c 시스템 디스크 아래에 JMSOFT 폴더가 있는데, 이것은 무엇을 위한 것인가요?
잘 살펴보세요. 즉, 당신의 컴퓨터가 다른 사람에 의해 제어되고 있을 수도 있습니다. 방법을 모르면 시스템을 다시 설치하십시오.
금지된 닭! 숨겨진 "브로일러"를 확인하세요 - 컴퓨터에 숨겨진 트로이 목마를 탐지하는 4가지 트릭
Tianya(2007년 5월 14일 제19호)
트로이 목마가 인터넷에서 맹위를 떨치고 있습니다. 조심하지 않으면 우리는 해커의 손에 희생될 수 있습니다. 그때가 되면 여러분의 컴퓨터는 해커들이 조종하는 꼭두각시가 되어 여러분의 개인정보가 완전히 노출될 것입니다. 해커의 통제를 거부하십시오. 최종 결정권은 내 컴퓨터에 있습니다. 메이데이 이후부터 해커들이 봇을 노리는 시대가 시작되었습니다. 트로이목마의 특성을 토대로 해커가 되지 않기 위해 4가지 자가진단을 실시하고 있습니다.
약간의 지식: 육계는 실제로 해커의 트로이 목마에 감염되었거나 백도어 프로그램이 설치된 컴퓨터입니다. 해커는 컴퓨터 관리자처럼 육계에 대해 모든 것을 할 수 있습니다. 이제 많은 사람들이 WEBSHELL 권한을 사용하여 원격 호스트를 호출합니다.
첫 번째 단계: 시스템 프로세스의 신뢰성 구별
현재 인기 있는 트로이 목마는 자신을 더 효과적으로 숨기기 위해 다양한 방법을 사용하며, 그 중 가장 일반적인 방법은 다음과 같습니다. 숨겨져 있습니다. 이 방법은 일반적인 검사 기술로는 찾아내기 어려울 뿐만 아니라, 사용자가 부적절하게 조작할 경우 시스템 프로세스를 삭제해 시스템을 불안정하게 하거나 심지어 충돌을 일으킬 수도 있습니다. 이러한 일반적인 트로이 목마 프로그램에는 Gray Pigeon, Watchman, Shangxing Trojan 등이 있습니다.
자체 검사 방법
트로이 목마를 더 잘 위장하기 위해 해커들은 종종 트로이 목마의 이름을 시스템 프로세스의 이름과 매우 유사하게 설정합니다. 일반적으로 시스템 프로세스는 시스템 사용자가 로드합니다. "시스템 프로세스"가 현재 사용자에 의해 로드된 경우 이 "시스템 프로세스"에 문제가 있는 것입니다.
또한 시스템 프로세스의 경로와도 구별할 수 있습니다. 예를 들어 일반 시스템 프로세스인 svchost.exe는 사용자의 경우 "c:\Windows\system32" 디렉터리에 있어야 합니다. 해당 경로가 다른 디렉터리에 있음을 발견합니다. 다음은 프로세스에 문제가 있음을 나타냅니다.
또한 현재의 트로이 목마는 자체 서버 프로그램 보호에 큰 관심을 기울이고 있습니다. 트로이 목마 프로그램은 스레드 삽입 등을 사용하기 때문에 "작업 관리자"를 통해 트로이 목마의 서버 프로세스를 확인하지 못할 수도 있습니다. 기술이 숨겨져 있습니다.
여기서 Shushu는 IceSword를 사용할 것을 권장합니다(다운로드 주소: /zsgj/GPDetect.exe
Panda Burning Incense Killing Tool
Jinshan: /db/download / othertools/DuBaTool_WhBoy.BAT
마이잉 바이러스 제거 도구
Jiangmin: /bzsoft/), 검색 속도가 매우 빠르기 때문입니다. 시작 메뉴에서 "실행" 명령을 클릭하고 "cmd"를 입력하여 명령 프롬프트 창을 연 후 S tcp 192.168.1.1 192.168 1.255 135 100 /save 명령을 입력합니다(그림 1).
그림 1
앞과 뒤의 IP 주소는 스캔의 시작과 끝 주소를 나타내고, 뒤의 135는 스캔의 포트를 나타내며, 100은 스레드 수를 나타냅니다. 스캔할 수 있으며, 숫자가 클수록 속도가 빨라집니다. 많은 Windows 시스템은 기본적으로 스레드를 10개로 제한한다는 점에 유의해야 합니다. 이 제한을 변경하려면 수정 도구를 사용해야 합니다.
팁: 예를 들어 "Bit Elf" 설치 디렉터리를 열고 그 안에서 BetterSP2.exe를 실행한 다음 팝업 창의 "다음으로 제한 변경" 옵션에서 256으로 설정하고 마지막으로 "적용" 버튼을 클릭하고 시스템을 다시 시작하세요.
2단계: 135번 포트를 열어둔 컴퓨터에서 침입 가능한 대상을 선별합니다.
먼저 S 스캐너 디렉터리에 있는 IP 주소 파일 Result.txt를 열고 텍스트 파일에서 불필요한 정보를 삭제하고 IP 주소와 관련된 내용만 유지합니다. 그런 다음 원격 시스템을 크랙할 수 있는 크래킹 도구 NTScan(다운로드 주소: /bzsoft/)을 실행합니다(그림 2).
그림 2
NTScan 창의 "Host File"에 IP 주소 파일을 설정하고 WMI 검색 유형을 선택한 다음 "Scan Port"에서 135로 설정합니다. . 마지막으로 "시작" 버튼을 클릭하여 크래킹 작업을 수행합니다. 성공적으로 크랙된 호스트 주소는 NTScan.txt에 저장됩니다.
3단계: 이제 Recton 도구를 사용하여 트로이 목마 프로그램을 업로드하세요(다운로드 주소: /bzsoft/). 창에서 "식물" 탭을 클릭하고 NTScan.txt에서 주소를 찾아 "원격 호스트 설정" 옵션에 추가합니다. 그런 다음 "Http 다운로드" 옵션을 선택하고 "파일 디렉터리"에 트로이 목마 프로그램의 웹 링크 주소를 설정한 다음 마지막으로 "실행 시작" 버튼을 클릭합니다(그림 3).
그림 3
이렇게 하면 트로이 목마 프로그램이 포트 135를 사용하여 원격 호스트에 업로드되고 시스템 백그라운드에서 조용히 실행됩니다. 이 방법은 원격 사용자의 참여가 필요하지 않아 은폐율과 성공률이 매우 높으며, 브로일러 일괄 포획에 적합하다. 그러나 업로드된 트로이 목마 프로그램은 반드시 백신 치료를 받아야 한다.
팁: 해킹 도구를 실행할 때는 바이러스 백신 소프트웨어가 해당 도구를 바이러스로 제거하므로 먼저 바이러스 백신 소프트웨어를 꺼야 합니다.
3. 예방 기술
1. 네트워크 방화벽을 사용하여 시스템의 포트 135를 차단하면 해커가 첫 번째 단계에서 실패합니다. 또한 139, 445, 3389 등의 포트도 차단해야 할 포트입니다.
2. 현재 시스템에서 관리자 계정 비밀번호의 강도를 강화합니다. 예를 들어 비밀번호는 숫자, 대문자, 소문자 등을 포함하여 6자 이상으로 설정해야 합니다. 이런 식으로 해킹 도구는 쉽게 계정 비밀번호를 해독할 수 없으므로 135 포트를 스캔해도 소용이 없습니다.
3. 최신 버전의 바이러스 백신 소프트웨어를 설치하고 바이러스 데이터베이스를 최신 버전으로 업데이트하세요. 가능하다면 사용자는 적극적인 방어 기능을 갖춘 바이러스 백신 소프트웨어를 사용하는 것이 가장 좋습니다.
공격형과 방어형 게임
공격형 해커: 포트 135를 이용하면 많은 수의 브로일러를 포획하는 것은 사실 가능하지만 시간이 많이 걸릴 것이다. 지속적인 운영 체제 업데이트와 포트 135에 대한 사람들의 보호 강화로 인해 이 방법은 점차 신인이 되었으며 실제 전문가들은 이를 경멸합니다. 해커가 닭을 잡는 방법에는 여러 가지가 있습니다. 예를 들어, Xunlei를 사용하여 묶음 트로이 목마를 확산시킬 수도 있습니다. 이는 닭을 잡는 데 더 널리 사용되는 방법입니다.
편집 방지: 해커들이 135번 포트를 이용해 침입하기 때문에 관련 기능을 비활성화하거나 제한하면 됩니다. 또한 Xunlei를 사용하여 번들 트로이 목마를 확산시키는 해커의 경우 다운로드 프로세스 중 탐지를 위해 Xunlei의 보안 기능을 사용하는 것 외에도 "웹 트로이 목마 인터셉터" 도구를 사용할 수도 있습니다. 웹 트로이 목마이든 번들 트로이 목마이든 상관없이 실행되는 동안 차단되고 사용자에게 주의를 기울이라는 메시지가 표시됩니다.
------------------------------- -- ------------------------------------------------ -- ------------------
Ps: 위 내용은 컴퓨터뉴스에서 인용한 것입니다
(꼭 그럴 필요는 없습니다) 패닉, 문제에 적극적으로 대응하고 해결하는 방법밖에 없음) 최선의 정책)