XP系統(tǒng)中如何殺掉特洛伊木馬
XP系統(tǒng)中如何殺掉特洛伊木馬
病毒的種類繁多,我們一不小心便會(huì)使我們的電腦著了病毒的道,而特洛伊木馬作為病毒的一種,卻是一種遠(yuǎn)程控制的黑客工具,它的攻擊性和危害性不是一般的大。如果你使用的是XP系統(tǒng),那么便要特別的小心,此系統(tǒng)是最容易被盯上的,所以,我們要學(xué)會(huì)消除木馬來(lái)保護(hù)系統(tǒng)安全。下面就看學(xué)習(xí)啦小編為大家提供的方法吧!!!
排查木馬藏身之地
1.在win.ini中啟動(dòng)木馬:
在win.ini的[windows]小節(jié)中有啟動(dòng)命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=c:windows ile.exe
load=c:windows ile.exe
則這個(gè)file.exe很有可能就是木馬程序。
2.在Windows XP注冊(cè)表中修改文件關(guān)聯(lián):
修改注冊(cè)表中的文件關(guān)聯(lián)是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過(guò)闡述。舉個(gè)例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關(guān)聯(lián)木馬,則txt文件就變成條用木馬程序打開了。如著名的國(guó)產(chǎn)木馬“冰河”,就是將注冊(cè)表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項(xiàng)“默認(rèn)”的鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”,這樣,當(dāng)你雙擊一個(gè)txt文件時(shí),原本應(yīng)該用記事本打開的文件,現(xiàn)在就成了啟動(dòng)木馬程序了。當(dāng)然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標(biāo),要小心。
對(duì)這類木馬程序,只能檢查注冊(cè)表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
3.在Windows XP系統(tǒng)中捆綁木馬文件:
實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起,上傳到服務(wù)端覆蓋原有文件,這樣即使木馬被刪除了,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會(huì)被重新安裝了。如果捆綁在系統(tǒng)文件上,則每次Windows XP啟動(dòng)都會(huì)啟動(dòng)木馬。
4.在System.ini中啟動(dòng)木馬:
System.ini中的[boot]小節(jié)的shell=Explorer.exe是木馬喜歡的藏身之所,木馬通常的做法是將該語(yǔ)句變?yōu)檫@樣:
Shell=Explorer.exe file.exe
這里的file.exe就是木馬服務(wù)端程序。
另外,在[386enh]小節(jié),要注意檢查在此小節(jié)的“driver=path程序名”,因?yàn)橐灿锌赡鼙荒抉R利用。[mic]、[drivers]、[drivers32]這三個(gè)小節(jié)也是要加載驅(qū)動(dòng)程序的,所以也是添加木馬的理想場(chǎng)所。
5.利用Windows XP注冊(cè)表加載運(yùn)行:
注冊(cè)表中的以下位置是木馬偏愛(ài)的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項(xiàng)數(shù)據(jù)。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項(xiàng)數(shù)據(jù)。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項(xiàng)數(shù)據(jù)。
6.在Autoexec.bat和Config.sys中加載運(yùn)行木馬:
要建立控制端與服務(wù)端的連接,將已添置木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋著兩個(gè)文件才能以這種方式啟動(dòng)木馬。不過(guò)不是很隱蔽,所以這種方式并不多見,但也不能掉以輕心。
7.在Winstart.bat中啟動(dòng)木馬:
Winstart.bat也是一個(gè)能自動(dòng)被Windows XP加載運(yùn)行的文件,多數(shù)時(shí)由應(yīng)用程序及Windows自動(dòng)生成,在執(zhí)行了Win.com或者Kernel386.exe,并加載了多數(shù)驅(qū)動(dòng)程序之后開始執(zhí)行(這可以通過(guò)在啟動(dòng)時(shí)按F8選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行。
通用排查技術(shù)
既然我們已經(jīng)知道了木馬的藏身之處,查殺木馬自然就容易了。如果您發(fā)現(xiàn)計(jì)算機(jī)已經(jīng)中了木馬,最安全最有效的方法就是馬上與網(wǎng)絡(luò)段開,防止計(jì)算機(jī)駭客通過(guò)網(wǎng)絡(luò)對(duì)您進(jìn)行攻擊,執(zhí)行如下步驟:
l 編輯Win.ini文件,將[Windows]小節(jié)下面的“run=木馬程序”或“load=木馬程序”更改為“run=”,“load=”。
l 編輯System.ini文件,將[boot]小節(jié)下面的“shell=木馬文件”更改為“shell=Explorer.exe”。
l 在Windows XP注冊(cè)表中進(jìn)行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程序的文件名刪除,并在整個(gè)注冊(cè)表中查找木馬程序,將其刪除或替換。但可惡的是,并不是所有的木馬程序都只要?jiǎng)h除就能萬(wàn)事大吉的,有的木馬程序被刪除后會(huì)立即自動(dòng)添上,這時(shí),您需要記下木馬的位置,即它的路徑和文件名,然后退到DOS系統(tǒng)下,找到這個(gè)文件并刪除。重啟計(jì)算機(jī),再次回到注冊(cè)表中,將所有的木馬文件的鍵值項(xiàng)刪除。
雖然木馬入侵我們的電腦,我們?cè)谥笆遣惶菀撞煊X(jué)的,而且他們總是采取突擊的技術(shù),因?yàn)槲覀冊(cè)谌粘S秒娔X中需要保持一份警惕心,需要耐心去對(duì)各個(gè)問(wèn)題進(jìn)行排查,保護(hù)我們的系統(tǒng)安全,以及我們的資金安全。