请选择 进入手机版 | 继续访问电脑版
快捷导航
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。   ●在Win.ini中启动木马:  在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:  run=C:\Windows ile.exe load=C:\Windows ile.exe  则这个file.exe很有可能就是木马程序。  ●在Windows XP注册表中修改文件关联:  修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:\Windows otepad.exe %1”修改为“C:\WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。  对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。  ●在Windows XP系统中捆绑木马文件:  实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。  关闭注册表,打开C:\Autoexec.bat文件,删除如下两行:  @echo off copy c:\sys.lon C:\WindowsStart MenuStartup Items Del c:\win.reg  保存并关闭Autoexec.exe文件。  ●IndocTrination v0.1-v0.11注册表清除实例:  在注册表中打开如下子键:  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTW
举报 使用道具
| 回复

共 0 个关于本帖的回复 最后回复于 2011-6-23 11:57

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩推荐

  • 逸品商城访问量统计分析周报--20171209
  • 逸品商城访问量统计分析周报--20171223
  • 如何培养创造力?达·芬奇给世人留下三条秘
  • 余梓和:12.2利润把握好天天大非农,再次获
  • 储心岚:投资应该正确和准确!

明星用户

QQ|小黑屋|http://bbs.wonyen.com/ ( 闽ICP备06033317号-1 闽公网安备35020502000200 )

GMT+8, 2018-1-23 00:14 , Processed in 0.202800 second(s), 36 queries .