首页
|
新闻
|
论坛
|
博客
|
专题
|
FTP
|
金融
|
微博
|
图库
|
MyHome
|
搜索
|
登陆
|
注册
|
帮助
|
设为首页
·
在线人数:
1660
您的位置:
首页
>
小文论坛
>
故障咨询
> [分享]木马藏身地 学会通用排查技术
发表新帖
我的主页
用户登陆
返回上页
收藏本帖
文友爬行榜
标题:[分享]木马藏身地 学会通用排查技术
[作者]
ereeeree
[发表时间]
2011/6/23 11:57:59
[回复]
0
[点击]
1551
[作者]
ereeeree
[头衔] [经验] 60 [等级] 平民 [发帖] 4 [回帖] 0 [登陆] 5
[发表时间] 2011/6/23 11:57:59 [楼主]
标题:
[分享]木马藏身地 学会通用排查技术
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。 ●在Win.ini中启动木马: 在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如: run=C:\Windows ile.exe load=C:\Windows ile.exe 则这个file.exe很有可能就是木马程序。 ●在Windows XP注册表中修改文件关联: 修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。 对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。 ●在Windows XP系统中捆绑木马文件: 实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。 关闭注册表,打开C:\Autoexec.bat文件,删除如下两行: @echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items Del c:\win.reg 保存并关闭Autoexec.exe文件。 ●IndocTrination v0.1-v0.11注册表清除实例: 在注册表中打开如下子键: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTW
分享到:
wonyen重新编辑 2011/6/23 22:15:44
【
管理此帖
】【
给我留言
】【
回复
】
共
0
条回复;
10
条/页;
1
/
1
第
页
应是正整数
↑到页首
您未登陆,发帖前请填写:用户名
*
密码
*
注册新用户
回复: [分享]木马藏身地 学会通用排查技术
排版
插入表情:
宋体
楷体
幼圆
黑体
隶书
华文行楷
方正舒体
Arial
Arial Black
Arial Narrow
Century Gothic
Comic Sans MS
#0000FF
#8A2BE2
#DEB887
#5F9EA0
#7FFF00
#000000
#D2691E
#FF7F50
#FF0000
#DC143C
#99ccff
字体颜色
#FFF8DC
#00FFFF
#EE82EE
#F5DEB3
#FFFFFF
#F5F5F5
#FFFF00
#9ACD32
使用帮助
内容
(8000字以内)
关闭窗口
[论坛列表]
小文诊所
创业经验
金融创新
家庭理财
居家旅行
国内资源
职业生活
配置应用
饮食文化
实盘记录
温情一刻
国外资源
法律频道
红旗社区
妇幼天地
商标标准
站务处理
蓝总看盘
奖励认证
开源软件
故障咨询
求助中心
公益活动
手机软件
网络经济
文史研究
期货专版
代理试用
网页制作
人才交流
分类广告
房产观澜
体育资讯
雅瑟风流
初学园地
美术贴图
股海风云
听风茶轩
管理学院
[今日热帖]
关于文逸
|
小文论坛
|
文逸博客
|
文逸金融
|
精华文章
|
网站地图
| 联系我们 |
隐私保护
Copyright©
WWW.WONYEN.NET
2003 - 2021
闽ICP备09016518号-16
闽公网安备 35020502000004号
本站最高 10508 人同时在线,发生时间 2005-5-17 5:09:15
文逸科技
制作维护