原本抬高玩家计算机才是果然治木马的根基.什么杀毒软件只不外是一种补助工具.本人是二区雷霆一 脚色名:僧叩月下门 工作:法师 性别:男 婚姻:单身.阔别一年多的传说.在失意的处境,重新烂醉陶醉在传说的日子里.(注:这脱节一年的日子里.此号曾给过一个网友玩过) 特络伊木马是一种基于长途克制的病毒程序,该程序具有很强的潜伏性和妨碍性,它也许在你并不知情的的处境下克制你大概监视你的电脑。下面就讲讲木马不时安身的场合和根除主意。????最后查察本身的电脑中是否有木马 1、集成到程序中 原本木马也是一个服务器-客户端程序,它为了不让用户能轻快地把它节减,就不时集成到程序里,一旦用户激活木马程序,那么木马文件和某一利用程序捆扎在一块儿,然后上传到服务端围困原文件,如此虽然木马被节减了,只要运行捆扎了木马的利用程序,木马又会被装置上去了。绑定到某一利用程序中,如绑定到体系文件,那么每一次Windows启动均会启动木马。 2、隐匿在配置文件中 木马确切是太狡猾,明了菜鸟们寻常利用的是图形化界面的操纵体系,看待那些已经不太首要的配置文件大多数是不闻不问了,这正值给木马提供了一个安身之处。而且利用配置文件的独特作用,木马很方便就能在人人的计算机中运行、发作,从而偷窥大概监视人人。不外,现在这种方式不是很潜伏,方便被发觉,以是在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能以是而掉以轻心哦。 3、隐匿在Win.ini中 木马要想到达克制大概监视计算机的目的,必须要运行,不外没有人会傻到本身在本身的计算机中运行这个活该的木马。固然,木马也早有感情策划,明了人类是高智商的动物,不会帮助它事件的,以是它必须找一个既平安又能在体系启动时自动运行的场合,以是隐匿在Win.ini中是木马感想对照满意的场合。人人也许开放Win.ini来看看,在它的[windows]字段中有启动招呼“load=”和“run=”,在一般处境下“=”后背是空缺的,假使有后跟圭表,譬喻说是这个神气:run=c:\windows\XXX.exe load=c:\windows\XXX.exe 这时你就要小心了,这个file.exe很或许是木马哦。 4、假充在寻常文件中 这个主意展现的对照晚,但是目前很流行,应付不纯熟的windows操纵者,很方便上当。险些主意是把可执行文件假充成图片或文本----在圭表中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认配置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注重的人一点这个图标就中木马了(假使你在圭表中嵌一张图片就更完满了)。 5、内置到立案表中 上面的主意让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!但是好景不长,人类很快就把它的破绽揪了出来,并对它举办了严格的惩罚!但是它还心有不甘,归纳了挫折教诲后,以为上面的容身之处很方便找,目前必须躲在不方便被人觉察的场地,于是它想到了立案表!确实立案表由于对照复杂,木马不时喜好藏在这边舒畅,赶快检讨一下,有什么圭表在其下,睁大眼睛认真看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下全数以“run”开端的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下全数以“run”开端的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下全数以“run”开端的键值。 6、在System.ini中容身 木马真是无处不在呀!什么场地有空子,它就往那里那边钻!这不,Windows装配目次下的System.ini也是木马喜好暗藏的场地。照样小心点,敞开这个文件看看,它与正常文件有什么差异,在该文件的[boot]字段中,是不是有如此的内容,那便是shell=Explorer.exe file.exe,假使确实有如此的内容,那你就厄运了,由于这边的file.exe便是木马服务端圭表!另外,在System.ini中的[386Enh]字段,要注重检讨在此段内的“driver=路径\圭表名”,这边也有或许被木马所行使。尚有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动圭表的作用,但也是增添木马圭表的好场地,目前你该清楚也要注重这边喽。 7、隐形于开动组中 偶尔木马并不介意自己的行踪,它更注重的是可否自动加载到编制中,由于一旦木马加载到编制中,任你用什么主意你都无法将它赶跑(哎,这木马脸皮也真是太厚),于是遵照这个逻辑,开动组也是木马不妨容身的好场地,由于这边确实是自动加载运行的好场地。动组对应的文件夹为:C:\windows\start menu\programs\startup,在备案表中的地点:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注重每每检查开动组哦! 8、暗藏在Winstart.bat中 依据上面的逻辑理论,凡是利于木马能主动加载的地点,木马都喜好呆。这不,Winstart.bat也是一个能主动被Windows加载运行的文件,它无数状况下为行使标准及Windows主动生成,在执行了Win.com并加载了无数驱动标准之后起初执行(这一点可经过议定开动时按F8键再拣选渐渐跟踪开动历程的开动体式格局可得知)。因为Autoexec.bat的功能不妨由Winstart.bat代替告终,所以木马万万不妨像在Autoexec.bat中那样被加载运行,危机由此而来。 9、绑缚在开动文件中 即行使标准的开动设置文件,抑制端行使这些文件能开动标准的特征,将制作好的带有木马开动号召的同名文件上传到服务端包围这同名文件,这样就不妨达到开动木马的目标了。 10、设置在超级毗邻中 木马的主人在网页上安插恶意代码,勾引用户点击,用户点击的后来不问可知:开门揖盗!劝说不要随便点击网页上的链接,除非你懂得它,坚信它,为它死了也情愿等等。????下面再看木马的肃除办法????1、检查备案表中RUN、RUNSERVEICE等几项,先备份,记下不妨开动项的所在, 再将可疑的简略节略。 ????2、简略节略上述可疑键在硬盘中的执行文件。 ????3、凡是这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们凡是不会孑立生计,很或者是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则简略节略之。 ????4、检查备案表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\????Internet Explorer\Main中的几项(如Local Page),要是被删改了,改返来就不妨。 ????5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和????HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认敞开标准是否被更动。这个必然要改返来。很多病毒便是经过议定删改.txt,.ini等的默认敞开标准让病毒“天保九如,永杀不尽”的。 ????6、要是有或者,对病毒的母文件举办反汇编,好比我上次中的那个病毒,经过议定用IDA反汇编,发现它还偷盗编制密码并设立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中,因为我用的是WIN_XP_SP2,所以它当然没有到手。 至此,病毒万万简略节略! 本人倡导有才智的话,期间注重编制的转变,奇怪端口、可疑历程等等。 目前的病毒都不象畴昔那样对编制数据破坏很惨重,也好发现的多,所以尽量自己杀毒(较简略单纯的病毒、木马)。 (转载请注明出处:http://www.cnheiren.com/youxidating/20100823/740.html) |