广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3690 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
frank81825 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x37 鲜花 x255
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] Ad-Aware 木马原理 (先相信大家一看就懂)

「木马」全称是「特洛伊木马(Trojan Horse)」,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,「特洛伊木马」指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。

「木马」程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为「系统服务」可以很轻松地伪装自己。
  
  当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击「木马」图标来运行服务端,:),「木马」会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,「木马」都会用上,如:启动组、win.ini、system.ini、注册表等等都是「木马」藏身的好地方。下面具体谈谈「木马」是怎样自动加载的。
  
  在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能加载「木马」程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上「木马」了。当然你也得看清楚,因为好多「木马」,如「AOL Trojan木马」,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
  
  在system.ini文件中,在[BOOT]下面有个「shell=文件名」。正确的文件名应该是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那么后面跟着的那个程序就是「木马」程序,就是说你已经中「木马」了。
  
  在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的「木马」程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如「Acid Battery v1.0木马」,它将注册表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer 键值改为Explorer=「C:\WINDOWS\expiorer.exe」,「木马」程序与真正的Explorer之间只有「i」与「l」的差别。当然在注册表中还有很多地方都可以隐藏「木马」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目录下都有可能,最好的办法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木马」程序的文件名,再在整个注册表中搜索即可。
  知道了「木马」的工作原理,查杀「木马」就变得很容易,如果发现有「木马」存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,「run=「木马」程序」或「load=「木马」程序」更改为「run=」和「load=」;编辑system.ini文件,将[BOOT]下面的「shell=『木马』文件」,更改为:「shell=explorer.exe」;在注册表中,用regedit对注册表进行编辑,先在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木马」程序的文件名,再在整个注册表中搜索并替换掉「木马」程序,有时候还需注意的是:有的「木马」程序并不是直接将「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下的「木马」键值删除就行了,因为有的「木马」如:BladeRunner「木马」,如果你删除它,「木马」会立即自动加上,你需要的是记下「木马」的名字与目录,然后退回到MS-DOS下,找到此「木马」文件并删除掉。重新启动计算机,然后再到注册表中将所有「木马」文件的键值删除。




献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2007-08-12 09:35 |
云之森
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x7
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

实在是受益不少
感谢大大的分享
让小弟的知识增加啊 (贫知 = =")
只是有几个地方还望大大指点啊
1.win.ini跟system.ini都没有像文中的run= or shell=之类的 这样因该也没问题吧
2.注册表内的木马数值删除后 你说有可能会被木马自动回复
所以要记下木马的名字何目录 然后从ms-dos下删除 只是ms-dos下找的到吗?
怎操作呢?

以上由不知无术的小弟想了解一下
(有时后脑筋打结 真是难过啊)



电脑之于生活 而生活的乐趣之一在于电脑
总言之-就是兴趣
献花 x0 回到顶端 [1 楼] From:台湾中华HiNet | Posted:2007-08-14 16:36 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

代为回答:
1.win.ini跟system.ini都没有像文中的run= or shell=之类的 这样因该也没问题吧
A: 此两个档案 一般来说 是不会出现run= or shell=之类的 若没有才是正常

2.注册表内的木马数值删除后 你说有可能会被木马自动回复
所以要记下木马的名字何目录 然后从ms-dos下删除 只是ms-dos下找的到吗?
怎操作呢?
A:注册表内的值 若发现被注入 可以由他所对应的路迳去找 如: C::\WINDOWS
若可以直接删除他即可 但大都有免杀保护 必须使用 KILLBOX 之类软体 来查杀
楼主之文中说 到 MS-DOS 中去 也是一法 因为如此该病毒无法执行进行保护
就可以直接删除 关于使用 MS-DOS 法 可以建立 DOS 开机片或 模拟 DOS 选单来使用
但需要一点程度 建议 直接使用 KILLBOX 之类软体 比较方便


爸爸 你一路好走
献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2007-08-15 13:21 |
云之森
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x7
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

原来如此
在下明白了
感谢大大的指点迷津啊 表情
一些必要手段如果没知道一点 到时后只能自助时
还真的会怕呢 表情



电脑之于生活 而生活的乐趣之一在于电脑
总言之-就是兴趣
献花 x0 回到顶端 [3 楼] From:台湾中华HiNet | Posted:2007-08-16 18:37 |
fengying
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

您所说的木马观念没错, 但Ad-aware是一种扫AD-ware(广告软体)、Trojan(木马)和蠕虫(worm)的软体, 并非一种木马.
当下看到标题以为在解析Ad-aware的扫毒程序
以下是整理过的移除木马程序, 不过就像upside大说的Killbox是一个很好用的强制移除档案软体
善用工具和ctrl+F也是很重要的工作

开启登录编辑程式
     备份原来的登录设定
           使用汇出功能将档案备份
     修改登录
           木马程式启动资料的四个机码
                 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
                 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
                 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
           档案关联的木马移除
                 文字档案关联
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
                       HKEY_CLASSES_ROOT\txtfile\shell\open\command
                       正确关联资料:%SystemRoot%\system32\NOTEPAD.EXE %1
                 可执行档案关联
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
                       HKEY_CLASSES_ROOT\exefile\shell\open\command
                       正确关联资料:"%1"%*
                 帮助档案关联      
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command
                       HKEY_CLASSES_ROOT\hlpfile\shell\open\command
                       正确关联资料:%SystemRoot%\winhlp32.exe %1
                 p.s.无法开启档案的原因:有一些木马程式关连了可执行程式,所以移除其主程式以后,所有的执行档将无法执行。
                                      为避免这种情形发生,应该先开启登录编辑器并修改登录,再移除木马主程式。
修复登录资料
     这个步骤是假设你在手动移除不成功时的补救方法,例如将正常的档案关联破坏,或者造成无法上网。这时汇入之前备份的登录档再继续研究修改。
     首先开启regedit,然后选择汇入刚刚备份的档案。
修复系统配置档案
     木马通常会修改三个系统配置:Autoexec.bat、System.ini、Win.ini。移除木马时必须也移除这些内容,否则Windows在启动的时候会出现Error Messenge
     方法有两种:
           使用【系统公用设定程式】编辑系统配置档案(Windows 2000没有系统供用设定程式,可将Msconfig复制过来就可以进行设定)
                 执行msconfig,将SYSTEM.INI页签里面,[boot]取消勾选确定即可。
           使用【文字编辑】编辑系统配置档案
                 开启system.ini,将[boot]下的文字移除存档即可。
中断木马正在执行的处理程序或重新启动电脑
     中断:使用装置管理员将程序中断
删除木马的主程式或还原系统档案
     一些比较进阶的木马程式并不会以独立的方式出现,会附加在系统档案上,因此有时候使用者会误杀而造成系统问题,所以这个时候只好使用
     【Windows档案保护】。执行『sfc.exe /scannow』,他会搜寻被修改过的系统档案,然而必须放入当初安装的Windows光碟才可以进行。


献花 x0 回到顶端 [4 楼] From:台湾台北市 | Posted:2007-08-20 19:19 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.015543 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言