chinese老太交,99v久久综合狠狠综合久久,国产精品国产三级国产AV主播,国产午夜伦鲁鲁

服務(wù)無限,企業(yè)樂無優(yōu)

資深工程師咨詢熱線

400-8871-651
IT外包圖片
新聞中心
技術(shù)文章
當(dāng)前位置:首頁 >> 新聞中心 >> 技術(shù)文章
木馬病毒
www.simplelove-0511.cn 2014-06-04
什么是木馬(Trojan)


  木馬(Trojan)這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)。
  “木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種者的電腦?!澳抉R”與計算機網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似,但由于遠(yuǎn)程控制軟件是“善意”的控制,因此通常不具有隱蔽性;“木馬”則完全相反,木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制,如果沒有很強的隱蔽性的話,那就是“毫無價值”的。 
  它是指通過一段特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序:一個是客戶端,即控制端,另一個是服務(wù)端,即被控制端。植入被種者電腦的是“服務(wù)器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“服務(wù)器”的電腦。運行了木馬程序的“服務(wù)器”以后,被種者的電腦就會有一個或幾個端口被打開,使黑客可以利用這些打開的端口進入電腦系統(tǒng),安全和個人隱私也就全無保障了! 木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn),而采用多種手段隱藏木馬。木馬的服務(wù)一旦運行并被控制端連接,其控制端將享有服務(wù)端的大部分操作權(quán)限,例如給計算機增加口令,瀏覽、移動、復(fù)制、刪除文件,修改注冊表,更改計算機配置等。
  隨著病毒編寫技術(shù)的發(fā)展,木馬程序?qū)τ脩舻耐{越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒后發(fā)覺。
木馬的種類


  1. 網(wǎng)絡(luò)游戲木馬 
  隨著網(wǎng)絡(luò)在線游戲的普及和升溫,我國擁有規(guī)模龐大的網(wǎng)游玩家。網(wǎng)絡(luò)游戲中的金錢、裝備等虛擬財富與現(xiàn)實財富之間的界限越來越模糊。與此同時,以盜取網(wǎng)游帳號密碼為目的的木馬病毒也隨之發(fā)展泛濫起來。 
  網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進程API函數(shù)等方法獲取用戶的密碼和帳號。竊取到的信息一般通過發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。 
  網(wǎng)絡(luò)游戲木馬的種類和數(shù)量,在國產(chǎn)木馬病毒中都首屈一指。流行的網(wǎng)絡(luò)游戲無一不受網(wǎng)游木馬的威脅。一款新游戲正式發(fā)布后,往往在一到兩個星期內(nèi),就會有相應(yīng)的木馬程序被制作出來。大量的木馬生成器和黑客網(wǎng)站的公開銷售也是網(wǎng)游木馬泛濫的原因之一。 
  2. 網(wǎng)銀木馬 
  網(wǎng)銀木馬是針對網(wǎng)上交易系統(tǒng)編寫的木馬病毒,其目的是盜取用戶的卡號、密碼,甚至安全證書。此類木馬種類數(shù)量雖然比不上網(wǎng)游木馬,但它的危害更加直接,受害用戶的損失更加慘重。 
  網(wǎng)銀木馬通常針對性較強,木馬作者可能首先對某銀行的網(wǎng)上交易系統(tǒng)進行仔細(xì)分析,然后針對安全薄弱環(huán)節(jié)編寫病毒程序。如2004年的“網(wǎng)銀大盜”病毒,在用戶進入工行網(wǎng)銀登錄頁面時,會自動把頁面換成安全性能較差、但依然能夠運轉(zhuǎn)的老版頁面,然后記錄用戶在此頁面上填寫的卡號和密碼;“網(wǎng)銀大盜3”利用招行網(wǎng)銀專業(yè)版的備份安全證書功能,可以盜取安全證書;2005年的“新網(wǎng)銀大盜”,采用API Hook等技術(shù)干擾網(wǎng)銀登錄安全控件的運行。 
  隨著我國網(wǎng)上交易的普及,受到外來網(wǎng)銀木馬威脅的用戶也在不斷增加。 
  3. 即時通訊軟件木馬 
  現(xiàn)在,國內(nèi)即時通訊軟件百花齊放。QQ、新浪UC、網(wǎng)易泡泡、盛大圈圈……網(wǎng)上聊天的用戶群十分龐大。常見的即時通訊類木馬一般有3種: 
  a、發(fā)送消息型。通過即時通訊軟件自動發(fā)送含有惡意網(wǎng)址的消息,目的在于讓收到消息的用戶點擊網(wǎng)址中毒,用戶中毒后又會向更多好友發(fā)送病毒消息。此類病毒常用技術(shù)是搜索聊天窗口,進而控制該窗口自動發(fā)送文本內(nèi)容。發(fā)送消息型木馬常常充當(dāng)網(wǎng)游木馬的廣告,如“武漢男生2005”木馬,可以通過MSN、QQ、UC等多種聊天軟件發(fā)送帶毒網(wǎng)址,其主要功能是盜取傳奇游戲的帳號和密碼。 
  b、盜號型。主要目標(biāo)在于即時通訊軟件的登錄帳號和密碼。工作原理和網(wǎng)游木馬類似。病毒作者盜得他人帳號后,可能偷窺聊天記錄等隱私內(nèi)容,或?qū)ぬ栙u掉。 
  c、傳播自身型。2005年初,“MSN性感雞”等通過MSN傳播的蠕蟲泛濫了一陣之后,MSN推出新版本,禁止用戶傳送可執(zhí)行文件。2005年上半年,“QQ龜”和“QQ愛蟲”這兩個國產(chǎn)病毒通過QQ聊天軟件發(fā)送自身進行傳播,感染用戶數(shù)量極大,在江民公司統(tǒng)計的2005年上半年十大病毒排行榜上分列第一和第四名。從技術(shù)角度分析,發(fā)送文件類的QQ蠕蟲是以前發(fā)送消息類QQ木馬的進化,采用的基本技術(shù)都是搜尋到聊天窗口后,對聊天窗口進行控制,來達(dá)到發(fā)送文件或消息的目的。只不過發(fā)送文件的操作比發(fā)送消息復(fù)雜很多。 
  4. 網(wǎng)頁點擊類木馬 
  網(wǎng)頁點擊類木馬會惡意模擬用戶點擊廣告等動作,在短時間內(nèi)可以產(chǎn)生數(shù)以萬計的點擊量。病毒作者的編寫目的一般是為了賺取高額的廣告推廣費用。此類病毒的技術(shù)簡單,一般只是向服務(wù)器發(fā)送HTTP GET請求。 
  5. 下載類木馬 
  這種木馬程序的體積一般很小,其功能是從網(wǎng)絡(luò)上下載其他病毒程序或安裝廣告軟件。由于體積很小,下載類木馬更容易傳播,傳播速度也更快。通常功能強大、體積也很大的后門類病毒,如“灰鴿子”、“黑洞”等,傳播時都單獨編寫一個小巧的下載型木馬,用戶中毒后會把后門主程序下載到本機運行。 
  6. 代理類木馬 
  用戶感染代理類木馬后,會在本機開啟HTTP、SOCKS等代理服務(wù)功能。黑客把受感染計算機作為跳板,以被感染用戶的身份進行黑客活動,達(dá)到隱藏自己的目的。 
  首先找到感染文件,其手動方法是結(jié)束相關(guān)進程然后刪除文件,但是現(xiàn)在有很多木馬專殺的軟件.可以借助軟件刪除。
  木馬和病毒都是一種人為的程序,都屬于電腦病毒,為什么木馬要單獨提出來說呢?大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數(shù)據(jù),除了破壞之外其它無非就是有些病毒制造者為了達(dá)到某些目的而進行的威懾和敲詐勒索的作用,或為了炫耀自己的技術(shù). "木馬"不一樣,木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼,數(shù)據(jù)等,如盜竊管理員密碼-子網(wǎng)密碼搞破壞,或者好玩,偷竊上網(wǎng)密碼用于它用,游戲帳號,股票帳號,甚至網(wǎng)上銀行帳戶等.達(dá)到偷窺別人隱私和得到經(jīng)濟利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達(dá)到使用者的目的!導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序,這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因.鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣,所以木馬雖然屬于病毒中的一類,但是要單獨的從病毒類型中間剝離出來.獨立的稱之為"木馬"程序。
  一般來說一種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那么它自己的普通殺毒程序也當(dāng)然能夠殺掉這種木馬,因為在木馬泛濫的今天,為木馬單獨設(shè)計一個專門的木馬查殺工具,那是能提高該殺毒軟件的產(chǎn)品檔次的,對其聲譽也大大的有益,實際上一般的普通殺毒軟件里都包含了對木馬的查殺功能.如果現(xiàn)在大家說某某殺毒軟件沒有木馬專殺的程序,那這家殺毒軟件廠商自己也好像有點過意不去,即使它的普通殺毒軟件里當(dāng)然的有殺除木馬的功能。
  還有一點就是,把查殺木馬程序單獨剝離出來,可以提高查殺效率,現(xiàn)在很多殺毒軟件里的木馬專殺程序只對木馬進行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當(dāng)用戶運行木馬專殺程序的時候,程序只調(diào)用木馬代碼庫里的數(shù)據(jù),而不調(diào)用病毒代碼庫里的數(shù)據(jù),大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因為現(xiàn)在有太多太多的病毒.每個文件要經(jīng)過幾萬條木馬代碼的檢驗,然后再加上已知的差不多有近10萬個病毒代碼的檢驗,那速度豈不是很慢了.省去普通病毒代碼檢驗,是不是就提高了效率,提高了速度呢? 也就是說現(xiàn)在好多殺毒軟件自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒,但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬! 
  木馬病毒的危害:
  1、盜取我們的網(wǎng)游賬號,威脅我們的虛擬財產(chǎn)的安全。 
  木馬病毒會盜取我們的網(wǎng)游賬號,它會盜取我們帳號后,并立即將帳號中的游戲裝備轉(zhuǎn)移,再由木馬病毒使用者出售這些盜取的游戲裝備和游戲幣而獲利。
  2、盜取我們的網(wǎng)銀信息,威脅我們的真實財產(chǎn)的安全。
  木馬采用鍵盤記錄等方式盜取我們的網(wǎng)銀帳號和密碼,并發(fā)送給黑客,直接導(dǎo)致我們的經(jīng)濟損失。
  3、利用即時通訊軟件盜取我們的身份,傳播木馬病毒
  中了此類木馬病毒后,可能導(dǎo)致我們的經(jīng)濟損失。在中了木馬后電腦會下載病毒作者指定的程序任意程序,具有不確定的危害性。如惡作劇等。
  4、給我們的電腦打開后門,使我們的電腦可能被黑客控制。
  如灰鴿子木馬等。當(dāng)我們中了此類木馬后,我們的電腦就可能淪為肉雞,成為黑客手中的工具。
如何防御木馬病毒?


  木馬查殺(查殺軟件很多,有些病毒軟件都能殺木馬) 
  防火墻(分硬件和軟件)家里面的就用軟件好了 
  如果是公司或其他地方就硬件和軟件一起用 
  基本能防御大部分木馬,但是現(xiàn)在的軟件都不是萬能的,是不?還要學(xué)點專業(yè)知識,有了這些,你的電腦就安全多了 
  現(xiàn)在高手也很多,只要你不隨便訪問來歷不明的網(wǎng)站,使用來歷不明的軟件(很多盜版或破解軟件都帶木馬,這個看你自己經(jīng)驗去區(qū)分),如果你都做到了,木馬,病毒。就不容易進入你的電腦了。
如何查出木馬的一些方法


  在使用目前常見的木馬查殺軟件及殺軟件的同時,系統(tǒng)自帶的一些基本命令也可以發(fā)現(xiàn)木馬病毒
  
  一、檢測網(wǎng)絡(luò)連接如果你懷疑自己的計算機上被別人安裝了木馬,或者是中了病毒,但是手里沒有完善的工具來檢測是不是真有這樣的事情發(fā)生,那可以使用Windows自帶的網(wǎng)絡(luò)命令來看看誰在連接你的計算機
  具體的命令格式是:netstat -an這個命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個命令的詳細(xì)信息,我們就可以完全監(jiān)控計算機上的連接,從而達(dá)到控制計算機的目的。
  二、禁用不明服務(wù)
  很多朋友在某天系統(tǒng)重新啟動后會發(fā)現(xiàn)計算機速度變慢了,不管怎么優(yōu)化都慢,用殺毒軟件也查不出問題,這個時候很可能是別人通過入侵你的計算機后給你開放了特別的某種服務(wù),比如IIS信息服務(wù)等,這樣你的殺毒軟件是查不出來的。但是別急,可以通過“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟,如果發(fā)現(xiàn)了不是自己開放的服務(wù),我們就可以有針對性地禁用這個服務(wù)了。
  方法就是直接輸入“net start”來查看服務(wù),再用“net stop server”來禁止服務(wù)。
  三、輕松檢查賬戶
  很長一段時間,惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)賬戶,但這個賬戶是不經(jīng)常用的,然后使用工具把這個賬戶提升到管理員權(quán)限,從表面上看來這個賬戶還是和原來一樣,但是這個克隆的賬戶卻是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。
  為了避免這種情況,可以用很簡單的方法對賬戶進行檢測。
  首先在命令行下輸入net user,查看計算機上有些什么用戶,然后再使用“net user 用戶名”查看這個用戶是屬于什么權(quán)限的,一般除了Administrator是administrators組的,其他都不是!如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶??焓褂谩皀et user用戶名/del”來刪掉這個用戶吧!
  聯(lián)網(wǎng)狀態(tài)下的客戶端。對于沒有聯(lián)網(wǎng)的客戶端,當(dāng)其聯(lián)網(wǎng)之后也會在第一時間內(nèi)收到更新信息將病毒特征庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程,也使用戶的計算機時刻處于最佳的保護環(huán)境之下。
  四、對比“msconfig.exe"和"Services.msc"
  1。點擊“開始,運行”輸入“msconfig.exe"回車,打開”系統(tǒng)配置實用程序,然后 在“服務(wù)”選項卡中勾選“隱藏所有Microsoft服務(wù)”,這時列表中顯示的服務(wù)項都是非系統(tǒng)程序。
  2。再點擊“開始,運行”,輸入Services.msc"回車,打開“系統(tǒng)服務(wù)管理”,對比兩張表,在該“服務(wù)列表”中可以逐一找出剛才顯示的非系統(tǒng)服務(wù)項。
  3。在“系統(tǒng)服務(wù)”管理界面中,找到那些服務(wù)后,雙擊打開,在“常規(guī)”選項卡中的可執(zhí)行文件路徑中可以看到服務(wù)的可執(zhí)行文件位置,一般正常安裝的程序,比如殺毒,MSN,防火墻,等,都會建立自己的系統(tǒng)服務(wù),不在系統(tǒng)目錄下,如果有第三方服務(wù)指向的路徑是在系統(tǒng)目錄下,那么他就是“木馬”。選中它,選擇表中的“禁止”,重新啟動計算機即可。
  4要點:有一個表的左側(cè):有被選中的服務(wù)程序說明,如果沒用,它就是木馬。
如何刪除木馬病毒 ?


  1、禁用系統(tǒng)還原(Windows Me/XP) 
  如果您運行的是 Windows Me 或 Windows XP,建議您暫時關(guān)閉“系統(tǒng)還原”。此功能默認(rèn)情況下是啟用的,一旦計算機中的文件被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統(tǒng)還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。 
  Windows 禁止包括防病毒程序在內(nèi)的外部程序修改系統(tǒng)還原。因此,防病毒程序或工具無法刪除 System Restore 文件夾中的威脅。這樣,系統(tǒng)還原就可能將受感染文件還原到計算機上,即使您已經(jīng)清除了所有其他位置的受感染文件。 
  此外,病毒掃描可能還會檢測到 System Restore 文件夾中的威脅,即使您已將該威脅刪除。 
  注意:蠕蟲移除干凈后,請按照上述文章所述恢復(fù)系統(tǒng)還原的設(shè)置。 
  2、將計算機重啟到安全模式或者 VGA 模式 
  關(guān)閉計算機,等待至少 30 秒鐘后重新啟動到安全模式或者 VGA 模式 
  Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作系統(tǒng),除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。 
  Windows NT 4 用戶:將計算機重啟到 VGA 模式。 
  掃描和刪除受感染文件啟動防病毒程序,并確保已將其配置為掃描所有文件。運行完整的系統(tǒng)掃描。如果檢測到任何文件被 Download.Trojan 感染,請單擊“刪除”。如有必要,清除 Internet Explorer 歷史和文件。如果該程序是在 Temporary Internet Files 文件夾中的壓縮文件內(nèi)檢測到的,請執(zhí)行以下步驟: 
  啟動 Internet Explorer。單擊“工具”>“Internet 選項”。單擊“常規(guī)”選項卡“Internet 臨時文件”部分中,單擊“刪除文件”,然后在出現(xiàn)提示后單擊“確定”。在“歷史”部分,單擊“清除歷史”,然后在出現(xiàn)提示后單擊“是”。 
  3、關(guān)于病毒的危害,Download.Trojan會 執(zhí)行以下操作: 
  進入其作者創(chuàng)建的特定網(wǎng)站或 FTP 站點并試圖下載新的特洛伊木馬、病毒、蠕蟲或其組件。 
  完成下載后,特洛伊木馬程序?qū)?zhí)行它們。 
  中了木馬不能打開殺毒軟件可以用360安全衛(wèi)士安全啟動來先修復(fù)一下
木馬病毒最愛藏身的幾個地方


  木馬是一種基于遠(yuǎn)程控制的病毒程序,該程序具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態(tài)下控制你或者監(jiān)視你。下面就是木馬潛伏的詭招,看了以后不要忘記采取絕招來對付這些損招。
  1、集成到程序中
  其實木馬也是一個服務(wù)器――客戶端程序,它為了不讓用戶能輕易地把它刪除,就常常集成到程序里,一旦用戶激活木馬程序,那么木馬文件和某一應(yīng)用程序捆綁在一起,然后上傳到服務(wù)端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應(yīng)用程序,木馬又會被安裝上去了。綁定到某一應(yīng)用程序中,如綁定到系統(tǒng)文件,那么每一次Windows啟動均會啟動木馬。
  2、隱藏在配置文件中
  木馬實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的操作系統(tǒng),對于那些已經(jīng)不太重要的配置文件大多數(shù)是不聞不問了,這正好給木馬提供了一個藏身之處。而且利用配置文件的特殊作用,木馬很容易就能在大家的計算機中運行、發(fā)作,從而偷窺或者監(jiān)視大家。不過,現(xiàn)在這種方式不是很隱蔽,容易被發(fā)現(xiàn),所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見,但也不能因此而掉以輕心。
  3、潛伏在Win.ini中
  木馬要想達(dá)到控制或者監(jiān)視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當(dāng)然,木馬也早有心理準(zhǔn)備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統(tǒng)啟動時自動運行的地方,于是潛伏在Win.ini中是木馬感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]字段中有啟動命令“l(fā)oad=”和“run=”,在一般情況下“=”后面是空白的,如果有后跟程序,比方說是這個樣子:run=c:windowsfile. Exeload=c:windowsfile.exe。這時你就要小心了,這個file.exe很可能是木馬。
  4、偽裝在普通文件中
  這個方法出現(xiàn)的比較晚,不過現(xiàn)在很流行,對于不熟練的windows操作者,很容易上當(dāng)。具體方法是把可執(zhí)行文件偽裝成圖片或文本——在程序中把圖標(biāo)改成Windows的默認(rèn)圖片圖標(biāo),再把文件名改為*.jpg.exe,由于Win98默認(rèn)設(shè)置是“不顯示已知的文件后綴名”,文件將會顯示為*.jpg,不注意的人一點這個圖標(biāo)就中木馬了(如果你在程序中嵌一張圖片就更完美了)。 `
  5、內(nèi)置到注冊表中
  上面的方法讓木馬著實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,并對它進行了嚴(yán)厲的懲罰!但是它還心有不甘,總結(jié)了失敗教訓(xùn)后,認(rèn)為上面的藏身之處很容易找,現(xiàn)在必須躲在不容易被人發(fā)現(xiàn)的地方,于是它想到了注冊表!的確注冊表由于比較復(fù)雜,木馬常常喜歡藏在這里快活,趕快檢查一下,有什么程序在其下,睜大眼睛仔細(xì)看了,別放過木馬:
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”開頭的鍵值; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”開頭的鍵值; HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”開頭的鍵值。
  6、在System.ini中藏身
  木馬真是無處不在呀!什么地方有空子,它就往哪里鉆!這不,Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。還是小心點,打開這個文件看看,它與正常文件有什么不同,在該文件的[boot]字段中,是不是有這樣的內(nèi)容,那就是shell=Explorer.exefile.exe,如果確實有這樣的內(nèi)容,那你就不幸了,因為這里的file.exe就是木馬服務(wù)端程序!另外,在System.ini中的[386Enh]字段,要注意檢查在此段內(nèi)的“driver=路徑程序名”,這里也有可能被木馬所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個字段,這些段也是起到加載驅(qū)動程序的作用,但也是增添木馬程序的好場所,現(xiàn)在你該知道也要注意這里。
  7、隱形于啟動組中
  有時木馬并不在乎自己的行蹤,它更注意的是能否自動加載到系統(tǒng)中,因為一旦木馬加載到系統(tǒng)中,任你用什么方法你都無法將它趕跑(哎,這木馬臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬可以藏身的好地方,因為這里的確是自動加載運行的好場所。啟動組對應(yīng)的文件夾為:
  C:windowsstartmenuprogramsstartup
  在注冊表中的位置:
  HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFoldersStartup= “C:windowsstartmenuprogramsstartup”
  要注意經(jīng)常檢查啟動組。
  8、隱蔽在Winstart.bat中
  按照上面的邏輯理論,凡是利于木馬能自動加載的地方,木馬都喜歡呆。這不,Winstart.bat也是一個能自動被Windows加載運行的文件,它多數(shù)情況下為應(yīng)用程序及Windows自動生成,在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動程序之后開始執(zhí)行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運行,危險由此而來。
  9、捆綁在啟動文件中
  即應(yīng)用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將制作好的帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件,這樣就可以達(dá)到啟動木馬的目的了。
  10、設(shè)置在超級連接中
  木馬的主人在網(wǎng)頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結(jié)果不言而喻:開門揖盜!奉勸不要隨便點擊網(wǎng)頁上的鏈接,除非你了解它,信任它。
 
乙市信息技術(shù) www.simplelove-0511.cn 版權(quán)所有                           咨詢熱線: 40088-71651  

    滬ICP備10200906號-10     滬公網(wǎng)安備 31010802001698號              技術(shù)支持: 021-55282628  

    IT外包   電腦維修   數(shù)據(jù)恢復(fù)   機房布線   設(shè)備租賃   服務(wù)器維護   電話交換機