中科新闻网疯滑雪苑官网:怎样知道自己电脑中了木马?怎么预防?
来源:百度文库 编辑:中科新闻网 时间:2024/04/29 22:43:16
木马”程式会想尽一切办法隐藏自己,主要途径有:在工作列中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程式运行时就不会出现在工作列中了。在任务管理器中隐形:将程式设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图示来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程式的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程式的途径,必须仔细留心它们。一般情况下,它们的等号后面什麼都没有,如果发现后面跟有路径与档案名称不是你熟悉的启动文件,你的电脑就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=档案名称”。正确的档案名称应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程式名”,那麼后面跟著的那个程式就是“木马”程式,就是说你已经中“木马”了。
在注册表中的情况最复杂,透过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,附档名为EXE。
这里切记:有的“木马”程式产生的文件很像系统自身文件,想透过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程式与真正的Explorer之间只有“i”与“l”的差别。
http://www.blueidea.com/bbs/NewsDetail.asp?lp=582&id=2308816
、木马的原理:
大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统内的Server程序;另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别,大多数Server程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部,然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当Server安装成功后,黑客就可以通过Client控制程序对Server端进行各种操作了。
木马程序的Server端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二.木马实战:
先说国产木马老大,冰河-----你不得不了解的工具。
(编者残语:)说到冰河,也许在2005年的今天显得很落后,但冰河创造了一个时代,一个人人能做黑客的时代。使用方便简单,人人都能上手。图形界面,中文菜单,了解木马,先从了解远程控制软件冰河开始。
======================================================
使用冰河前,请注意:如果你的机器有杀毒软件,可能会出现病毒提示。说实话,他还真是一个病毒。呵呵。所以在使用前,请慎重考虑,出了问题,小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。
杀木马最好的东西还是木马专杀
一般都需要一个杀毒软件
瑞星2006和金山毒霸都蛮好 你同学有正版序列号可以要来用网上的一般都是垃圾的
好了 就这么多
祝你好运~~~
新年快乐
前面的已经提到了,一般木马查杀和解决得方法,那么对于加壳或者非常罕见的木马该怎么办呢?
一定要注意任务管理器的进程,很多木马(如灰鸽子)的进程名与正常的进程相同,你发现在进程中有2个以上相同命名的程序,试着关掉一个,如果出现异常则重新启动,如果没有异常,那么就可能是木马了。可以按照上面所说的解决
可以用"木马克星"查杀木马,至于预防:
1.少用D版
2.不去不知名的网站下载软件
用卡巴司机
木马”程式会想尽一切办法隐藏自己,主要途径有:在工作列中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程式运行时就不会出现在工作列中了。在任务管理器中隐形:将程式设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图示来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程式的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程式的途径,必须仔细留心它们。一般情况下,它们的等号后面什麼都没有,如果发现后面跟有路径与档案名称不是你熟悉的启动文件,你的电脑就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=档案名称”。正确的档案名称应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程式名”,那麼后面跟著的那个程式就是“木马”程式,就是说你已经中“木马”了。
在注册表中的情况最复杂,透过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,附档名为EXE。
这里切记:有的“木马”程式产生的文件很像系统自身文件,想透过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程式与真正的Explorer之间只有“i”与“l”的差别。
http://www.blueidea.com/bbs/NewsDetail.asp?lp=582&id=2308816
、木马的原理:
大多数木马程序的基本原理都是一样的,他们是由两个程序配合使用——被安装在入侵系统内的Server程序;另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别,大多数Server程序不会像病毒一样主动传播,而是潜伏在一些合法程序内部,然后由目标操作者亲手将其安装到系统中,虽然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的确是在经过诱惑后目标“心甘情愿”接收木马的,当Server安装成功后,黑客就可以通过Client控制程序对Server端进行各种操作了。
木马程序的Server端为了隐藏自己,必须在设计中做到不让自己显示到任务栏或者系统进程控制器中,同时还不会影响其他程序的正常运行,当使用者电脑处于断线状态下,Server段不会发送任何信息到预设的端口上,而会自动检测网络状态直到网络连接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二.木马实战:
先说国产木马老大,冰河-----你不得不了解的工具。
(编者残语:)说到冰河,也许在2005年的今天显得很落后,但冰河创造了一个时代,一个人人能做黑客的时代。使用方便简单,人人都能上手。图形界面,中文菜单,了解木马,先从了解远程控制软件冰河开始。
======================================================
使用冰河前,请注意:如果你的机器有杀毒软件,可能会出现病毒提示。说实话,他还真是一个病毒。呵呵。所以在使用前,请慎重考虑,出了问题,小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。