面对越来越狡猾的木马,依靠杀毒软件或者各种木马专杀工具已经很难彻底清杀,反而
忙于到处升级或下载,感觉太累!
做为受害者,在长期跟木马做斗争过程中,一步步了解了木马,在这里把自己的一点感
觉写出来,大家一起分析一下,正确,算给大家提个醒;错误,指出来,本人也长长见识!
先谢过~~!
本人从菜鸟的角度分析,用通俗易懂的语言,旨在为我等菜鸟容易看得明白,还请高手
多多指点!
首先讨论一下中木马后的症状:上网的时候无缘无故蓝屏,电脑重启;键盘鼠标经常不
听指挥,各种保密信息,包括密码甚至上网帐号丢失;电脑经常弹出各种莫名其妙的提示或
信息窗口等等。如果你的电脑有以上的种种迹象,那就要怀疑自己的机器是不是被别人开了
后门--种上木马了!
木马组成:服务器“被控”端,客户“控制”端。
运行机理:电脑感染并运行了服务器“被控”端后,在以后每次启动时,服务器端程序
都“悄悄”的随电脑的启动而启动,并且一直运行在后台,“默默无闻”的给客户“控制”
端传送本机的各种信息,包括电脑的软硬件配置信息;各种保密信息,象开机密码、上网登
陆密码、QQ密码及各种登陆口令,本机的信息现在对远方的控制者来说,是“完全透明,裸
露”的!而且,控制者如果愿意,对这台电脑完全可以通过网络的另一端象操作自己的本地
电脑一样跟踪屏幕显示;控制键盘输入,鼠标移动;文件的添加删除,以及关闭重启!是不
是很象别人在自己的电脑上开了个后门呢?
有谁愿意让自己的电脑无私的“奉献”给别人控制或者把自己所有的信息暴露在光天化
日之下,那么可以离开,不用再继续了!奥~~~~,谁扔的?:),既然不愿意,那就把这后
门给找出来,并去掉它堵上这个不太方便的门~~!
好了,运行机理里已说过,木马要想起作用必须随电脑一起启动,并在后台运行,知道
这一点,那就对症下药,找出木马运行后台的藏身之处!并找出那个可恶的服务器控制源程
序!
下面主要针对用WINDOWS98的您(其他WINDOWS系统类似),利用WINDOWS自带的工具MSINFO32来分析您的电脑是否中了木马,如果不幸中了,那就彻底清除之!
首先打开“开始”栏上的“运行”命令,输入“MSINFO32”回车或者依次点:开始--程
序--附件--系统工具--系统信息,启动系统自带的分析程序,好了,出来了,看见左面框里
的“软件环境”了吧?对,点它左面的加号“+”,然后点击“正在运行的任务”,聪明的您
一定发现右面窗口发生了变化,出现了一系列信息?我们要判断自己中木马否正是利用这个
窗口!仔细观察,发现该窗口有许多条目:“程序”“版本”“厂商”“说明”“路径”等
等。它们分别是:
“程序”--系统正运行的程序名;
“版本”--程序的版本号;
“厂商”--程序设计开发公司;
“说明”--程序的简要说明;
“路径”--该程序所在目录。
这里面显示的正是您电脑上当时正运行的所有程序(当然也包括那可恶的木马后台了~~
!)。有了这些信息,那又如何判断木马有否呢?这就要靠您的观察了,首先把自己最熟悉
的系统程序和应用程序排除在外,对不太熟悉,无法判断是系统程序还是木马程序的,可以
用观察法:仔细观察每个程序对应的“版本”“厂商”“说明”“路径”等,一般可以从这
些信息中发现漏洞,找出木马所在,象图中所示的RUNDLL32.EXE后台程序,把它的“版本”
、“厂商”、“说明”及“路径”上下一比较,马上就能发现问题。而且在本例中,受感染
的电脑启动起来后,无法正常注销、关闭系统。问题正是出在这个RUNDLL32.EXE上!这还属
于比较高级的木马,有一定迷惑性,注意它的路径:C:\WINDOWS\SYSTEM很能迷惑住一部分人
的~~!其实真正系统需要的是在C:\WINDOWS下的!还有的象KERNEL32.EXE EXPIORER.EXE等等
,所以观察的时候一定要仔细点~~!。而很多“低级木马”,更是一眼就能识别!它们在这
个信息框里只显示“程序”和“路径”,其他信息全是空白,相信聪明的你一眼就能看出问
题:)
另外,对那些摸棱两可,难以判断的程序,可以用“对比”比较法:即同时用几台电脑
的信息进行比较,一般可以判断出哪个是系统程序,哪个是应用程序,直到发现木马!如果
您周围只有一台电脑,您可以象本文一样把这个信息框“抓”下来,然后贴在这里,让大家
帮你分析,时间久了,自己也就会分析了~~!
好了,罪魁祸首找到了!下面就看看如何处置它了!
首先,打开注册表编辑器REGEDIT,然后利用其查找功能,查找有木马名字(象RUNDLL32.EXE KERNEL32.EXE等)的键值,删掉(可一定要找对了,别把系统本身的文件给喀嚓掉了
呀~~!)!然后按F3,继续,直到查找并删除完毕。应特别留意“HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION”下的“RUN”、“RUN-”、“RUNONCE”等目录
里的各个键。
然后,切换到纯DOS下执行:
C:\>CD \WINDOWS\SYSTEM (进入木马所在目录)
C:\>ATTRIB -H -R -S *.* (因为木马一般是隐藏、只读属性,利用该命令去掉其属
性。)接着:
C:\>DEL rundll32.exe (不同的木马是不同的程序)
执行完了,重新启动电脑,一切OK,真正“自由纯洁”的蓝天白云又出现在面前~~~!
另外,关于如何捕捉木马程序,咱们还可以在WINDOWS启动过程中,刚显示图形,要进入
桌面的时候,按“CTRL+ALT+DEL”,发现什么了?对,这就是系统正加载处理的程序,没有
什么可疑的?那选择“取消”,马上再重复按一次“CTRL+ALT+DEL”~,反复如此,这样,系
统在WINDOWS图形界面下所加载的所有程序都可以看到了,当然包括木马了~~!想在这里能发
现问题,需要您对系统每次启动时加载的程序很熟悉,怎么?发现不了?那就按照上面说的
,一步一步来吧~~~~!
好了,祝你好运~~!第一次正经写点东西,有点乱,俺也有点累了~~!
有疑问或指点之处可以QQ:78219792联系!
各位大虾有什么经验一起贴出来,以便我等菜鸟学习之用!感谢感谢!
我倒~~~~~~~~~~~~~!
