|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
104种木马的清除方法
|
日期:2007年10月19日 作者: 查看:[大字体
中字体 小字体]
|
「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、
「HKEY-USERS\Software\Microsoft\Windows\CurrentVersion\Run」
的目录下都有可能,最好的办法就是在
「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」
下找到「木马」程序的文件名称,再在整个注册表中搜寻即可。
目前,除了上面介绍的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态连结技术。 驱动程序及动态连结技术和一般的木马不同,它基本上摆脱了原有的木马模式-监听连接,而采用替代系统功能的方法(覆写驱动程序或动态连结)。 这样做的结果是:系统中没有增加新的档案(所以不能用扫瞄的方法搜寻)、不需要开启新的连接(所以不能用连接监视的方法搜寻)、没有新的程序(所以使用程序检视的方法发现不了它,也不能用kill程序的方法终止它的执行)。
在正常执行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的讯息后,隐藏的程序就立即开始运作。
四、 特洛伊木马防御原理
知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。
1.连接埠扫瞄
连接埠扫瞄是检查远程机器有无木马的最好办法,连接端口扫瞄的原理非常简单,扫瞄程序尝试连接某个连接埠,如果成功,则说明连接埠开放,如果失败或超过某个特定的时间(逾时),则说明连接埠关闭。但对于驱动程序/动态连结木马,扫瞄连接是不起作用的。
2.检视连接
检视连接端口和连接扫瞄的原理基本相同,不过是在本地计算机上使用netstat -a检视所有的TCP/UDP连接,检视连接要比连接埠扫瞄快,但同样是无法查出驱动程序/动态连结木马,而且仅能在本地计算机使用。
3.检查注册表
上面在讨论木马的激活方式时已经提到,木马可以使用注册表激活(现在大部分的木马都是使用注册表激活的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以使用检查注册表来发现木马在注册表里留下的痕迹。
4.寻找档案
寻找木马特定的档案也是一个常用的方法,木马的一个特征档案是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个档案,木马就已经不起作用了。
2. 冰河木马所包含的二支程序:
G_Server.exe伺服端程序。
G_Client.exe客户漂启新的连接(所以不能用连接监视的方法搜寻)、没有新的程序(所以使用程序检视的方法发现不了它,也不能用kill程序的方法终止它的执行)。 在正常执行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的讯息后,隐藏的程序就立即开始运作。
四、 特洛伊木马防御原理
知道了木马的攻击原理和隐身方法,我们就可以采取措施进行防御了。
1.连接埠扫瞄
连接埠扫瞄是检查远程机器有无木马的最好办法,连接端口扫瞄的原理非常简单,扫瞄程序尝试连接某个连接埠,如果成功,则说明连接埠开放,如果失败或超过某个特定的时间(逾时),则说明连接埠关闭。但对于驱动程序/动态连结木马,扫瞄连接是不起作用的。
2.检视连接
检视连接端口和连接扫瞄的原理基本相同,不过是在本地计算机上使用netstat -a检视所有的TCP/UDP连接,检视连接要比连接埠扫瞄快,但同样是无法查出驱动程序/动态连结木马,而且仅能在本地计算机使用。
3.检查注册表
上面在讨论木马的激活方式时已经提到,木马可以使用注册表激活(现在大部分的木马都是使用注册表激活的,至少也把注册表作为一个自我保护的方式),那么,我们同样可以使用检查注册表来发现木马在注册表里留下的痕迹。
4.寻找档案
寻找木马特定的档案也是一个常用的方法,木马的一个特征档案是kernl32.exe,另一个是sysexlpr.exe,只要删除了这两个档案,木马就已经不起作用了。
2. 冰河木马所包含的二支程序:
G_Server.exe伺服端程序。
G_Client.exe客户端程序。
2002年元旦,推出了冰河8.0正式版。作者声明本软件主要用途是配合网管进行远程监控,凡使用本软件恶意入侵他人计算机或网络者,后果自行负责。我们将伺服端程序植入210.x.x.x计算机内,利用168.192.0.2计算机执行客户端程序呼叫。
(出处:清风学院)
上一篇:通过Mysql入侵服务器
下一篇:你的qq为谁开
|
| 相关文章: |
|
|
|
| 相关软件: |
|
| |
|
