|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
104种木马的清除方法
|
日期:2007年10月19日 作者: 查看:[大字体
中字体 小字体]
|
三、特洛伊木马隐身方法
木马程序会想尽一切办法隐藏自己,主要途径有:在工作程序中隐形:将程序设为「系统服务器」可以伪装自己。 当然它也会悄无声息地激活,木马会在每次使用者激活时自动加载服务器端,Windows系统激活时自动加载应用程序的方法,「木马」都会用上,如:win.ini、system.ini、注册表等等都是「木马」藏身的好地方。
在win.ini档案中,在[WINDOWS]下面,「run=」和「load=」是可能加载「木马」程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名称不是您熟悉的激活档案,计算机就可能中「木马」了。当然也得看清楚,因为好多「木马」,如「AOL Trojan木马」,它把自身伪装成command.exe档案,如果不注意可能不会发现它不是真正的系统激活档案。
MLaplink 、 PCanywhere 等程序一样,只是一种远程管理工具。 而且本身不带伤害性,也没有感染力,所以不能称之为病毒(也有人称之为第二代病毒);但却常常被视之为病毒。原因是如果有人不当的使用,破坏力可以比病毒更强。
二、木马攻击原理
特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动激活并在某一连接进行侦听,在对接收的资料识别后,对目标计算机执行特定的****作。 木马,其实只是一个使用连接进行通讯的网络客户/服务器程序。
基本概念:网络客户/服务器模式的原理是一台主机提供服务器(伺服端),另一台主机接受服务器(客户端)。 作为伺服端的主机一般会开启一个预设的连接埠并进行监听(Listen),如果有客户端向伺服端的这一连接埠提出连接请求(Connect Request),伺服端上的相对应程序就会自动执行,来回复客户端的请求。对于特洛伊木马,被控制端就成为一台服务器。
三、特洛伊木马隐身方法
木马程序会想尽一切办法隐藏自己,主要途径有:在工作程序中隐形:将程序设为「系统服务器」可以伪装自己。 当然它也会悄无声息地激活,木马会在每次使用者激活时自动加载服务器端,Windows系统激活时自动加载应用程序的方法,「木马」都会用上,如:win.ini、system.ini、注册表等等都是「木马」藏身的好地方。
在win.ini档案中,在[WINDOWS]下面,「run=」和「load=」是可能加载「木马」程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名称不是您熟悉的激活档案,计算机就可能中「木马」了。当然也得看清楚,因为好多「木马」,如「AOL Trojan木马」,它把自身伪装成command.exe档案,如果不注意可能不会发现它不是真正的系统激活档案。
在system.ini档案中,在[BOOT]下面有个「shell=文件名称」。正确的文件名称应该是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那么后面跟着的那个程序就是「木马」程序,就是说已经中「木马」了。
在注册表中的情况最复杂,使用regedit指令开启注册表编辑器,在点击至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目录下,检视键值中有没有自己不熟悉的自动激活档案,扩展名为EXE,这里切记:有的「木马」程序产生的档案很像系统自身档案,想使用伪装蒙混过关,如「Acid Battery v1.0木马」,它将注册表「HKEY-LOCAL-MACHINE \SOFTWARE \Microsoft\Windows\CurrentVersion\Run」下的 Explorer 键值改为Explorer =「C:\WINDOWS\expiorer.exe」,「木马」程序与真正的Explorer之间只有「i」与「l」的差别。当然在注册表中还有很多地方都可以隐藏「木马」程序,如:
「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、
「HKEY-USERS\Software\Microsoft\Windows\CurrentVersion\Run」
的目录下都有可能,最好的办法就是在
「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」
下找到「木马」程序的文件名称,再在整个注册表中搜寻即可。
目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态连结技术。 驱动程序及动态连结技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听连接,而采用替代系统功能的方法(覆写驱动程序或动态连结)。 这样做的结果是:系统中没有增加新的档案(所以不能用扫瞄的方法搜寻)、不需要间@在system.ini档案中,在[BOOT]下面有个「shell=文件名称」。正确的文件名称应该是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那么后面跟着的那个程序就是「木马」程序,就是说已经中「木马」了。
在注册表中的情况最复杂,使用regedit指令开启注册表编辑器,在点击至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目录下,检视键值中有没有自己不熟悉的自动激活档案,扩展名为EXE,这里切记:有的「木马」程序产生的档案很像系统自身档案,想使用伪装蒙混过关,如「Acid Battery v1.0木马」,它将注册表「HKEY-LOCAL-MACHINE \SOFTWARE \Microsoft\Windows\CurrentVersion\Run」下的 Explorer 键值改为Explorer =「C:\WINDOWS\expiorer.exe」,「木马」程序与真正的Explorer之间只有「i」与「l」的差别。当然在注册表中还有很多地方都可以隐藏「木马」程序,如:
上一篇:通过Mysql入侵服务器
下一篇:你的qq为谁开
|
| 相关文章: |
|
|
|
| 相关软件: |
|
| |
|
