淺談木馬的加載方式
中國風網 2004-3-8 17:37:13
--------------------------------------------------------------------------------
網絡是互聯的,當你從中獲取資源的同時,也要經受其中的考驗,木馬程序會修改並破壞電腦的係統和文件,除了安裝殺毒軟件(包括防火牆)外,還應該盡可能地掌握係統文件知識。下麵簡單介紹一下木馬的加載方式:
加載方式:定位於System.ini和Win.ini文件
System.ini(位置C:\windows\)
[boot]項原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次係統啟動時,都會自動加載。
[boot]項修改後配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假設一木馬程序)。
Win.ini(位置C:\windows\)
[windows]項原始值配置:“load=”;“run=”,一般情況下,等號後無啟動加載項。
[windows]項修改後配置:“load=”和“run=”後跟非係統、應用啟動文件,而是一些你不熟悉的文件名。
解決辦法:
執行“運行→msconfig”命令,將System.ini文件和Win.ini文件中被修改的值改回原值,並將原木馬程序刪除。若不能進入係統,則在進入係統前按“Shift+F5”進入Command Prompt Only方式,分別鍵入命令edit system.ini和edit win.ini進行修改。
加載方式:隱藏在注冊表中(此方式最為隱蔽)。
注意以下注冊表項:HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\
原始數值數據:"%1"%?
被修改後的數值數據:C:\system\xxx.exe "%1"%?
原注冊表項是運行可執行文件的格式,被修改後就變為每次運行可執行文件時都會先運行C:\system\xxx.exe這個程序。
例如:開機後運行QQ主程序時,該xxx.exe(木馬程序)就先被加載了。
解決辦法:
當通過防火牆得知某端口被監聽,立即下線,檢查注冊表及係統文件是否被修改,找到木馬程序,將其刪除。
所謂“病從口入” 感染源還是在於加載了木馬程序的服務器端。目前,偽裝可執行文件圖標的方法很多,如:修改擴展名,將文件圖標改為文件夾的圖標等,並隱藏擴展名,因此接收郵件和下載軟件時一定要小心。許多木馬程序的文件名很像係統文件名,造成用戶對其沒有把握,不敢隨意刪除,因此要不斷增長自己的知識才可防備萬一。
可以借助一些軟件來狙擊木馬,如:The Cleaner、Trojan Remover等。建議經常去微軟網站下載補丁包來修補係統;及時升級病毒庫。
文章來源:太平洋電腦網
中國風網 2004-3-8 17:37:13
--------------------------------------------------------------------------------
網絡是互聯的,當你從中獲取資源的同時,也要經受其中的考驗,木馬程序會修改並破壞電腦的係統和文件,除了安裝殺毒軟件(包括防火牆)外,還應該盡可能地掌握係統文件知識。下麵簡單介紹一下木馬的加載方式:
加載方式:定位於System.ini和Win.ini文件
System.ini(位置C:\windows\)
[boot]項原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次係統啟動時,都會自動加載。
[boot]項修改後配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假設一木馬程序)。
Win.ini(位置C:\windows\)
[windows]項原始值配置:“load=”;“run=”,一般情況下,等號後無啟動加載項。
[windows]項修改後配置:“load=”和“run=”後跟非係統、應用啟動文件,而是一些你不熟悉的文件名。
解決辦法:
執行“運行→msconfig”命令,將System.ini文件和Win.ini文件中被修改的值改回原值,並將原木馬程序刪除。若不能進入係統,則在進入係統前按“Shift+F5”進入Command Prompt Only方式,分別鍵入命令edit system.ini和edit win.ini進行修改。
加載方式:隱藏在注冊表中(此方式最為隱蔽)。
注意以下注冊表項:HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\
原始數值數據:"%1"%?
被修改後的數值數據:C:\system\xxx.exe "%1"%?
原注冊表項是運行可執行文件的格式,被修改後就變為每次運行可執行文件時都會先運行C:\system\xxx.exe這個程序。
例如:開機後運行QQ主程序時,該xxx.exe(木馬程序)就先被加載了。
解決辦法:
當通過防火牆得知某端口被監聽,立即下線,檢查注冊表及係統文件是否被修改,找到木馬程序,將其刪除。
所謂“病從口入” 感染源還是在於加載了木馬程序的服務器端。目前,偽裝可執行文件圖標的方法很多,如:修改擴展名,將文件圖標改為文件夾的圖標等,並隱藏擴展名,因此接收郵件和下載軟件時一定要小心。許多木馬程序的文件名很像係統文件名,造成用戶對其沒有把握,不敢隨意刪除,因此要不斷增長自己的知識才可防備萬一。
可以借助一些軟件來狙擊木馬,如:The Cleaner、Trojan Remover等。建議經常去微軟網站下載補丁包來修補係統;及時升級病毒庫。
文章來源:太平洋電腦網
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
