|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 經驗共享: 易如反掌!手工查殺木馬病毒方法揭謎 近幾年,木馬活動越來越頻繁。針對這些木馬的查殺工具和方法也先后登場。反病毒、反黑客軟件的反應速度遠沒有木馬出現的速度快,所以,如果自己懂得手工查殺木馬的方法,就可以應付自如了。 發現木馬 由于木馬是基于遠程控制的程序,因此,中木馬的機器會開有特定的端口。一般一臺個人用的系統在開機后最多只有137、138、139三個端口。若上網,會有其他端口,這是本機與網上主機通訊時打開的,如IE一般會打開連續的端口:1025,1026,1027等。 在DOS命令行下用”netstat -na”命令可以看到本機所有打開的端口。如果發現除了以上所說的端口外,還有其他端口被占用(特別是木馬常用端口被占用),那可要好好查查了,很有可能中了木馬。 查找木馬 要使你的系統能顯示隱藏文件,因為一些木馬文件屬性是隱藏的。多數木馬都會把自身復制到系統目錄下并加入啟動項(如果不復制到系統目錄下則很容易被發現,不加入啟動項在重啟后木馬就不執行了),啟動項一般都是加在注冊表中的,具體位置在:HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的鍵值。 不過,也有一些木馬不在這些地方加載,它們躲在下面這些地方: ●在Win.ini中啟動 在Win.ini的[windows]字段中有啟動命令“load=”和“run=”,在一般情況下“=”后面是空白的,如果有程序,比方說是: run=c:\windows\file.exe或load=c:\windows\file.exe,要小心了,這個file.exe很可能就是木馬。 ●在System.ini中啟動 System.ini位于Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所,木馬通常的做法是將該句變為這樣:shell=Explorer. exe window.exe,注意這里的window.exe就是木馬程序。 另外,在System.ini中的[386Enh]字段,要注意檢查在此段內的“driver=路徑\程序名”,這里也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,這些段也是起到加載驅動程序的作用,但也是增添木馬程序的好場所。 ●在Autoexec.bat和Config.sys中加載運行 這種加載方式一般都需要控制端用戶與服務端建立連接后,將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行,而且采用這種方式不是很隱蔽,所以這種方法并不多見,但也不能因此而掉以輕心。 ●在Winstart.bat中啟動 Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件,也是一個能自動被Windows加載運行的文件。它多數情況下為應用程序及Windows自動生成,在執行了Win.com并加載了多數驅動程序之后開始執行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運行,危險由此而來。 ●啟動組 木馬隱藏在啟動組雖然不是十分隱蔽,但這里的確是自動加載運行的好場所,因此,還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為:C: \Windows\Start Menu\Programs\StartUp,在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。 ●*.INI 即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋同名文件,這樣就可以達到啟動木馬的目的了。 ●修改文件關聯 修改文件關聯是木馬常用手段(主要是國產木馬,老外的木馬大都沒有這個功能),比方說,正常情況下txt文件的打開方式為Notepad.EXE文件,但一旦中了文件關聯木馬,則txt文件打開方式就會被修改為用木馬程序打開,如著名的冰河就是這樣干的。一旦你雙擊一個txt文件,原本應用Notepad打開該文件的,現在卻變成啟動木馬程序了。請大家注意,不僅僅是txt文件,其他諸如HTM、EXE、ZIP、COM等都是木馬的目標。對付這類木馬,只能檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值是否正常。 ●捆綁文件 實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然后,控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起,然后上傳到服務端覆蓋原文件,這樣,即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。綁定到某一應用程序中,如綁定到系統文件,那么,每一次Windows啟動均會啟動木馬。 手工清除木馬 如果發現自己的硬盤總是莫明其妙地讀盤,軟驅燈經常自己亮起,網絡連接及鼠標、屏幕出現異常現象,很可能就是因為有木馬潛伏在你的機器里面,此時,就應該想辦法清除它們了。 當發現可疑文件時,可以試試能不能刪除它,因為木馬多是以后臺方式運行,通過按“Ctrl+Alt+Del”是找不到的,而后臺運行的應是系統進程。如果在前臺進程里找不到,而又刪不了(提示正在被使用),那就應該注意了。 那么,如何清除木馬而不誤刪其他有用文件呢?當你通過上述方法找到可疑程序時,你可以先看看該文件的屬性。一般系統文件的修改時間應是1999年或1998年,而不應該是最近的時間(安裝最新的Win2000、WinXP的系統除外),文件的創建時間應當不會離現在很近。當看到可疑的執行文件時間是最近甚至是當前,那八成就有問題了。 首先,查進程。檢查進程可以借助第三方軟件,如Windows優化大師,利用其“查看進程”功能把可疑進程殺掉,然后,再看看原來懷疑的端口還有沒有開放(有時需重啟),如果沒有了,那說明殺對了,再把該程序刪掉,這樣,就手工刪除了這個木馬了。 如果該木馬改變了TXT、EXE或ZIP等文件的關聯,那應把注冊表改過來,如果不會改,那就把注冊表改回到以前的,就可以恢復文件關聯,可通過在DOS下執行“scanreg/restore”命令來恢復注冊表,不過這條命令只能恢復前5天的注冊表(這是系統默認的)。此舉可輕松恢復被木馬改變的注冊表鍵值,簡單易用。 (出處:viphot) 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風下載站
