關於木馬...駭客請進吧
 

先定義:
駭客 :電腦高手(非下三濫cracker或script kids)



木馬一直在變形
防毒軟體絕對擋不住所有新的變形木馬

但是
木馬一定要向外通訊

所以
是不是只用軟體防火牆嚴格控管程式對網路I/O存取
就可以100%封鎖木馬了?

那在木馬provider的角度
要怎麼突破封鎖?

討論一下吧
謝謝

可以控制常用的一般應用程式作為傳遞資訊的媒介
還必須「嚴格」控管程式與程式之間的溝通才行。

請問你的 嚴格 定義如何?
而在木馬的角度....就找漏洞啊= =|||
隨著技術的增進.也可能自行創造出漏洞來入侵

那就... 把衛生習慣養好吧...

別讓電腦吃到來路不明的軟體 ( 網路下載的幾乎都是屬於來路不明的軟體s )
看清吃的是啥瀉藥還是仙藥 ( 不要光只會點 next 和 yes 鈕而以 )
記得給電腦吃吃保健食品 ( M$ 那堆 hotfix 之所以稱為 hot 不是沒原因的 )

其實...不管你信不信
"木馬"所走的port大部份(99%)都是合法port
你要怎麼擋!?
不管linux，win，mac通通一樣!

主要的問題在於權限的取得，而這些木馬都是先取得權限，然後才開始做怪。
作業系統只認權限，無法分辨誰是操作者，故除非還有更高的權限限制，不然手動控制也容易被自動解除。

你怎麼知道你的MSN有沒有中木馬？


這樣你就知道用防火牆到底有沒有用了。

防火牆大多數都是擋外不擋內,由外部主動連進內部的封包做一個檢查,
檢查旗標,來源IP,來源連接埠,目地的IP,目的地的連接埠~~~~
以iptables 的語法為例:
iptables -t filter -A INPUT -p tcp -dport 80 -i eth0 -s 192.168.0.1 -o eth1 -d 192.168.0.2 -j ACCEPT
上述的是指要符合以上條件的封包才被允許
INPUT的由主機eth0網卡輸入的 從192.168.0.1的封包,要從eth1的網卡連到192.168.0.2的tcp 80port的封包允許
當然也有更嚴謹的做法,針對output ,forward 等去做一個設定
但是這麼做也有麻煩性在,如果Output跟forward都指定好IP跟PORT的話,那又會有個問題是在於,網站中文章的超連接若是連到某個你沒加入到防火牆規則的網站的話,就要一筆一筆的加入到防火牆的規則裡,反倒是麻煩,而且規則太多的話防火牆效率也低很多(因為要一條條比對)
另外樓上也有網友指出,木馬大多數用的是合法的PORT,你怎麼去針對PORT去做一個防範(內到外).
防火牆主要的目的是在於防範外部的駭客或是惡意程式主動的攻擊你的電腦,

之前去上TCSE跟Kaspersky都有說,木馬是不會主動安裝在你的電腦裡,都是使用者自己點下確定才會被安裝,所以~~~要防範木馬的最好方法就是,使用者擁有良好的上網習習慣



是不是只用軟體防火牆嚴格控管程式對網路I/O存取
就可以100%封鎖木馬了?

Ans:不是,使用者良好的習慣更為重要,木馬主要是在你電腦裡開個後門,讓駭客能夠進到你的電腦
而且木馬沒有攻擊,破壞性

就像DoS攻擊，你分析每個傳進來的封包，每個封包內容都正常，也都是走正常的port進來的，
要不是數量多起來，否則是怎麼能分析得出這是個DoS攻擊...........

對我來說
擋掉一些想偷偷連到自家伺服器的合法軟體
好像比較實用

我也不知道它們連到網路幹麻
所以只要不是ie和msn和我知道的(比如momo.exe)
都擋

但要是這幾隻被植入木馬
就沒輒了嗎?

是可以擋掉很多外來
比如google的bot
滿爽的:D