ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 让木马无处遁形彻底分析木马加载计算机(转)

让木马无处遁形彻底分析木马加载计算机(转)

原创 Linux操作系统 作者:ilg 时间:2019-05-01 22:45:08 0 删除 编辑
让木马无处遁形彻底分析木马加载计算机(转)

  网络是互联的,当你从中获取资源的同时,也要经受其中的考验,木马程序会修改并破坏电脑的系统和文件,除了安装杀毒软件(包括防火墙)外,还应该尽可能地掌握系统文件知识。下面简单介绍一下木马的加载方式:

  加载方式:定位于System.ini和Win.ini文件

  System.ini(位置C:windows)

  [boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时都会加载

  [boot]项修改后配置:“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。

  Win.ini(位置C:windows)

  [windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。

  [windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。

  解决办法:

  执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。

  加载方式:隐藏在注册表中(此方式最为隐蔽)。

  注意以下注册表项:HKEY_LOCAL_MACHINESoftwareclassesexefileshellopencommand

  原始数值数据:"%1"%

  被修改后的数值数据:C:systemxxx.exe "%1"%

  原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe这个程序。

  例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被加载了。

  解决办法:

  当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。

  所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。

  可以借助一些软件来狙击木马,如:The Cleaner、Trojan Remover等。建议经常去微软网站下载补丁包来修补系统;及时升级病毒库。

  

本文来自:http://www.linuxpk.com/30522.html

-->linux电子图书免费下载和技术讨论基地

·上一篇:快速有效地封杀—巧利用Iris来查找蠕虫病毒

·下一篇:经验共享:网页恶意代码的防疫
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117401/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2002-06-18

  • 博文量
    1715
  • 访问量
    1300203