| 導購 | 订阅 | 在线投稿
分享
 
 
 

「木馬」的隱藏技倆與檢查清除的方法技巧

來源:互聯網網民  2008-10-15 23:06:18  評論

系統中「木馬」是一件很頭疼的事情,下面我們先介紹木馬程序的隱藏技倆、自動加載方法,在介紹針對這些技倆的應對辦法。

「木馬」程序隱藏自己的辦法

「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:

在任務欄中隱藏自己,這是最基本的,只要把Form的Visible屬性設爲False、ShowInTaskBar設爲False,程序運行時就不會出現在任務欄中了。

在任務管理器中隱形:木馬只要將程序設爲「系統服務」就可以很輕松地僞裝自己。當然它也會悄無聲息地啓動,用戶不會每次啓動後再自己點擊「木馬」圖標來運行服務端,所以「木馬」會在每次用戶啓動時自動裝載服務端,Windows系統啓動時自動加載應用程序的方法,「木馬」都會用上,如:啓動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。

查看「木馬」是否自動加載

在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能加載「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麽都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啓動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因爲好多「木馬」,如「AOLTrojan木馬」,它把自身僞裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啓動文件。

在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell=explorer.exe程序名」,那麽後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。

在注冊表中的情況最複雜,通過regedit命令打開注冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」目錄下,查看鍵值中有沒有自己不熟悉的自動啓動文件,擴展名爲EXE,這裏切記:有的「木馬」程序生成的文件很像系統自身文件,想通過僞裝蒙混過關,如「AcidBatteryv1.0木馬」,它將注冊表「HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下的Explorer鍵值改爲Explorer=「C:WINDOWSexpiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun」、「HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。

查殺「木馬」

知道了「木馬」的工作原理,查殺「木馬」就變得很容易。

如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對你進行攻擊。

然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改爲「run=」和「load=」;

編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,更改爲:「shell=explorer.exe」;

在注冊表中,用regedit對注冊表進行編輯,先在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的文件名,再在整個注冊表中搜索並替換掉「木馬」程序。

有時候還需特別注意:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下的「木馬」鍵值刪除就行了,因爲有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啓動計算機,然後再到注冊表中將所有「木馬」文件的鍵值刪除。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
  系統中「木馬」是一件很頭疼的事情,下面我們先介紹木馬程序的隱藏技倆、自動加載方法,在介紹針對這些技倆的應對辦法。   「木馬」程序隱藏自己的辦法   「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:   在任務欄中隱藏自己,這是最基本的,只要把Form的Visible屬性設爲False、ShowInTaskBar設爲False,程序運行時就不會出現在任務欄中了。   在任務管理器中隱形:木馬只要將程序設爲「系統服務」就可以很輕松地僞裝自己。當然它也會悄無聲息地啓動,用戶不會每次啓動後再自己點擊「木馬」圖標來運行服務端,所以「木馬」會在每次用戶啓動時自動裝載服務端,Windows系統啓動時自動加載應用程序的方法,「木馬」都會用上,如:啓動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。   查看「木馬」是否自動加載   在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能加載「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麽都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啓動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因爲好多「木馬」,如「AOLTrojan木馬」,它把自身僞裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啓動文件。   在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell=explorer.exe程序名」,那麽後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。   在注冊表中的情況最複雜,通過regedit命令打開注冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」目錄下,查看鍵值中有沒有自己不熟悉的自動啓動文件,擴展名爲EXE,這裏切記:有的「木馬」程序生成的文件很像系統自身文件,想通過僞裝蒙混過關,如「AcidBatteryv1.0木馬」,它將注冊表「HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun」下的Explorer鍵值改爲Explorer=「C:WINDOWSexpiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun」、「HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。   查殺「木馬」   知道了「木馬」的工作原理,查殺「木馬」就變得很容易。   如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對你進行攻擊。   然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改爲「run=」和「load=」;   編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,更改爲:「shell=explorer.exe」;   在注冊表中,用regedit對注冊表進行編輯,先在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木馬」程序的文件名,再在整個注冊表中搜索並替換掉「木馬」程序。   有時候還需特別注意:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下的「木馬」鍵值刪除就行了,因爲有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啓動計算機,然後再到注冊表中將所有「木馬」文件的鍵值刪除。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有