也会伴随EMAIL附件发生.不要运行任何东西即使它说你将会看到热辣的色情作品或一些服
务器的密码或别的什么东西.用木马感染某人最好的方法是向服务器投递大量的EMAIL,因为在网上有很多新
手,他们当然会受感染.这是最好的感染办法--如我所说:为什么它是想感染大众的人的首选方法.
6.4 物理访问
当你的”朋友“可以物理访问你的计算机的时候,你当然会被感染.让我们假定你丢下某人在你
的电脑旁5分钟,那么你当然会被你的"朋友“中的某人感染.有一些非常精明的人,时刻想着物理访问某人
的电脑的新方法,下面是一些有趣的诡计:
1.你的”朋友“可能请你”嗨兄弟,能给我一点水吗?“或其他的可以让他单独呆着的事情,你会去取
点水,接着..你知道会发生什么.
2.攻击者可能有一个计划.比方你邀请他(她)12:00在你的家里,他会叫你的一个”朋友“在12:15给
你打电话和你谈一些事情,攻击者又有时间感染你了.也可以是:给你打电话的”朋友“说一些如”有人
在你身边吗?如果有的话,不如移到其他地方,我不想让任何人听到我们的谈话“,这样,攻击者又单独
呆着有时间感染你了.
6.5 诡计
这是一个对真想要些什么的人起作用的诡计,当然攻击者知道它是什么.比方说受害人想看色情作品
或***密码,那么,攻击者会在受害人屋子前留下一个含有木马的软磁盘,当然会将木马和XXX图片放在
一起.这是一个坏事情,因为有时候你真的想要某些东西,并且最后发现了它.
7.木马会有多危险?
许多不知道木马是什么的人认为当他们运行一个可执行文件的时候什么都没有发生,因为他们的电脑仍
旧还在工作,所有的数据都还在.如果上病毒的话,他们的数据将被毁坏,电脑将不再工作.
有人正在你的电脑上上传和下载文件;有人正读你所的IRC日志,了解你和你朋友的有趣的事情;有人
正读你的所有的ICQ消息;有人正删除你电脑上的文件....
这是一些显示木马有多危险的例子.人们只是在被感染的机器上用木马代替如CIH一样的病毒,然后毁坏机器.
8.不同种类的木马
--远程控制型木马:
这是现在最流行的木马.每个人都想有这样的木马,因为他们想访问受害人的硬盘.RAT'S (remote access
trojans)使用起来非常简单,只需要某人运行服务器,你得到受害人的IP,你对他或她的计算机有完全的访问
权.你能做一些事情,它依赖于你使用的木马.但是,RAT'S有通常的远程控制木马的功能如:KERLOGGER,上传
和下载,MAKE A SCREEN SHOT等等.有人将木马用于恶意的目的,他们只是想删除又删除....
这是LAME.但是我有一个关于使用木马最好方法的指南,你应该读它.有很多用于检测最常用木马的程序,
但是新木马每天都出现,这些程序不是最好的防御.木马总是做同样的事情.如果每次WINDOWS重新启动的时候,
木马重启,这意味着它放了什么东西在注册表或WIN.INI或其他的系统文件里,因此它能重启.木马也可能在
WINDOWS系统目录里生成一些文件,这些文件总是看起来象一些受害人认为是正常的WINDOWS可执行文件.绝大
多数木马隐瞒任务表Most trojans hide from the Alt+Ctrl+Del menu,有人只用ALT+CTRL+DEL来看哪些进
程正在运行,这是不好的.有程序会正确地告诉你进程和文件来自哪儿,但是有一些木马(正如我跟你所说)
使用伪造的名字,对有些人来说,要决定哪个进程应该杀死是有一点困难的.
远程控制木马打开一个端口让每一个人都可以连上你的电脑.有些木马有些选项象改变端口和设置密码以
使只有那个感染你的家伙可以使用你的电脑.改变端口选项是非常好的,因为我确信你不想让你的受害人看见
他的电脑上的端口31377是开着的.远程控制木马每天都在出现,而且将继续出现对那些使用这样的木马的人:
小心感染你自己,那么那些你想毁灭的受害人将会报复,你将会感到难过.
--发送密码型木马:
这些木马的目的是得到所有缓存的密码然后将他们送到特定的EMAIL地址,不不让受害者知道 e-mail.绝大
多数这种木马在WINDOWS每次加载的时候不重启,他们使用端口25发送邮件.也有一些木马发送其他的信息如
ICQ,计算机信息等等.如果你有任何密码缓存在你电脑的任何地方,这些木马对你是危险的.
--Keyloggers:
这些木马是非常简单的,他们做的唯一的事情就是记录受害人在键盘上的敲击,然后在日志文件中检查
密码.在大多数情况下,这些木马在WINDOWS每次加载的时候重启,他们有象在线和下线的选项,当用在线选
项的时候,他们知道受害人在线,会记录每一件事情.然而,当用下线选项的时候,WINDOWS开始后被写下的
每一件事情会被记录并保存在受害人的硬盘等待传送.
--破坏型木马:
这种木马的唯一功能是毁坏和删除文件,使得他们非常简单易用.他们能自动删除你计算机上所有的DLL,
EXE,INI文件.这是非常危险的木马,一旦你被感染,毫无疑问,如果你没有清除,你的计算机信息将不再存在.
--FTP型木马:
这种木马在你的电脑上打开端口21,让任何有FTP客户软件的人都可以不用密码连上你的电脑并自由上传和
下载.这些是最常用的木马,他们都是危险的,你应该小心使用他们.
9.谁会感染你?
基本上,你会被每个知道会如何使用木马(这非常简单)当然知道怎么感染你的人感染.使用木马的人是仅
仅停留在使用木马阶段的黑客,他们中的一些人不会走到下一个阶段,他们是只能使用木马(正如我所说这非
常简单)的LAMERS,但是,读了这篇文章后,你将知道别人用木马感染你的最常用方法,它将使那些想用木马
感染你的人感到困难.
10.攻击者要找什么?
你们中的一些人可能认为木马只用来搞破坏,他们也能用来刺探某人的机器,从里面取走很多私人信息.
攻击者取的信息将包括但不限于下列常用数据:
----信用卡信息
----信贷信息
----常用帐号信息
----任何帐号数据
----数据库
----邮件列表
----私人地址
----EMAIL地址
----帐号密码
----个人简历
----EMAIL信息
----计算机帐号或服务订阅信息
----你或你的配偶的姓名
----子女的姓名年龄
----你们的地址
----你们的电话号码
----你写给别人的信
----你家庭的照片
----学校作业
----任何学校的帐号信息
11.木马如何工作?
在这儿我会向你解释木马是如何工作的,如果你有些单词不了解,你可以查阅“文章中常用术语”部分.
当受害人运行木马服务器的时候,它确实在做些什么,如打开某个特定端口监听连接,它可以使用TCP或UDP
协议.当你连上受害人的IP地址时,你可以做你想做的事,因为你放了木马的计算机上的服务器让你这么做.
一些木马每次在WINDOWS被加载的时候重启,他们修改WIN.INI或SYSTEM.INI,因此他们可以重启,但是大多
数新木马使用注册表完成相应功能.木马象客户和服务器一样相互通信,受害人运行服务器,攻击者使用客户
向服务器发送命令,服务器只是按客户说的去做.
12.最常用木马端口
这儿有最常用的木马端口列表:
Satanz Backdoor|666
Silencer|1001
Shivka-Burka|1600
SpySender|1807
Shockrave|1981
WebEx|1001
Doly Trojan|1011
Psyber Stream Server|1170
Ultors Trojan|1234
VooDoo Doll|1245
FTP99CMP|1492
BackDoor|1999
Trojan Cow|2001
Ripper|2023
Bugs|2115
Deep Throat|2140
The Invasor|2140
Phineas Phucker|2801
Masters Paradise|30129
Portal of Doom|3700
WinCrash|4092
ICQTrojan|4590
Sockets de Troie|5000
Sockets de Troie 1.x|5001
Firehotcker|5321
Blade Runner|5400
Blade Runner 1.x|5401
Blade Runner 2.x|5402
Robo-Hack|5569
DeepThroat|6670
DeepThroat|6771
GateCrasher|6969
Priority|6969
Remote Grab|7000
NetMonitor|7300
NetMonitor 1.x|7301
NetMonitor 2.x|7306
NetMonitor 3.x|7307
NetMonitor 4.x|7308
ICKiller|7789
Portal of Doom|9872
Portal of Doom 1.x|9873
Portal of Doom 2.x|9874
Portal of Doom 3.x|9875
Portal of Doom 4.x|10067
Portal of Doom 5.x|10167
iNi-Killer|9989
Senna Spy|11000
Progenic trojan|11223
Hack?99 KeyLogger|12223
GabanBus|1245
NetBus|1245
Whack-a-mole|12361
Whack-a-mole 1.x|12362
Priority|16969
Millennium|20001
NetBus 2 Pro|20034
GirlFriend|21544
Prosiak|22222
Prosiak|33333
Evil FTP|23456
Ugly FTP|23456
Delta|26274
Back Orifice|31337
Back Orifice|31338
DeepBO|31338
NetSpy DK|31339
BOWhack|31666
BigGluck|34324
The Spy|40412
Masters Paradise|40421
Masters Paradise 1.x|40422
Masters Paradise 2.x|40423
Masters Paradise 3.x|40426
Sockets de Troie|50505
Fore|50766
Remote Windows Shutdown|53001
Telecommando|61466
Devil|65000
The tHing|6400
NetBus 1.x|12346
NetBus Pro 20034
SubSeven|1243
NetSphere|30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor| 7306
Streaming Audio Trojan| 1170
Socket23 |30303
Gatecrasher |6969
Telecommando | 61466
Gjamer |12076
IcqTrojen| 4950
Priotrity |16969
Vodoo | 1245
Wincrash | 5742
Wincrash2| 2583
Netspy |1033
ShockRave | 1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend | 21554
Fore, Schwindler| 50766
Tiny Telnet Server| 34324
Kuang |30999
Senna Spy Trojans| 11000
WhackJob | 23456
Phase0 | 555
BladeRunner | 5400
IcqTrojan | 4950
InIkiller | 9989
PortalOfDoom | 9872
ProgenicTrojan | 11223
Prosiak 0.47 | 22222
RemoteWindowsShutdown | 53001
RoboHack |5569
Silencer | 1001
Striker | 2565
TheSpy | 40412
TrojanCow | 2001
UglyFtp | 23456
WebEx |1001
Backdoor | 1999
Phineas | 2801
Psyber Streaming Server | 1509
Indoctrination | 6939
Hackers Paradise | 456
Doly Trojan | 1011
FTP99CMP | 1492
Shiva Burka | 1600
Remote Windows Shutdown | 53001
BigGluck, | 34324
NetSpy DK | 31339
Hack?99 KeyLogger | 12223
iNi-Killer | 9989
ICQKiller | 7789
Portal of Doom | 9875
Firehotcker | 5321
Master Paradise |40423
BO jammerkillahV | 121
13.不用扫描器如何监视自己的计算机?
大众认为当他们有木马和防病毒扫描器时他们就是安全的,最好的检测木马的方法是自己动手,你不能
确信木马扫描器是否正确地工作因此开始自己检测.在这篇文章里我已经包含了软件和课程评论的列表,它
们将有助于你自己检测你的机器是否有木马.你总需要检测你的系统看什么端口开着,如果你看到有一个常用
木马端口开着,你很可能已经感染了木马.
**注解**
你可以在DOS方式下使用NETSTAT或用其他的软件做这件事.
**注解**
总是注意你的电脑上有什么文件在运行,检查它里面的一些可疑的东西如它的名字.我想你会检测象
config.EXE,himem.exe,winlilo.exe或其他一些有趣的文件,Hex Edit them,如果你发现一些有趣的东西
如SchoolBus Server,立刻杀死他们.确信你在监视注册表并时刻检查它里面新的变动,确信你在监视
system.ini或win.ini,因为仍旧有很多木马从它们重启.正如我告诉你的下载一些广为人知的程序如ICQ或
MIRC总要从其官方主页下载.遵循这些简单的规则将有助于防止你的电脑感染上木马.
14.帮助你监视自己的电脑的软件
正如我告诉你的我已经包含了可以帮助你监视自己的计算机防止木马感染的软件的列表.
++++++++++++++++
----LogMonitor+
++++++++++++++++
文件和目录监视工具
Version: 1.3.4
Home page: http://www.geocities.com/koenigvad/Eng/
Author: Vadim Dumbravanu, [email protected]
Log Monitor是一个文件和目录监视工具,它定期检查选定文件的修改时间,运行外部程序看是否文件已被
改变.对目录而言,它处理象文件改动,添加或删除.
平台:Windows 95/98/NT
自由供个人和商业使用,看LICENSE.TXT得到版权信息.文件包含下列主题:
--1.目的
--2.用法
--3.特性
--4.安装
--5.反安装
1.目的
程序的目的是让不同的管理员使用自动处理程序.有时候这些自动处理程序会停止工作甚至异常终止,处理
程序生成或更新错误的日志文件.Log Monitor会由他们的日志文件监视这样的处理程序,向管理员发出问题警告.
2.用法
绝大多数处理程序跟踪日志文件,定期更新他们.因此,如果这些处理程序异常终止,日志文件停止改变.如果
处理程序在选定的时段没有更新日志文件,Log Monitor会运行一个外部程序,可能是net send bla bla bla或内
存分页程序或进程重启.如果文件也被改变,Log Monitor会运行一个程序,因此你可以检查文件是否改变.Log
Monitor也可以监视目录并处理目录下的文件的变化,添加和删除.Log Monitor也被用做一个任务调度程序,如果
你想比如每个小时运行一次任务,NT Scheler Service是不符合要求的.使用Log Monitor你可以添加根本不存在
的文件,接着选定3600秒的时间段和程序,只要文件不更新,选定的程序将每个小时运行一次.在程序被启动
之前你可以定义运行时间和日期.
3.特性
好几个文件或目录可以同时被监视,每个文件有自己的时间,由独立的线程处理.监视进程的列表存储在配
置文件里.可以最小化到System Tray,也可以恢复.
有暂停监视选定文件的能力,“暂停”状态也可以存储在配置文件里.
依调度工作,可以只在选定的每周每月的时间间隔内检查文件和目录.
其他很多很好的特性...
++++++++++++
----PrcView+
++++++++++++
PrcView是一个可以显示广泛的现运行进程信息的免费进程查看工具,这些信息包括这样的细节:生成时间,
版本,选定进程使用的DLL文件的全路径,所有线程的列表,内存块和堆.PrcView也允许你杀死或附带一个调试
器到选定的进程,PrcView既可在WINDOWS 95/98也可在WINDOWS NT平台运行,程序包括窗口和命令行两个版本.
PrcView可以以带有最初的版权条款的压缩包形式并遵循非商业原则自由免费分发.
该程序由商业组织向第三方的分发和基于该 程序的工作必须经作者允许.如果你在运行该程序的时候遇到问题请
访问www.teamcti.com以获得最新版本,如果仍有问题,请发送一个简短的描述给[email protected]
----XNetStat
XNetStat是一个和DOS提示符下的NETSTAT一样的程序,该程序显示你计算机上所有打开的端口和已经建立的
连接,如果你需要或有任何疑问请MAIL:[email protected]
++++++++++++
----AtGuard+
++++++++++++
AtGuard是一个有很酷特性的防火墙软件.它也能显示你的计算机中的哪个文件打开了一个向外的连接,如果
你想检测电脑上的木马,这是非常有用的.我丢失了该程序的URL,但是,你可以试着在altavista.com或
packetstorm.securify.com搜索一下.
+++++++++++++++++++++++++
-----ConSeal PC FIREWALL+
+++++++++++++++++++++++++
这款软件使你的PC更安全,相比其他基于PC的防火墙,它有一些超过它们的主要优势.在Windows 95,
Windows 98 and Windows NT(3.51 & 4.0)上,它都可以使用.对WINDOWS机器,它可能是最好的防火墙,会
帮助你堵住你机器上的木马端口,也能抵御各种DOS攻击.
+++++++++++++++++
----LockDown2000+
+++++++++++++++++
这真是一个好的可以检测许多木马的工具包,它也作为防火墙可以保护你免受NUKE和ICQ攻击,还可以阻
止文件共享以使你不再有这方面的问题.它定期更新,加入很多新的木马定义.你想免受攻击和木马感染的话,
你必须拥有它.你可以在 www.lockdown2000.com处获得.
++++++++++
----TDS-2+
++++++++++
TDS(Trojan Defence Suite)也是一个有很多功能和插件的反木马工具包,它也几乎检测所有木马并定
期更新.如果你想免受攻击和木马感染,这也是必须有的一个工具.你可以在www.tds.diamondcs.com.au处获得.
使用所有课程中提到到反木马工具包,将会构建一个安全的反木马的WINDOWS机器.
15.在程序中设置后门
使用木马感染别人的人正变得更聪明了,他们开始将木马设在一些每个人都使用的真实程序里面,因此,
他们可以感染受害者.绝大多数人知道当他们运行一个木马程序的时候,没有什么事情发生或出错信息出现,
但是,当木马被设进其他的程序的时候,这些程序正常工作,没有任何出错信息,受害者会认为他(她)没
有被感染.这是不正确的.程序员会把两个或更多的可执行部分合成一个生成程序,因此,他们可以将木马设
在一些每个人都知道的程序里.这些开放源代码的广为人知的程序也是危险的.好的程序员可以修改源代码使
它象一个木马,比方说,你正在使用被修改过的邮件客户.人所共知,发送密码型木马会使用端口25发送一些
包含有信息的邮件.想象如果攻击者修改了你的邮件客户把你的邮箱密码发送给他(她)会怎样.当然,你会
看见(如果你正在监视的话)端口25正开着,但是,很可能你不会注意,因为你正在发送邮件(正常情况下
发邮件时端口25开着),正如我所说,人们正变得越来越聪明.
16.建议
我的一些建议将帮助你免受木马或病毒感染:
-1.从不接收文件,即使来自你的朋友.你永远也不能确定电脑的另一端是谁.
-2.当执行文件的时候,首先检查它的类型,因为有些人可能设诡计让你运行它.
-3.总是监视你计算机上的开放端口和运行的文件.
-4.只从官方主页下载软件
-5.当玩木马的时候,你可能感染自己,因为木马创造者有时将木马服务器放在客户里,因此当你运行客户的
时候,你也被感染了.这又一次向你显示木马是很危险的,一旦你犯了错误,你会丢失一些敏感数据.
-6.变得paranoid会更安全.人们总是嘲笑那些烧掉他们每张纸片的人,他们将所有的密码放在头脑里,并使
用加密,不用ICQ或IRC,因为他们知道这些协议是多么脆弱.
17.最后的话
文章到这里就没了,不久我将更新它.BTW,这是我的最大的也是写得最好的文章,我真的很喜欢它,我也希
望它将帮助那些想知道如何保护自己免受木马感染和想学更多有关知识的人们.这又是一篇安全相关的教程,正
如我以前所说我现在开始写这样的文章了.你可以查阅我的杂志:blackcode.com/bc-tech/magazine.php3
这篇指南出与教育目的,对读了这篇文章之后发生的任何事情,我不会承担任何责任.我只是告诉你如何做
而不是叫你做,那是你的决定.如果你想把这篇文章放在你的站点或FTP或新闻组或其他的任何地方,你可以这
样做,但是,没有作者的允许不要改变任何东西.看到这篇文章出现在其他的页面上,我将会感到很幸福.