禁止发表博彩类、私服、色情、赌博、诈骗、违法广告等一切国家法律禁止的内容,一经发现,立即禁言并清空帖子,严重者报公安机关处理!

特洛伊木马,一个隐藏在XP中的杀手

0
回复
283
查看
[复制链接]
发表于 2014-2-4 23:32:37 | 显示全部楼层 |阅读模式
  病毒的种类繁多,我们一不小心便会使我们的电脑着了病毒的道,而特洛伊木马作为病毒的一种,却是一种远程控制的黑客工具,它的攻击性和危害性不是一般的大。如果你使用的是XP系统,那么便要特别的小心,此系统是最容易被盯上的,所以,我们要学会消除木马来保护系统安全。
          排查木马藏身之地
          1.在win.ini中启动木马:
          在win.ini的[windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
          run=c:windows ile.exe
          load=c:windows ile.exe
          则这个file.exe很有可能就是木马程序。
          2.在Windows XP注册表中修改文件关联:
          修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
          对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
          3.在Windows XP系统中捆绑木马文件:
          实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
          4.在System.ini中启动木马:
          System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:
          Shell=Explorer.exe file.exe
          这里的file.exe就是木马服务端程序。
          另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。
          5.利用Windows XP注册表加载运行:
          注册表中的以下位置是木马偏爱的藏身之所:
          HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
          HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
          HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
          6.在Autoexec.bat和Config.sys中加载运行木马:
          要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。
          7.在Winstart.bat中启动木马:
          Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
          通用排查技术
          既然我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:
          l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。
          l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。
          l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。
          虽然木马入侵我们的电脑,我们在之前是不太容易察觉的,而且他们总是采取突击的技术,因为我们在日常用电脑中需要保持一份警惕心,需要耐心去对各个问题进行排查,保护我们的系统安全,以及我们的资金安全。
关注官方微信

微信号:大白网

微博:大白网

QQ1群:4731622

QQ2群:4731622

全国服务热线:

QQ24485416

(工作日:周一至周五 9:00-16:00)
大理市
www@dali8.net

手机版-小黑屋- 大理白族|大理乡村旅游网|大理网|大理论坛|白族网|大理旅游网|大理信息网|大理生活网

技术支持:挖主机网络 Powered by大白网© 2006-2025 dalibaizu.com  滇ICP备19004088号 滇公网安备 53290102000530号