吃透木马原理,把它扼杀在摇篮里
由于许多新手对安全问题了解未几,所以并不知道自己的盘算机中了“木马”该怎么样扫除。因此最要害的还是要知道“木马”的事情原理,如许就会很容易发现“木马”。
“木马”程序会想尽一切措施隐蔽自己,重要途径有:在使命栏中隐蔽自己,这是最基本的只需把Form的Visible属性设为False、ShowInTaskBar设为False,程序运转时就不会出如今使命栏中了。在使命管理器中隐形:将程序设为“体系办事”可以很轻松地假装自己。
当然它也会悄无声气地启动,你当然不会指望用户每次启动后点击“木马”图标来运转办事端,,“木马”会在每次用户启动时自动装载办事端,Windows体系启动时自动加载使用程序的方法,“木马”都市用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”立足的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是大概加载“木马”程序的途径,必需细致把稳它们。一样平常环境下,它们的等号背面什么都没有,如果发现背面跟有途径与文件名不是你熟习的启动文件,你的盘算机就大概中上“木马”了。当然你也得看明白,由于许多多少“木马”,如“AOL Trojan木马”,它把自身假装成command.exe文件,如果不注意大概不会发现它不是真正的体系启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。精确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么背面随着的谁人程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的环境最复杂,通过regedit下令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,检察键值中有没有自己不熟习的自动启动文件,扩展名为EXE。
这里牢记:有的“木马”程序生成的文件很像体系自身文件,想通过假装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差异。
--------------------------------------------------------------------------------
当然在注册表中还有许多地方都可以隐蔽“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有大概,最好的措施就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜刮即可。
知道了“木马”的事情原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将盘算机与网络断开,防止黑客通过网络对你举行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表举行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜刮并替换掉“木马”程序。
偶然间还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,由于有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你必要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。
重新启动盘算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功乐成了。
小知识:
“木马”原指古希腊士兵藏在木马内进入敌方城市从而霸占敌方城市的故事。在Internet上,“特洛伊木马”指一些程序计划职员在其可从网络上下载(Download)的使用程序或游戏中,包含了可以控制用户的盘算机体系的程序,大概形成用户的体系被破坏乃至瘫痪。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
