什麼是木馬程式 ？

Question

什麼是木馬程式阿 ？
什麼是木馬程式阿 ？

大家回答的都真好
投票～投票～

Answer 1

所謂的木馬程式, 就是用蒙混的方式讓受害者無意間加以執行的程式 (通常是有不良意圖的)。例如有人寄一封 email 給你, 附件有個執行檔叫做 readme.txt.exe, 早期 outlook 熱心過頭, 會把副檔名隱藏, windows 的執行檔又可以附帶自訂的 icon, 如果這個 readme.txt.exe 附帶的是純文字檔的 icon, 受害者很可能會誤以為是無害的純文字檔, 就給他 double-click 下去 ... 這種程式就叫做木馬程式。另外有些是用網頁的方式, 有些發垃圾郵件的, 會在網頁中用 onLoad() 去執行一小段 JavaScript, 例如確認這個 email 是有人收的, 這樣受害者只要開過這個網頁一次, 就會源源不絕的收到更多的垃圾郵件, 這也算是一種木馬程式。木馬一詞出自著名的特洛伊戰爭, 特洛伊人因為好奇, 在不知情的狀況下把裝滿希臘士兵的大木馬當成戰利品拖進城中, 讓希臘人輕易地突破特洛伊堅固的城牆, 攻陷特洛伊城。木馬程式就是駭客從特洛伊戰爭所獲得的靈感, 用來入侵受害者電腦的一種手法。

Answer 2

所謂的木馬程式, 就是用蒙混的方式讓受害者無意間加以執行的程式 (通常是有不良意圖的)。

例如有人寄一封 email 給你, 附件有個執行檔叫做 readme.txt.exe, 早期 outlook 熱心過頭, 會把副檔名隱藏, windows 的執行檔又可以附帶自訂的 icon, 如果這個 readme.txt.exe 附帶的是純文字檔的 icon, 受害者很可能會誤以為是無害的純文字檔, 就給他 double-click 下去 ... 這種程式就叫做木馬程式。

另外有些是用網頁的方式, 有些發垃圾郵件的, 會在網頁中用 onLoad() 去執行一小段 JavaScript, 例如確認這個 email 是有人收的, 這樣受害者只要開過這個網頁一次, 就會源源不絕的收到更多的垃圾郵件, 這也算是一種木馬程式。

木馬一詞出自著名的特洛伊戰爭, 特洛伊人因為好奇, 在不知情的狀況下把裝滿希臘士兵的大木馬當成戰利品拖進城中, 讓希臘人輕易地突破特洛伊堅固的城牆, 攻陷特洛伊城。木馬程式就是駭客從特洛伊戰爭所獲得的靈感, 用來入侵受害者電腦的一種手法。

Answer 3

上面的「蔡淘桂」大大有個地方打錯囉！就是再「四→4.」的「kernl32.exe」應改為「kern『e』l.exe」
因為之前快被這東西煩死，所以印象特別深刻......

2005-05-28 18:02:32 補充：
我打錯了......是「kernel32.exe」才對

Answer 4

木馬程式"大家聽得多了,但是它到底是什麼?對你的電腦有什麼影響,本文將一一為你介紹



一、 引言

特洛伊木馬是 Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城，逾年無法攻下。 有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。 到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。 特洛伊木馬原則上它和Laplink 、 PCanywhere 等程式一樣，只是一種遠端管理工具。 而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。原因是如果有人不當的使用，破壞力可以比病毒更強。

二、木馬攻擊原理

特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。 木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。 基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。對於特洛伊木馬，被控制端就成為一台伺服器。

三、特洛伊木馬隱身方法

木馬程式會想盡一切辦法隱藏自己，主要途徑有：在工作程序中隱形：將程式設為「系統伺服器」可以偽裝自己。 當然它也會悄無聲息地啟動，木馬會在每次使用者啟動時自動載入伺服器端，Windows系統啟動時自動載入應用程式的方法，「木馬」都會用上，如：win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。
　在win.ini檔案中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程式的途徑，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案，電腦就可能中「木馬」了。當然也得看清楚，因為好多「木馬」，如「AOL Trojan木馬」，它把自身偽裝成command.exe檔案，如果不注意可能不會發現它不是真正的系統啟動檔案。
　在system.ini檔案中，在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名」，那麼後面跟著的那個程式就是「木馬」程式，就是說已經中「木馬」了。
在註冊表中的情況最複雜，使用regedit指令開啟註冊表編輯器，在點擊至：「HKEY－LOCAL－MACHINE Software Microsoft Windows Current Version Run」目錄下，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名為EXE，這裡切記：有的「木馬」程式產生的檔案很像系統自身檔案，想使用偽裝矇混過關，如「Acid Battery v1.0木馬」，它將註冊表「HKEY－LOCAL－MACHINE SOFTWARE MicrosoftWindowsCurrentVersionRun」下的 Explorer 鍵值改為Explorer =「C:WINDOWSexpiorer.exe」，「木馬」程式與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程式，如：
「HKEY－CURRENT－USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run」、
「HKEY－USERS＼Software＼Microsoft＼Windows＼CurrentVersion＼Run」
的目錄下都有可能，最好的辦法就是在
「HKEY－LOCAL－MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run」 下找到「木馬」程式的檔案名稱，再在整個註冊表中搜尋即可。
目前，除了上面介紹的隱身技術外，更新、更隱蔽的方法已經出現，那就是-驅動程式及動態連結技術。 驅動程式及動態連結技術和一般的木馬不同，它基本上擺脫了原有的木馬模式-監聽連接，而採用替代系統功能的方法（覆寫驅動程式或動態連結）。 這樣做的結果是：系統中沒有增加新的檔案（所以不能用掃瞄的方法搜尋）、不需要開啟新的連接（所以不能用連接監視的方法搜尋）、沒有新的程序（所以使用程序檢視的方法發現不了它，也不能用kill程序的方法終止它的執行）。 在正常執行時木馬幾乎沒有任何的症狀，而一旦木馬的控制端向被控端發出特定的訊息後，隱藏的程式就立即開始運作。

四、 特洛伊木馬防禦原理

　　知道了木馬的攻擊原理和隱身方法，我們就可以採取措施進行防禦了。

　　1.連接埠掃瞄
　　連接埠掃瞄是檢查遠端機器有無木馬的最好辦法，連接埠掃瞄的原理非常簡單，掃瞄程式嘗試連接某個連接埠，如果成功，則說明連接埠開放，如果失敗或超過某個特定的時間(逾時)，則說明連接埠關閉。但對於驅動程式/動態連結木馬，掃瞄連接是不起作用的。
　　2.檢視連接
　　檢視連接埠和連接掃瞄的原理基本相同，不過是在本地電腦上使用netstat -a檢視所有的TCP/UDP連接，檢視連接要比連接埠掃瞄快，但同樣是無法查出驅動程式/動態連結木馬，而且僅能在本地電腦使用。
　　3.檢查註冊表
　　上面在討論木馬的啟動方式時已經提到，木馬可以使用註冊表啟動（現在大部分的木馬都是使用註冊表啟動的，至少也把註冊表作為一個自我保護的方式），那麼，我們同樣可以使用檢查註冊表來發現木馬在註冊表裡留下的痕跡。
　　4.尋找檔案
　　尋找木馬特定的檔案也是一個常用的方法，木馬的一個特徵檔案是kernl32.exe，另一個是sysexlpr.exe，只要刪除了這兩個檔案，木馬就已經不起作用了。


五.特洛伊木馬的特徵

1 不需要本身的使用者準許就可獲得電腦的使用權。
2 程式體積十分微小，執行時不會佔用太多資源。
3 執行時很難停止它的活動。
4 執行時不會在系統中顯示出來。
5 一次執行後，就會自動登錄在系統啟動區，之後每次在 Windows 載入時自動執行。
6 一次執行後，就會自動變更檔名，甚至隱形。
7 一次執行後，會自動複製到其他資料夾中。
8 做到連本身使用者都無法執行的動作。

六、預防方法

1 不要執行任何來歷不明的軟體
很多木馬病毒都是透過綁在其他的軟體中來傳播的，一旦運行了這個被綁定的軟體就會被感染，因此在下載軟體的時候需要特別注意。在軟體安裝之前一定要用防毒軟體檢查一下，建議用專門殺木馬的軟體來進行檢查，確定無毒後再使用。

2 不要隨意打開郵件附件
現在絕大部份木馬病毒都是透過郵件來傳遞的，而且有的還會連環擴散，連累其它電腦，因此對郵件附件的運行尤其需要注意。

3 重新選擇新的用戶端軟體
很多木馬病毒主要感染的是Microsoft的Outlook和Outlook Express的郵件用戶端軟體，因為這兩款軟體全球使用量最大，駭客們對它們的漏洞已經洞察得比較透徹。如果選用其他的郵件軟體，收到木馬病毒攻擊的可能性就會減小，至少不會反復感染給通訊錄中的好友。此外也可以直接透過Web方式來開啟信箱，這樣就能大大降低木馬病毒的感染機率。

4 將檔案總管設定成"始終顯示副檔名"
將Windows檔案總管設定成始終顯示副檔名，一些文件副檔名vbs、shs、pif的文件多為木馬病毒的特徵，如果碰到這些可疑的文件副檔名時就應該要特別注意。

5 儘量少用"共用文件夾"
如果因工作等原因必須將電腦設置成共用，則最好單獨開一個共用文件夾，把所有需共用的文件都放在這個共用文件夾中，注意千萬不要將系統目錄設置成共用。

6 執行反木馬即時監控軟體
木馬防範重要的一點就是在上網時最好執行反木馬即時監控軟體，The Cleaner等軟體一般都能即時顯示當前所有執行中的程式並有詳細的描述資訊。此外加上一些專業的最新的防毒軟體、個人防火牆等進行監控就可以放心了。

7 經常更新系統
很多木馬都是透過系統漏洞來進行攻擊的，微軟公司發現這些漏洞之後都會在第一時間內發佈更新檔，只要執行Windows Update更新系統就是一種最好的木馬防範辦法。

Answer 5

駭客程式~~會一直攻擊你的電腦,會一直跑畫面出來,就像上一些網站後,會接著一些小方塊出現的那種,中毒了記得要殺掉喔!~~