木馬采用的偽裝方法

　　1.修改圖標

　　木馬服務端所用的圖標也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標，這樣很容易誘惑你把它打開。看看，木馬是不是很狡猾?

　　2.捆綁文件

　　這種偽裝手段是將木馬捆綁到一個安裝程序上，當安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被捆綁的文件一般是可執行文件 (即EXE、COM一類的文件)。

　　3.出錯顯示

　　有一定木馬知識的人部知道，如果打開一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時，會彈出一個錯誤提示框 (這當然是假的)，錯誤內容可自由定義，大多會定制成一些諸如 “文件已破壞，無法打開!”之類的信息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統。

　　4.自我銷毀

　　這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶打開含有木馬的文件后，木馬會將自己拷貝到Windows的系統文件夾中(C;\wmdows或C:\windows\system目錄下),一般來說，源木馬文件和系統文件夾中的木馬文件的大小是一樣的 (捆綁文件的木馬除外)，那么，中了木馬的朋友只要在近來收到的信件和下載的軟件中找到源木馬文件，然后根據源木馬的大小去系統文件夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下。就很難刪除木馬了。

　　5.木馬更名

　　木馬服務端程序的命名也有很大的學問。如果不做任何修改，就使用原來的名字，誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪，不過大多是改為和系統文件名差不多的名字，如果你對系統文件不夠了解，那可就危險了。例如有的木馬把名字改為window.exe，如果不告訴你這是木馬的話，你敢刪除嗎?還有的就是更改一些后綴名，比如把dll改為dl等，不仔細看的，你會發現嗎?

　　木馬的種類

　　1、破壞型

　　惟一的功能就是破壞并且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件。

　2、密碼發送型

　　可以找到隱藏密碼并把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。

　　在這里提醒一下，不要認為自己在文檔中加了密碼而把重要的保密文件存在公用計算機中，那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWS API函數EnumWindows和EnumChildWindows對當前運行的所有程序的所有窗口（包括控件）進行遍歷，通過窗口標題查找密碼輸入和出確認重新輸入窗口，通過按鈕標題查找我們應該單擊的按鈕，通過ES_PASSWORD查找我們需要鍵入的密碼窗口。向密碼輸入窗口發送WM_SETTEXT消息模擬輸入密碼，向按鈕窗口發送WM_COMMAND消息模擬單擊。在破解過程中，把密碼保存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止。此類程序在黑客網站上唾手可得，精通程序設計的人，完全可以自編一個。

　　3、遠程訪問型

　　最廣泛的是特洛伊馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現遠程控制。以下的程序可以實現觀察”受害者”正在干什么，當然這個程序完全可以用在正道上的，比如監視學生機的操作。

　　程序中用的UDP（User Datagram Protocol，用戶報文協議）是因特網上廣泛采用的通信協議之一。與TCP協議不同，它是一種非連接的傳輸協議，沒有確認機制，可靠性不如TCP，但它的效率卻比TCP高，用于遠程屏幕監視還是比較適合的。它不區分服務器端和客戶端，只區分發送端和接收端，編程上較為簡單，故選用了UDP協議。本程序中用了DELPHI提供的TNMUDP控件。

　　4.鍵盤記錄木馬

　　這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什么按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息，甚至是你的信用卡賬號哦!當然，對于這種類型的木馬，郵件發送功能也是必不可少的。

 木馬的出現對我們的系統造成了很大的危害，但是由于木馬通常植入得非常隱蔽，很難完全刪除，因此，這里我們介紹一些常見木馬的清除方法。

　　1. 網絡公牛（Netbull）

　　網絡公牛是國產木馬，默認連接端口23444。服務端程序newserver.exe運行后，會自動脫殼成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次開機checkdll.exe將自動運行，因此很隱蔽、危害很大。同時，服務端運行后會自動捆綁以下文件:

　　win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

　　服務端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe、QQ、ICQ等)上，在注冊表中網絡公牛也悄悄地扎下了根。

　　網絡公牛采用的是文件捆綁功能，和上面所列出的文件捆綁在一塊，要清除非常困難。這樣做也有個缺點：容易暴露自己！只要是稍微有經驗的用戶，就會發現文件長度發生了變化，從而懷疑自己中了木馬。

　　清除方法：

　　1.刪除網絡公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。

　　2.把網絡公牛在注冊表中所建立的鍵值全部刪除：

　　3.檢查上面列出的文件，如果發現文件長度發生變化（大約增加了40K左右，可以通過與其它機子上的正常文件比較而知），就刪除它們！然后點擊“開始→附件→系統工具→系統信息→工具→系統文件檢查器”，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”，在框中填入要提取的文件(前面你刪除的文件)，點“確定”按鈕，然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了，那就得把這些文件刪除，再重新安裝。

　　2. Netspy（網絡精靈）

　　Netspy又名網絡精靈，是國產木馬，最新版本為3.0，默認連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監控功能，客戶端現在可以不用NetMonitor，通過IE或Navigate就可以進行遠程監控了。服務端程序被執行后，會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立鍵值C\windows\ system\netspy.exe，用于在系統啟動時自動加載運行。

　　清除方法：

　　1.重新啟動機器并在出現Staring windows提示時，按F5鍵進入命令行狀態。在C:\windows\system\目錄下輸入以下命令：del netspy.exe；

　　2.進入HKEY_LOCAL_MACHINE\

　　Software\microsoft\windows\ CurrentVersion\Run\，刪除Netspy的鍵值即可安全清除Netspy。

　　3. SubSeven

　　SubSeven的功能比起BO2K可以說有過之而無不及。最新版為2.2(默認連接端口27374)，服務端只有54.5k，很容易被捆綁到其它軟件而不被發現。最新版的金山毒霸等殺毒軟件查不到它。服務器端程序server.exe，客戶端程序subseven.exe。SubSeven服務端被執行后，變化多端，每次啟動的進程名都會發生變化，因此很難查。

    清除方法：

　　1.打開注冊表Regedit，點擊至： HKEY_LOCAL_MACHINE\SOFTWARE\

　　Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加載文件，就刪除右邊的項目：加載器=“c:\windows\system\***”。注：加載器和文件名是隨意改變的

　　2.打開win.ini文件，檢查“run=”后有沒有加上某個可執行文件名，如有則刪除之。

　　3.打開system.ini文件，檢查“shell=explorer.exe”后有沒有跟某個文件，如有將它刪除。

　　4.重新啟動Windows，刪除相對應的木馬程序，一般在c:\windows\system下，在我在本機上做實驗時發現該文件名為vqpbk.exe。

　　4. 冰河

　　我們這里介紹的是其標準版，掌握了如何清除標準版，再來對付變種冰河就很容易了。 冰河的服務器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那么該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統啟動時自動加載運行，sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe。

　　清除方法：

　　1.刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件；

　　2.冰河會在注冊表HKEY_LOCAL_

　　MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，鍵值為C:\windows\system\Kernel32.exe，刪除它；

　　3.在注冊表的HKEY_LOCAL_

　　MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，還有鍵值為C:\windows\system\Kernel32.exe的，也要刪除；

　　4.最后，改注冊表HKEY_CLASSES_

　　ROOT\txtfile\shell\open\command下的默認值，由表中木馬后的C:\windows\system\Sysexplr.exe %1改為正常的C:\windows\notepad.exe %1，即可恢復TXT文件關聯功能。

5. 網絡神偷（Nethief）

　　網絡神偷是個反彈端口型木馬。什么叫“反彈端口”型木馬呢？與一般的木馬相反，反彈端口型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，為了隱蔽起見，客戶端的監聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“TCP　服務端的IP地址:1026　客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁。

　　清除方法：

　　1.網絡神偷會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\

　　Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet”，其值為“internet.exe /s”，將鍵值刪除；

　　2.刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

　　6. 廣外女生

　　“廣外女生”是是一種新出現的遠程監控工具，破壞性很大，遠程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在于“廣外女生”服務端被執行后，會自動檢查進程中是否含有“金山毒霸”、“天網”等字樣，如果發現就將該進程終止，也就是說使防火墻完全失去作用。 　　

　　清除方法：

　　1.啟動到純DOS模式下，找到System目錄下的DIAGFG.EXE，刪除它；

　　2.我們找到Windows目錄中的注冊表編輯器“Regedit.exe”，將它改名為“Regedit.com”；

　　3.回到Windows模式下，運行Windows目錄下的Regedit.com程序（就是我們剛才改名的文件）；

　　4.找到HKEY_CLASSES_ROOT\

　　exefile\shell\open\command，將其默認鍵值改成”%1″ %*；

　　5刪除注冊表中名稱為“Diagnostic Configuration”的鍵值；

　　6.關掉注冊表編輯器，回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。

    7. WAY2.4

　　WAY2.4是國產木馬程序，默認連接端口是8011。WAY2.4的注冊表操作的確有特色，對受控端注冊表的讀寫，就和本地注冊表讀寫一樣方便！WAY2.4服務端被運行后在C:\windows\system下生成msgsvc.exe文件，圖標是文本文件的圖標，很隱蔽。看來它想冒充系統文件msgsvc32.exe。同時，WAY2.4在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。

　　清除方法：

　　用進程管理工具查看，你會發現進程CWAY，只要刪除它在注冊表中的鍵值，再刪除C:\windows\system下的msgsvc.exe這個文件就可以了。

　　要注意在Windows下直接刪除msgsvc.exe是刪不掉的，此時你可以用進程管理工具終止它的進程，然后再刪除它。或者到DoS下刪除msgsvc.exe也可。如果服務端已經和可執行文件捆綁在一起了，那就只有將那個可執行文件也刪除了。注意在刪除前請做好備份。