您当前的位置:JZ5U绿色下载站文章中心设计学院Photoshop → 文章内容
  • 掌握木马自动加载原理有效查杀

我们先具体谈谈木马是怎样自动加载的。

在Win.ini文件中,在WINDOWS]下面,run=和 load= 是可能加载木马程序的途径,必须仔细留心它们。一般情况下,它们的等号后面应该什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中木马了。当然你也得看清楚,因为好多木马,如AOL Trojan木马,它把自身伪装成 command.exe(真正的系统文件为command.com)文件,如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。

在System.ini文件中,在[BOOT]下面有个shell=文件名。正确的文件名应该是explorer.exe,如果不是explorer.exe,而是shell= explorer.exe程序名,那么后面跟着的那个程序就是木马程序,就是说你已经中木马了。注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的木马程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如Acid Battery v1.0木马,它将注册表HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun下的Explorer键值改为Explorer= C:WINDOWSexpiorer.exe,木马程序与真正的Explorer之间只有i与l的差别。当然在注册表中还有很多地方都可以隐藏木马程序,如:HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能,最好的办法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木马程序的文件名,再在整个注册表中搜索即可。 (更多精彩内容 请访问电脑视界网pcsjw.com)

知道了木马的工作原理,查杀木马就变得很容易。

如果发现有木马存在,最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,run=木马程序或load=木马程序更改为run=和load=;编辑system.ini文件,将[BOOT]下面的shell=‘木马’文件,更改为:shell=explorer.exe;在注册表中,用regedit对注册表进行编辑,先在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序,有时候还需注意的是:有的木马程序并不是直接 将HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的木马键值删除就行了,因为有的木马如:BladeRunner木马,如果你删除它,木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。至此,我们就大功告成了。


  • 作者:互联网  来源:本站整理  发布时间:2008-08-30 21:05:54


------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------