如何在家体验坐木马椅
亲亲~很高兴为您解答,我的解答如下[开心]如何在家体验坐木马椅,制造一个即可给孩子做一个好玩的海豚木马吧。海豚的外形和木马原理差不多,海豚腹部曲线可以摇摆,头部的鳍可供宝宝抓握,尾部的弯曲可以倚靠。材料准备:废纸箱、保鲜膜筒、白乳胶、颜料、美工刀、铅笔。1:先用铅笔画出海豚模样,切割第一张纸板做出模板。再跟孩子做个比对,进行尺度和曲线作适当的调整。确定好模板大小,接下来按照模板切出多张的纸板。2:将所有切好的纸板刷上白乳胶,一张一张进行粘合,一直粘合到所需要的宽度。3:结合好纸板模形,然后把孩子脚放上来量出合适的高度开洞,把保鲜膜筒插入。4:海豚已经做好了,接着用染料画上眼睛,和其他图案。海豚木马就做好了,废纸箱家里好找,制作简单。赶紧给孩子做一个吧!【摘要】
如何在家体验坐木马椅【提问】
亲亲~很高兴为您解答,我的解答如下[开心]如何在家体验坐木马椅,制造一个即可给孩子做一个好玩的海豚木马吧。海豚的外形和木马原理差不多,海豚腹部曲线可以摇摆,头部的鳍可供宝宝抓握,尾部的弯曲可以倚靠。材料准备:废纸箱、保鲜膜筒、白乳胶、颜料、美工刀、铅笔。1:先用铅笔画出海豚模样,切割第一张纸板做出模板。再跟孩子做个比对,进行尺度和曲线作适当的调整。确定好模板大小,接下来按照模板切出多张的纸板。2:将所有切好的纸板刷上白乳胶,一张一张进行粘合,一直粘合到所需要的宽度。3:结合好纸板模形,然后把孩子脚放上来量出合适的高度开洞,把保鲜膜筒插入。4:海豚已经做好了,接着用染料画上眼睛,和其他图案。海豚木马就做好了,废纸箱家里好找,制作简单。赶紧给孩子做一个吧!【回答】
[create_time]2022-10-03 21:37:31[/create_time]2022-10-18 21:33:01[finished_time]1[reply_count]0[alue_good]帐号已注销[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.ed288cd4.tCrTMd5vThjCNBnYnBpYPQ.jpg?time=8917&tieba_portrait_time=8917[avatar][slogan]这个人很懒,什么都没留下![intro]13996[view_count]
如何在家体验坐木马椅
你好老板木马椅是一种沉浸式的座椅,它的特点是有三节腿,座椅非常舒适,可以以多种角度调节座椅的高度,可以帮助人们实现身体和精神上的放松。在家体验坐木马椅,可以按照以下操作:1. 先准备木马椅。准备一张适合坐的椅子,将三个腿分别调到你想要的高度,调节座椅的高度,调节腿的角度,使座椅处于平衡状态。2. 确定座椅的高度。你可以根据自己的身高来确定座椅的高度,确保座椅的高度和你的身高相适应,让你保持正确的姿势,当你坐在椅子上时,没有负压感觉,也不会拉伤背部肌肉。3. 坐下来,调整角度。坐在椅子上,可以自由调整角度,放松你的身体,帮助你保持正确的姿势。4. 放松,享受沉浸式的体验。当你调整好姿势后,就可以放松自己,享受木马椅的沉浸式体验,让身体和精神都得到放松。【摘要】
如何在家体验坐木马椅【提问】
你好老板木马椅是一种沉浸式的座椅,它的特点是有三节腿,座椅非常舒适,可以以多种角度调节座椅的高度,可以帮助人们实现身体和精神上的放松。在家体验坐木马椅,可以按照以下操作:1. 先准备木马椅。准备一张适合坐的椅子,将三个腿分别调到你想要的高度,调节座椅的高度,调节腿的角度,使座椅处于平衡状态。2. 确定座椅的高度。你可以根据自己的身高来确定座椅的高度,确保座椅的高度和你的身高相适应,让你保持正确的姿势,当你坐在椅子上时,没有负压感觉,也不会拉伤背部肌肉。3. 坐下来,调整角度。坐在椅子上,可以自由调整角度,放松你的身体,帮助你保持正确的姿势。4. 放松,享受沉浸式的体验。当你调整好姿势后,就可以放松自己,享受木马椅的沉浸式体验,让身体和精神都得到放松。【回答】
[create_time]2023-02-20 19:04:10[/create_time]2023-03-07 19:00:55[finished_time]1[reply_count]0[alue_good]爱答题的博主[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.8e4fb074.l7eCfXFCLYkKQeC0AqwstQ.jpg?time=4600&tieba_portrait_time=4600[avatar][slogan]这个人很懒,什么都没留下![intro]7987[view_count]
DDOS是木马吗?
从名称来看,不像是木马,当然文件名称也不能作为是否是木马的依据,你可以访问腾讯电脑管家官网,下载安装一个电脑管家,使用电脑管家的杀毒功能来查杀一下,就知道是否是木马了 电脑管家的杀毒部分采用的是4+1引擎,包含金山和腾讯两个国内最大的云查杀引擎 以及以高查杀著称的德国小红伞本地引擎,查杀率非常的高,可以完美的清除各种顽 固的木马病毒 腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
[create_time]2013-12-17 18:52:34[/create_time]2013-12-28 14:20:56[finished_time]8[reply_count]0[alue_good]百度网友0c596d8[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.8a50a30b.JSLG1ExqSoWOI0QLqzKFUQ.jpg?time=4287&tieba_portrait_time=4287[avatar]TA获得超过1.1万个赞[slogan]这个人很懒,什么都没留下![intro]1329[view_count]旋转木马怎么做
手工旋转木马是一种传统的儿童玩具,它不仅能够让孩子们感受到快乐,还能够锻炼他们的动手能力和想象力。下面是制作手工旋转木马的简单步骤: 材料准备:1. 木棍2. 线轮3. 粘合剂4. 颜料步骤:1. 首先,将两根木棍交叉放置在一起,并用线轮将它们固定在一起。这将成为旋转木马的底部。2. 接下来,在底部上方固定一个垂直的木棒。这个木棒应该比底部稍微短一些。3. 在垂直的木棒上方再次固定一个水平的木棒。这个水平的木棒应该比垂直的木棒稍微长一些。4. 接下来,用粘合剂将一个小圆盘粘贴在水平木棒的顶部。这个小圆盘将成为旋转木马上坐着孩子们的座位。5. 最后,用颜料给旋转木马进行涂色。 制作完成后,您可以让孩子们坐在旋转木马上,手动旋转它,让孩子们感受到快乐和刺激。需要注意的是,在制作过程中,应该确保所有零件都牢固地固定在一起,以确保孩子们的安全。
[create_time]2023-04-10 23:30:04[/create_time]2023-04-21 12:56:13[finished_time]1[reply_count]0[alue_good]菜菜是阿飞[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.9bedd65b.yfunlsfno2GlqIJSjUfahg.jpg?time=10309&tieba_portrait_time=10309[avatar]超过36用户采纳过TA的回答[slogan]什么也不会[intro]717[view_count]百度卫士如何查杀木马?
百度卫士木马查杀功能包括“闪电云查杀”、“全盘查杀”、“自定义查杀”三种查杀模式,可以选择需要的模式进行木马查杀。 “闪电云查杀”对电脑系统中的关键位置程序及文件进行扫描查杀,快速轻巧。 “全盘查杀”对电脑系统中的所有文件进行扫描查杀,全面安全。 “自定义查杀”对指定的电脑位置进行查杀,便捷灵活。
[create_time]2016-08-23 06:56:50[/create_time]2013-12-23 12:54:45[finished_time]3[reply_count]7[alue_good]百度网友b3d386e[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.15a3b58.2U6cYFx4jFvgB8VeyoyOSw.jpg?time=3061&tieba_portrait_time=3061[avatar]TA获得超过487个赞[slogan]这个人很懒,什么都没留下![intro]1301[view_count]什么叫木马?是干什么用的?
分类: 电脑/网络 >> 反病毒
解析:
原 理 篇
基础知识
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
木马原理
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
二.传播木马
(1)传播方式:
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式:
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。
(一)修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。
(二)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。
(四)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
(五)自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
(六)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
三.运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:
(1)由触发条件激活木马
触发条件是指启动木马的条件,大致出现在下面八个地方:
1.注册表:打开HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\mand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\mand下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
四.信息泄露:
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。
从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
五.建立连接:
这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。
如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。
六.远程控制:
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可借由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信 息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
[create_time]2022-11-20 11:42:07[/create_time]2022-12-05 02:42:31[finished_time]1[reply_count]0[alue_good]枝其3052[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.393af96d.mSLTOIRw4oDi-ZssponRZg.jpg?time=4543&tieba_portrait_time=4543[avatar]TA获得超过2593个赞[slogan]这个人很懒,什么都没留下![intro]10[view_count]
什么是木马
计算机木马介绍 一、木马的来历 计算机木马是一种后门程序,常被黑客用作控制远程计算机的工具。 英文单词“Trojan”,直译为“特洛伊”。 木马这个词来源于一个古老的故事:相传古希腊战争,在攻打特洛伊时,久攻不下。 后来希腊人使用了一个计策,用木头造一些大的木马,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马遗弃。 守城的士兵就把它当战利品带到城里去了。 到了半夜,木马肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了特洛伊城。 这就是木马的来历。 从这个故事,大家很容易联想到计算机木马的功能。 二、计算机木马原理 计算机木马一般由两部分组成,服务端和控制端,也就是常用的C/S(CONTROL/SERVE)模式。 服务端(S端):远程计算机机运行。 一旦执行成功就可以被控制或者造成其他的破坏,这就要看种木马的人怎么想和木马本身的功能,这些控制功能,主要采用调用Windows的API实现,在早期的dos操作系统,则依靠DOS终端和系统功能调用来实现(INT 21H),服务段设置哪些控制,视编程者的需要,各不相同。 控制端(C端)也叫客户端,客户端程序主要是配套服务段端程序的功能,通过网络向服务段发布控制指令,控制段运行在本地计算机。 三、传播途径 木马的传播途径很多,常见的有如下几类: 1. 通过电子邮件的附件传播。 这是最常见,也是最有效的一种方式,大部分病毒(特别是蠕虫病毒)都用此方式传播。 首先,木马传播者对木马进行伪装,方法很多,如变形、压缩、脱壳、捆绑、取双后缀名等,使其具有很大的迷惑性。 一般的做法是先在本地机器将木马伪装,再使用杀毒程序将伪装后的木马查杀测试,如果不能被查到就说明伪装成功。 然后利用一些捆绑软件把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内,发送出去。 2. 通过下载文件传播。 从网上下载的文件,即使大的门户网站也不能保证任何时候他的问件都安全,一些个人主页、小网站等就更不用说了。 下载文件传播方式一般有两种,一种是直接把下载链接指向木马程序,也就是说你下载的并不是你需要的文件。 另一种是采用捆绑方式,将木马捆绑到你需要下载的文件中。 3. 通过网页传播。 大家都知道很多VBS脚本病毒就是通过网页传播的,木马也不例外。 网页内如果包含了某些恶意代码,使得IE自动下载并执行某一木马程序。 这样你在不知不觉中就被人种上了木马。 顺便说一句,很多人在访问网页后IE设置被修改甚至被锁定,也是网页上用脚本语言编写的的恶意代码作怪。 4. 通过聊天工具传播。 目前,QQ、ICQ、MSN、EPH等网络聊天工具盛行,而这些工具都具备文件传输功能,不怀好意者很容易利用对方的信任传播木马和病毒文件。 四、一些特殊类型的木马 1.反弹端口木马:普通木马的都是由C端发送请求S端来连接,但有些另类的木马就不是这样,它由S端向C端发送请求。 这样做有什么好处呢?大家知道,网络防火墙都有监控网络的作用,但它们大多都只监控由外面近来的数据,对由里向外数据的却不闻不问。 反弹端口木马正好利用了这一点来躲开网络防火墙的阻挡,以使自己顺利完成任务。 大名鼎鼎的“网络神偷”就是这样一类木马。 它由S断向C端发送一个连接请求,C端的数据在经过防火墙时,防火墙会以为是发出去的正常数据(一般向外发送的数据,防火墙都以为是正常的)的返回信息,于是不予拦截,这就给它了可钻的空子。 2.无进程木马:“进程”是一个比较抽象的概念,可以理解为排队买电影票,每一个窗口(其实就是端口)排的人可以理解为一个进程,有多少窗口就有多少个进程。 普通木马在运行时都有自己独立的进程(某一特定窗口排的人,先当作小偷),利用“柳叶擦眼”一类的优秀进程查看软件就可以发现和终止它。 这岂不是太扫兴了?好不容易写出个木马就这么被你发现了。 为了更好的隐藏自己,木马的制作者就想了一些办法,把木马的程隐藏进正常的进程(宿主进程)内。 打个比方,正常的进程(系统和正当文件的进程)可以理解为正常排队买票的人。 而木马的进程(排队假装买票的小偷),他们如果都排在某一个窗口(通过某一特定端口进行通讯),很容易就被发现了,于是那些小偷就想办法混到正常排队人当中(实现了木马进程的隐藏),这样就不容易被发现,而且也不容易被终止。 在实际中,即使你发现了隐藏在某一正常进程中的木马进程,你也不敢轻易终止它,因为一旦终止了木马的进程,正常的宿主进程也就被终止,这可能导致一些严重的后果。 所以可以看出,无进程木马实际上是“隐藏进程木马”,而这也是它的高明之处。 在实际中不可能出现真正意义上的“无进程木马”。 最近出现的“广外男生”就是典型的例子。 3.无控制端木马: 这类木马最显著的特点是C端和S端是集成到一起的,一次配置好就不能再更改。 功能一般比较专一,针对性强,危害较小,查杀较简单。 经常用来偷取QQ、Email和网络游戏的密码等。 4.嵌套型木马:先用自己写的小程序或者利用系统的漏洞,夺取到某写特定的权限,比如上传文件,干掉网络防火墙和病毒防火墙等,然后上传修改过或没修改过的功能强大的木马,进一步夺取控制权。 于是这个小程序或者系统漏洞就和那个功能强大的真正的木马联合起来,组成了一款“嵌套型木马”,其特点是不容发现和查杀,“具有良好的发展前景”。 5.其他木马:严格意义上讲,这里所说的其他木马并不是真正的木马,它们只能算做是木马入侵时的辅助工具吧。 典型的有恶意网页代码,让你浏览后不知不觉就被完全共享了所有的硬盘,然后方便别人给你种下木马,为进一步入侵做好准备。 五、关于捆绑 木马捆绑,通俗地讲就是把木马的代码嵌入其他类型的文件,便于伪装,比如,大名鼎鼎的国产木马“冰河”,他就自带一个捆绑工具,可以把木马代码嵌入到网页文件、图片文件、可执行文件等多种支持脚本语言或运行代码的文件中。 当接受方收到这些文件时,几乎感觉不到有任何异样,但在后台,木马代码却悄然进入内存并运行。 如果你的电脑莫名其妙地死机或重启,如果硬盘在无操作的情况下频繁被访问,如果系统无端搜索软驱、光驱,如果系统速度异常缓慢,系统资源占用率过高...你是否已经意识到你的电脑可能被植入了木马程序? “特洛伊木马”,不是历史上那场惊心动魄的战争,而是互联网上广为祸患的一种危险程序。 木马在今天的网络上可谓无所不在,像“BO Back Orifice ”、“冰河”都是一种木马程序 甚至,连掌上电脑(PDA)的世界也已经出现了“木马”程序(Liberty Crack)。 人们谈“马”色变,下面,我就给大家说说可怕的“特洛伊木马”到底是怎么回事。 什么是“木马” 正像历史上的“特洛伊木马”一样,被称作“木马”的程序也是一种掩藏在美丽外表下打入我们电脑内部的东西。 确切地说,“木马”是一种经过伪装的欺骗性程序,它通过将自身伪装吸引用户下载执行,从而破坏或窃取使用者的重要文件和资料。 木马程序与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它的主要作用是向施种木马者打开被种者电脑的门户,使对方可以任意毁坏、窃取你的文件,甚至远程操控你的电脑。 木马与计算机网络中常常要用到的远程控制软件是有区别的。 虽然二者在主要功能上都可以实现远程控制,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性。 木马则完全相反,木马要达到的正是“偷窃”性的远程控制,因此如果没有很强的隐蔽性的话,那么木马简直就是“毫无价值”的。 木马的工作原理 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。 植入你的电脑的是它的“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。 众所周知,基于TCP/IP协议接入互联网的电脑有0到65535共256×256个端口。 通常我们上网的时候,电脑通过139端口与外界保持联系。 运行了木马程序的“服务器”以后,你的电脑就会有另一个或几个端口被打开,使黑客可以利用这些打开的端口进入你的系统,你的系统安全和个人隐私也就全无保障了! 木马如此“泛滥”,究竟我们怎么样才能知道我们的电脑被种上了木马呢? 木马运行的征兆 如果电脑莫名其妙地死机或重启; 如果硬盘在无操作的情况下频繁被访问; 如果系统无端搜索软驱、光驱; 如果系统速度异常缓慢,系统资源占用率过高…… 这些时候,你要小心了!你很可能已经和“木马”发生了“亲密接触”!到底这些“ *** ”是如何在我们电脑里“安家落户”的呢? 木马的隐藏和启动 木马进入服务端计算机以后,需要经过某种方式激活自身,运行并加载到系统自启动程序序列。 了解木马怎样激活自身,是找到并且清除木马的关键所在。 检查木马的方法 扫描端口是检测木马的常用方法。 前面我们说过,在不打开任何网络软件的前提下,接入互联网的电脑打开的只有139端口。 因此,我们可以关闭所有网络软件,然后,用“代理猎手”这类的端口扫描软件对电脑端口进行扫描,如果发现有139端口之外的被打开,那么,你是中了木马无疑了。 要想找到木马的位置,可以运用检测内存的办法。 运行“c:\windows\Drwatson.exe”,这是Windows系统的“华生医生”,它可以对系统内存拍照,以取得相关的信息。 拍照之后,查看“高级视图”中“任务”标签下的“程序”项,其中列出的就是正在运行的程序。 对于可疑的程序,再查“路径”栏,可以找到这个程序,这样就知道它到底是不是木马了。 手工删除木马 如果你认为找到木马后,删除不过是举手之劳,那你就大错特错了。 删除木马,有时候恰恰是最困难的工作,如果删除不彻底,木马很容易“死灰复燃”。 首先想到的方法应该是使用杀毒软件, 毕竟优秀的杀毒软件都是千锤百炼出来的“反恐”高手。 那么手工删除要注意什么呢? 许多木马本身具有自动检测其自启动项目的功能,如果你在未删除木马的情况下先行删除了其启动项目,木马马上又能将这些启动信息重新写入相关的文件或注册表相关位置。 因此,最稳妥的方法是,在确定木马的位置以后,先重新启动计算机并进入DOS状态,在DOS下删掉木马程序后,再返回Windows,删除它的相关启动信息。 其次是木马文件名的麻烦——木马为了更好地隐藏自己和给你制造麻烦,生成的服务端文件名类似Windows的系统文件名。 比如木马SubSeven 1.7版本的服务器文件名是c:\windows\kernel16.dll,而Windows有一个系统文件是c:\windows\kernel32.dll。 又如,木马phAse 1.0版本,生成的木马是c:\windows\system\Msgsrv32.exe,和Windows的系统文件一模一样,只是图标不同,你能正确区分这些并且删除吗?另外,别忘了,文件名是可以改的。 你可能认为中了bus木马就该有Mring.exe或者SysEdit.exe这样的文件出现,但是我把它改成123.exe你又能如何呢?所以,千万别一味依赖“常识”。 最后也是最困难的,就是木马的“多重攻击”带来的麻烦。 比如一种名叫“聪明基因”的国产“文件关联”型木马,只要服务端被运行,就会生成c:\windows\MBBManager.exe和Explore32.exe以及c:\windows\system\editor.exe三个文件,它们用的都是HTM文件图标,如果你的系统设置是不显示已知文件类型的扩展名,还真会以为它们是HTM文件呢!Explore32.exe关联HLP文件,MBBManager.exe在启动时加载,Editor.exe关联TXT文件。 当你发现并删除了MBBManager.exe,以为大功告成的时候,只要打开HLP文件或文本文件,哪怕只是一次,Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。 类似手段甚至更厉害的木马还有很多。 要手工清除木马,非得有充分的电脑知识,丰富的经验,冷静的头脑,敏锐的洞察力以及高度的警惕性和超强的分析能力才行——你做得到吗?防患于未然木马如此凶残,你还有信心战胜它吗?别急,其实对付木马的最好方法,就是将它“拒之门外”。 在这个木马横行的年代,我们实在有必要加强安全防护意识。 防火墙、杀毒软件都要经常更新;要慎重选择下载软件的地方,尽量不要到一些来历不明的个人主页下载软件;对下载的软件,务必先用杀毒软件扫描后才可以进行安装,以防其中包藏祸害;另外就是不要打开来历不明邮件中的附件,不要执行别人发给你的所谓“有趣”的小程序…… 此外,一旦中了木马,首先要断开网络连接,因为这样就是神仙也操纵不了你了,然后你可以耐心地去清除它。 还有就是删除前做好备份,以防操作失误。 总之,网络也是一个复杂的社会。 并且不同于现实社会的是,在这个虚拟世界里我们并不能见到对方的真实面目。 所以,我们更是难辨真伪。 在这样的环境中生存,我们一定要处处严加防范!这样,才能保证我们的安全
[create_time]2022-11-19 22:47:10[/create_time]2022-11-30 19:58:52[finished_time]1[reply_count]0[alue_good]腾扬数码[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.4215b7a0.zoyECN6Vgw3KCEWWyhqtWQ.jpg?time=595&tieba_portrait_time=595[avatar]TA获得超过2422个赞[slogan]这个人很懒,什么都没留下![intro]26[view_count]
如何检查苹果手机是否有盗号木马
第一步:cydia里下载Terminal(也可以用ifunbox的ssh) 第二步:打开Terminal,点击感叹号,如下图 第三步:进入shortcut meun,并按下图复制查马指令(防止手动输错) 第四步:点击back回到输指令界面,点击睡倒的感叹号,找到刚设置名称的快捷指令,之后代码就会自动输入,键盘点回车即可。 第五步:如果发现木马会再输出结果有:Binary file /Library/MobileSubstrate/xxx.dylib matches 字样,这个就是木马程序,在cydia里卸载这个木马插件,然后回到目录下看还存在dylib和plist文件吗?如果还存在删除这个dylib文件和对应的plist文件即可清理!(一般情况下是不存在的)然后记得改密码。如果返回结果为空就是没有查询到木马,如果返回结果是such file no search什么的,就是路径错误,检查是否输入错误(这里推荐大家复制指令) 下面给出几条查询指令,方便大家复制: 关键词:“wushidou” grep -r wushidou /Library/MobileSubstrate/DynamicLibraries/* 关键词:“gotoip4” grep -r gotoip4 /Library/MobileSubstrate/DynamicLibraries/* 关键词:“bamu” grep -r bamu /Library/MobileSubstrate/DynamicLibraries/* 关键词:“getHanzi” grep -r getHanzi /Library/MobileSubstrate/DynamicLibraries/*
[create_time]2017-09-23 02:47:29[/create_time]2015-03-18 12:24:13[finished_time]2[reply_count]0[alue_good]w别y云j间[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.a166d3e2.FMqChxzTH9oMFEPSCjr5nw.jpg?time=3974&tieba_portrait_time=3974[avatar]繁杂信息太多,你要学会辨别[slogan]这个人很懒,什么都没留下![intro]2623[view_count]怎么做木马
1,制作木马和使用木马病毒都是违法犯罪的行为,不建议您去学习。
2,制作出木马病毒程序后,这个程序就会自动开始执行,对您的电脑首先开始盗取帐号木马以及破坏程序。
3,所以如果自己受到了攻击或者盗号,不要用这种方式,要以正当途径来解决。
4,建议您到腾讯电脑管家官网下载一个电脑管家。
5,电脑管家拥有16层实时防护功能和QQ帐号全景防御系统,可以从上网安全、应用入口、系统底层等全方位保护电脑安全不受木马病毒侵袭,而且电脑管家还可以全方位多维度保护账号安全,精确打击盗号木马,瞬时查杀并对风险预警。
[create_time]2020-10-06 11:40:23[/create_time]2020-10-21 11:18:21[finished_time]2[reply_count]0[alue_good]冰吻的谎言[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.63cd0c43.wE-yl4o3pyL9stPsXDcBTQ.jpg?time=2878&tieba_portrait_time=2878[avatar]TA获得超过1475个赞[slogan]这个人很懒,什么都没留下![intro]277[view_count]
木马的制作
概念:特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
原理:“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。
这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的Explorer 键值改为Explorer=“C:/WINDOWS/expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序。
有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
木马一词的来源:
“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪
[create_time]2011-02-02 21:38:38[/create_time]2011-02-02 22:44:16[finished_time]3[reply_count]1[alue_good]DING狼[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.506ca542.Q_ki7t9apzskhCAgkryqHQ.jpg?time=2883&tieba_portrait_time=2883[avatar][slogan]这个人很懒,什么都没留下![intro]2646[view_count]
什么是免杀木马
免杀——顾名思义就是能避免被杀。
免杀木马就是能不让杀软识别为恶意代码的木马。
木马经过加壳后(可能不止一次,加壳算法也可能不止一种)能不被某些(可能所有)安全软件(靠特征码分析)发现,就成了免杀木马。
不过这种免杀只是相对的,如果安全厂家得到恶意代码,就会分析,然后更新特征库(病毒库)就可以查杀。
如果你用的是HIPS,那就基本不怕,因为不管恶意代码如何隐藏,最后都会露出真面目——调用相关的函数(来攻击),然后被 HIPS 拦截。但是如果恶意代码利用了系统漏洞(例如利用系统对特殊数据错误分析所造成溢出等等来进行攻击),那就麻烦了(*^__^*) 嘻嘻……
如果你遇到了很新的木马或者传播不广的木马,杀软可能查不出(因为还没有对应的特征码)。为了解决这种情况,各安全厂家都在想办法,常见的有启发式扫描和智能 HIPS。(貌似卡巴斯基实验室有一种新的东东,能更快的找到恶意代码的源头,好像会在 卡巴 2011 里用)
[create_time]2016-10-26 19:08:45[/create_time]2010-08-01 11:32:51[finished_time]3[reply_count]20[alue_good]bysdxt[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.255fb565.gaLvx6cCpbo6pjgu0H-3ew.jpg?time=2827&tieba_portrait_time=2827[avatar]TA获得超过443个赞[slogan]这个人很懒,什么都没留下![intro]3110[view_count]
怎么搞免杀木马
免杀分为2种
需要一些基础的汇编知识
((1、主动免杀
1.修改字符特征:
2.修改输入表:查找此文件的输入表函数名,并将其移位。
3.利用跳转打乱文件原有结构。
4.修改入口点:将文件的入口点加1。
5.修改PE段:将PE段移动到空白位置
((2、被动免杀
1.修改特征码:用一些工具找出特征码并针对特征码做免杀处理。
比如说OD
2.使用Vmprotect加密区段。
3,可以用一些比较生僻的壳对木马文件进行保护。
我现在做就是改特征码后加上几个壳
然后达到免杀效果,也许时间不会很常久,但是也能坚持一端时间
呵呵
不过对于现在的类似瑞星2008
先强行关闭
他的杀软
才是最行之有效的.他们杀毒不靠特征码
[create_time]2020-01-06 10:38:57[/create_time]2020-01-16 00:12:13[finished_time]1[reply_count]4[alue_good]迟德闵巳[uname]https://himg.bdimg.com/sys/portrait/item/wise.1.4d1ba838.m0QDylT0gytPJIWLpGSLTA.jpg?time=10652&tieba_portrait_time=10652[avatar]TA获得超过3.6万个赞[slogan]这个人很懒,什么都没留下![intro]26[view_count]
