木馬注冊表
① 關於注冊表和木馬
是的。是病毒,我之前也中過,症狀和你差不多,不過不要緊,可以完全清除的.
1:在安全模式下清空IE緩存及C:\Documents and Settings\你的用戶名\Local Settings\Temp
2:在安全模式下查一遍c盤的毒.重起一下電腦,進入正常模式.
3:在正常模式下再查一遍毒,為了記住幾個病毒的位置.比如 C:\WINDOWS\system32\ ,然後進入安全模式.
4:找到病毒的位置手動刪除相對應文件.這樣一來就差不多了,我就是這么搞定的.
D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
這個是諾基亞的客戶端,在RUN下是自動開啟嗎?怎麼關閉。
關於這個是自動啟動,你可以在msconfig里把它取消掉,就ok了.開始--運行--輸入msconfig--啟動--找到對應的相,把前面的勾取消就好了。
② 中了木馬,注冊表的什麼地方會被修改
用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。
大致出現在下面八個地方:1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。 2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。 4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。 5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。 6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「 冰河」 就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「 C :\WINDOWS \NOTEPAD.EXE %1」 該為「 C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」 ,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「 文件類型」 這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。 7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。 8.啟動菜單:在「 開始---程序---啟動」 選項下也可能有木馬的觸發條件。
③ 怎樣在注冊表中查殺 木馬病毒
「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕松地偽裝自己。 當然它也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服
務端,,「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。下面具體談談「木馬」是怎樣自動載入的。
在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。
在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將注冊表「HKEY-LOCAL-MACHINE」下的 Explorer 鍵值改為Explorer=「C:.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER」、「HKEY-USERS\u65290***」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。
知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」;編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,更改為:「shell=explorer.exe」;在注冊表中,用regedit對注冊表進行編輯,先在「HKEY-LOCAL-MACHINE」下找到「木馬」程序的文件名,再在整個注冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINE」下的「木馬」鍵值刪除就行了,因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啟動計算機,然後再到注冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了。
④ 病毒木馬修改注冊表的什麼地方
見得最多的就是在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
里新建字元串
這樣就能夠隨windows系統啟動運行
除此之外,添加服務等也是需要注冊表的修改
當然僅僅注冊表還不夠,還需要在
C:\Windows\System
C:\Windows\System32\
C:\Windows\System32\drivers
C:\Windows\
C:\
等目錄里生成病毒文件
注冊表-內存指令-硬碟文件
這三點相互呼應,就會產生刪除後回寫、病毒進程被保護等情況出現,所以殺軟有時候會告訴你需要重啟計算機來完成殺除。
而木馬相比病毒就更加智能,客戶端(主控端)因為是人類,所以完全可以在電腦中木馬的第一時間進行遠程操作,破壞數據。
包括打開服務埠(例如打開telnet,這樣刪除完木馬還是受到控制)、修改注冊表、安裝後門、卸載殺軟、捕捉屏幕、獲取滑鼠鍵盤操作。
基本上和在電腦前操作一樣,並且往往可以後台實現,不被發覺(電腦運行速度一定是會變慢)。
但是木馬由於是程序,所以存在的問題就是,當木馬運行安裝時,當前用戶許可權就是木馬程序的許可權,就是說若是中木馬時用的是管理員許可權(administrators組用戶)則木馬可以為所欲為了,若是普通用戶則會受到組策略限制、域用戶還會收到域策略限制等。
不過存在一些提權軟體的。
所以在不保證安全而又有重要數據時,由其在公司,員工的登錄賬戶都受到許可權限制的。
⑤ 什麼是注冊表什麼是木馬
什麼是注冊表?
注冊表因為它復雜的結構和沒有任何聯系的CLSID鍵使得它可能看上去很神秘。不幸的是,微軟並沒有完全公開講述關於注冊表正確設置的支持信息,這樣使得注冊表看上去更不可琢磨。處理和編輯注冊表如同「黑色藝術」一樣,它在系統中的設置讓用戶感覺象在黑暗中摸索一樣找不到感覺。這樣,因為用戶對這方面的缺乏了解使得注冊表更多的出現故障。
Windows注冊表是幫助Windows控制硬體、軟體、用戶環境和Windows界面的一套數據文件,注冊表包含在Windows目錄下兩個文件system.dat和user.dat里,還有它們的備份system.da0和user.da0。通過Windows目錄下的regedit.exe程序可以存取注冊表資料庫。在以前,在windows的更早版本(在win95以前),這些功能是靠win.ini,system.ini和其他和應用程序有關聯的.ini文件來實現的.
在windows操作系統家族中,system.ini和win.ini這兩個文件包含了操作系統所有的控制功能和應用程序的信息,system.ini管理計算機硬體而win.ini管理桌面和應用程序。所有驅動、字體、設置和參數會保存在.ini文件中,任何新程序都會被記錄在.ini文件中。這些記錄會在程序代碼中被引用。因為受win.ini和system.ini文件大小的限制,程序員添加輔助的.INI文件以用來控制更多的應用程序。舉例來說,微軟的Excel有一個excel.ini文件,它包含著選項、設置、預設參數和其他關繫到Excel運行正常的信息。在system.ini和win.ini中只需要指出excel.ini的路徑和文件名即可。
最開始,system.ini和win.ini控制著所有windows和應用程序的特徵和存取方法,它在少數的用戶和少數應用程序的環境中工作的很好。隨著應用程序的數量和復雜性越來越大,則需要在.ini文件中添加更多的參數項。這樣下來,在一個變化的環境中,在應用程序安裝到系統中後,每個人都會更改.ini文件。然而,沒有一個人在刪除應用程序後刪除.ini文件中的相關設置,所以system.ini和win.ini這個兩個文件會變的越來越大。每增加的內容會導致系統性能越來越慢。而且每次應用程序的升級都出現這樣的難題:升級會增加更多的參數項但是從來不去掉舊的設置。而且還有一個明顯的問題,一個.ini文件的最大尺寸是64KB。為了解決這個問題,軟體商自己開始支持自己的.ini文件,然後指向特定的ini文件如win.ini和system.ini文件。這樣下來多個.ini文件影響了系統正常的存取級別設置。如果一個應用程序的.ini文件和WIN.INI文件設置起沖突,究竟是誰的優先順序更高呢?
注冊表最初被設計為一個應用程序的數據文件相關參考文件,最後擴展成對於32位操作系統和應用程序包括了所有功能下的東東.注冊表是一套控制操作系統外表和如何響應外來事件工作的文件。這些「事件」的范圍從直接存取一個硬體設備到介面如何響應特定用戶到應用程序如何運行等等。注冊表因為它的目的和性質變的很復雜,它被設計為專門為32位應用程序工作,文件的大小被限制在大約40MB。
注冊表都做些什麼?
注冊表是為Windows NT和Windows95中所有32位硬體/驅動和32位應用程序設計的數據文件。16位驅動在Winnt下無法工作,所以所有設備都通過注冊表來控制,一般這些是通過BIOS來控制的。在Win95下,16位驅動會繼續以實模式方式設備工作,它們使用system.ini來控制。16位應用程序會工作在NT或者Win95 下,它們的程序仍然會參考win.ini和system.ini文件獲得信息和控制。
在沒有注冊表的情況下,操作系統不會獲得必須的信息來運行和控制附屬的設備和應用程序及正確響應用戶的輸入。
在系統中注冊表是一個記錄32位驅動的設置和位置的資料庫。當操作系統需要存取硬體設備,它使用驅動程序,甚至設備是一個BIOS支持的設備。無BIOS支持設備安裝時必須需要驅動,這個驅動是獨立於操作系統的,但是操作系統需要知道從哪裡找到它們,文件名、版本號、其他設置和信息,沒有注冊表對設備的記錄,它們就不能被使用。
當一個用戶准備運行一個應用程序,注冊表提供應用程序信息給操作系統,這樣應用程序可以被找到,正確數據文件的位置被規定,其他設置也都可以被使用。
注冊表保存關於預設數據和輔助文件的位置信息、菜單、按鈕條、窗口狀態和其他可選項。它同樣也保存了安裝信息(比如說日期),安裝軟體的用戶,軟體版本號和日期,序列號等。根據安裝軟體的不同,它包括的信息也不同。
然而,一般來說,注冊表控制所有32位應用程序和驅動,控制的方法是基於用戶和計算機的,而不依賴於應用程序或驅動,每個注冊表的參數項控制了一個用戶的功能或者計算機功能。用戶功能可能包括了桌面外觀和用戶目錄。所以,計算機功能和安裝的硬體和軟體有關,對所以用戶來說項都是公用的。
有些程序功能對用戶有影響,有些時作用於計算機而不是為個人設置的,同樣的,驅動可能是用戶指定的,但在很多時候,它們在計算機中是通用的。
注冊表控制用戶模式的例子有:
控制面板功能;
桌面外觀和圖標;
網路參數;
瀏覽器功能性和特徵;
那些功能中的某些是和用戶無關的,有些是針對用戶的。
計算機相關控制項基於計算機名,和登陸用戶無關。控制類型的例子是安裝一個應用程序,不管是哪個用戶,程序的可用性和存取是不變的,然而,運行程序圖標依賴於網路上登陸的用戶。網路協議可用性和優先權基於計算機,但是當前連接和用戶信息相關。
這里是在注冊表中基與計算機控制條目的一些例子:
存取控制;
登陸確認;
文件和列印機共享;
網卡設置和協議;
系統性能和虛擬內存設置;
沒有了注冊表,Win95和Winnt 就不太可能存在。它們實在太復雜了,以致於用過去的.ini文件無法控制,它們的擴展能力需要幾乎無限制的安裝和使用應用程序,注冊表實現了它。然而,注冊表比.ini文件更復雜,理解它如何工作,它做什麼和如何用它來做是有效管理系統的關鍵。
在系統中注冊表控制所有32位應用程序和它們的功能及多個應用程序的交互,比如復制和粘貼,它也控制所有的硬體和驅動程序。雖然多數可以通過控制面板來安裝和設置,理解注冊表仍是做Winnt和Win95系統管理基本常識。
二、注冊表的結構
注冊表的結構
注冊表是Windows程序員建造的一個復雜的信息資料庫,它是多層次式的。在不同系統上注冊表的基本結構相同。其中的復雜數據會在不同方式上結合,從而產生出一個絕對唯一的注冊表。
計算機配置和預設用戶設置的注冊表數據在Winnt中被保存在下面這五個文件中:
DEFAULT,SAM,SECURITY,SOFTWARE,SYSTEM,NTUSER.DAT。
Win95中所有系統注冊信息保存在windows目錄下的SYSTEM.DAT文件里。所有硬體設置和軟體信息也保存在這個文件。它要比NT注冊表文件簡單的多,因為這里並不需要更多的控制。Win95被設計為一個網路的客戶或者單獨工作的系統,所以用戶控制或者安全級別和NT不一樣。這使得Win95注冊表工作比NT更容易,所以這個文件也比較小。
Win95用戶的注冊數據一般被保存在windows目錄下的user.dat里。如果你在控制面板|密碼|用戶配置文件中創建並使用多於一個用戶的配置文件,每個用戶就會有在\WINDOWS\Profiles\username\USER.DAT下它自己的user.dat文件。在啟動時,系統將記錄你的登陸,從你目錄中的配置文件(USER.DAT信息)將被裝入,以用來保持你自己的桌面和圖標。
控制鍵
在注冊表編輯器中注冊表項是用控制鍵來顯示或者編輯的。控制鍵使得找到和編輯信息項組更容易。因此,注冊表使用這些條目。下面是六個控制鍵
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
HKEY_USERS
HKEY_CURRENT_USER
Winnt和Win95的注冊表並不兼容。從Win95向Winnt升級需要你重新安裝32位應用程序,重新在桌面上創建圖標,並重新建立用戶環境。
通過控制鍵可以比較容易編輯注冊表。雖然它們顯示和編輯好象獨立的鍵,其實HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。
HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有內容。每次計算機啟動時,HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和編輯。
HKEY_CLASSES_ROOT其實就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes,但是在HKEY_CLASSES_ROOT窗編輯相對來說顯得更容易和有條理。
HKEY_USERS保存著預設用戶信息和當前登陸用戶信息。當一個域成員計算機啟動並且一個用戶登陸,域控制器自動將信息發送到HKEY_CURRENT_USER里,而且HKEY_CURRENT_USER信息被映射到系統內存中。其他用戶的信息並不發送到系統,而是記錄在域控制器里。
什麼是木馬?
特洛伊木馬(以下簡稱木馬),英文叫做「 Trojan house」 ,其名稱取自希臘神話的特洛伊木馬記。 它是一種基於遠程式控制制的黑客工具,具有隱蔽性和非授權性的特點。 所謂隱蔽性是指木馬的設計者為了防止木馬被發現,會採用多種手段隱藏木馬,這樣服務端即使發現感染了木馬,由於不能確定其具體位置,往往只能望「 馬」 興嘆。 所謂非授權性是指一旦控制端與服務端連接後,控制端將享有服務端的大部分操作許可權,包括修改文件,修改注冊表,控制滑鼠,鍵盤等等,而這些權力並不是服務端賦予的,而是通過木馬程序竊取的。 從木馬的發展來看,基本上可以分為兩個階段。 最初網路還處於以UNIX平台為主的時期,木馬就產生了,當時的木馬程序的功能相對簡單,往往是將一段程序嵌入到系統文件中,用跳轉指令來執行一些木馬的功能,在這個時期木馬的設計者和使用者大都是些技術人員,必須具備相當的網路和編程知識。 而後隨著WINDOWS平台的日益普及,一些基於圖形操作的木馬程序出現了,用戶界面的改善,使使用者不用懂太多的專業知識就可以熟練的操作木馬,相對的木馬入侵事件也頻繁出現,而且由於這個時期木馬的功能已日趨完善,因此對服務端的破壞也更大了。 所以所木馬發展到今天,已經無所不用其極,一旦被木馬控制,你的電腦將毫無秘密可言。 鑒於木馬的巨大危害性,我們將分原理篇,防禦與反擊篇,資料篇三部分來詳細介紹木馬,希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。
原 理 篇
(一)基礎知識 在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。一個完整的木馬系統由硬體部分,軟體部分和具體連接部分組成。 (1)硬體部分:建立木馬連接所必須的硬體實體。 控制端:對服務端進行遠程式控制制的一方。 服務端:被控制端遠程式控制制的一方。 INTERNET:控制端對服務端進行遠程式控制制,數據傳輸的網路載體。 (2)軟體部分:實現遠程式控制制所必須的軟體程序。 控制端程序:控制端用以遠程式控制制服務端的程序。 木馬程序:潛入服務端內部,獲取其操作許可權的程序。 木馬配置程序:設置木馬程序的埠號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。 (3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP,服務端IP:即控制端,服務端的網路地址,也是木馬進行數據傳輸的目的地。 控制端埠,木馬埠:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬 程序。
(二)木馬原理 用木馬這種黑客工具進行網路入侵,從過程上看大致可分為六步(具體可見下圖),下面我們就按這六步來詳細闡述木馬的攻擊原理。
一.配置木馬 一般來說一個設計成熟的木馬都有木馬配置程序,從具體的配置內容看,主要是為了實現以下兩方 面功能: (1)木馬偽裝:木馬配置程序為了在服務端盡可能的好的隱藏木馬,會採用多種偽裝手段,如修改圖標 ,捆綁文件,定製埠,自我銷毀等,我們將在「 傳播木馬」 這一節中詳細介紹。 (2)信息反饋:木馬配置程序將就信息反饋的方式或地址進行設置,如設置信息反饋的郵件地址,IRC號 ,ICO號等等,具體的我們將在「 信息反饋」 這一節中詳細介紹。
二.傳播木馬 (1)傳播方式: 木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載,一些非正規的網站以提供軟體下載為 名義, 將木馬捆綁在軟體安裝程序上,下載後,只要一運行這些程序,木馬就會自動安裝。 (2)偽裝方式: 鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。 (一)修改圖標 當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。 (二)捆綁文件 這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。 (三)出錯顯示 有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「 文件已破壞,無法打開的!」 之類的信息,當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。 (四)定製埠 很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠),這樣就給判斷 所感染木馬類型帶 來了麻煩。 (五)自我銷毀 這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後,木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後,原木馬文件將自動銷毀,這 樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工 具幫助下,就很難刪除木馬了。 (六)木馬更名 安裝到系統文件夾中的木馬的文件名一般是固定的,那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名,這樣很難判斷所感染的木馬類型了。
三.運行木馬 服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。
(1)由觸發條件激活木馬 觸發條件是指啟動木馬的條件,大致出現在下面八個地方:1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。 2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini,用文本方式打開,在[386Enh],[mic], [drivers32]中有命令行,在其中尋找木馬的啟動命令。 4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後,將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。 5.*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。 6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「 冰河」 就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「 C :\WINDOWS \NOTEPAD.EXE %1」 該為「 C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」 ,這時你雙 擊一個TXT文件 後,原本應用NOTEPAD打開文件的,現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬 ,不同之處只在於「 文件類型」 這個主鍵的差別,TXT是txtfile,ZIP是WINZIP,大家可以 試著去找一下。 7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使 木馬被刪 除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。 8.啟動菜單:在「 開始---程序---啟動」 選項下也可能有木馬的觸發條件。
(2)木馬運行過程 木馬被激活後,進入內存,並開啟事先定義的木馬埠,准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下,鍵入NETSTAT -AN查看埠狀態,一般個人電腦在離線狀態下是不會有埠 開放的,如果有埠開放,你就要注意是否感染木馬了。 在上網過程中要下載軟體,發送信件,網上聊天等必然打開一些埠,下面是一些常用的埠: (1)1---1024之間的埠:這些埠叫保留埠,是專給一些對外通訊的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。 (2)1025以上的連續埠:在上網瀏覽網站時,瀏覽器會打開多個連續的埠下載文字,圖片到本地 硬碟上,這些埠都是1025以上的連續埠。 (3)4000埠:這是OICQ的通訊埠。 (4)6667埠:這是IRC的通訊埠。 除上述的埠基本可以排除在外,如發現還有其它埠打開,尤其是數值比較大的埠,那就要懷疑 是否感染了木馬,當然如果木馬有定製埠的功能,那任何埠都有可能是木馬埠。
四.信息泄露: 一般來說,設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息,並通過E-MAIL,IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。從這封郵件中我們可以知道服務端的一些軟硬體信息,包括使用的操作系統,系統目錄,硬碟分區況,系統口令等,在這些信息中,最重要的是服務端IP,因為只有得到這個參數,控制端才能與服務端建立 連接,具體的連接方法我們會在下一節中講解。
五.建立連接
⑥ 注冊表裡可以刪除木馬嗎
你先找到木馬刪除哪個木馬文件,然後去注冊表中刪除木馬在注冊表中載入的鍵值,在重新啟動計算機進入安全模式(啟動時按F8)在安全模式下看看注冊表中是否還有木馬的鍵值,有的話就再次刪除。這樣木馬就不能啟動了
⑦ 注冊表被木馬修改怎麼辦
下面兩種方法一是手動,一是用軟體改,自己挑吧。
一、點 開始→運行→輸入 regedit 後回車進入注冊表編輯器
【記得新窗口中滑鼠點到左上角的"我的電腦"上,以保證全盤搜索】
然後點擊左上角的 "編輯"→查找→輸入 08db.dll 後開始查找
找到後就將它刪除,有多少刪多少
最後重起機器即可.
這是軟體刪除不完全或是殺毒遺留,刪了不影響電腦.
二、如果按我這方法都沒有找到,就下個 【超級兔子】 清理一下。
到網路搜索「超級兔子 下載」,第一個網頁是天空軟體站的,就他吧
很好操作 很好用 很專業,修復IE,清除木馬、流氓軟體、IE插件等 功能很強大,
對了,還可以個性化自己的系統。
推薦
打開超級兔子以後點"打造屬於自己的系統 → 啟動程序 → 在裡面找這個出錯的DLL禁止掉
你去試試吧
⑧ 流行木馬進程 文件 注冊表
這個一打,也都是復制的東西,
BO2000,GOP,NetSpy,IEthief,冰河,Happy99月
,
⑨ 怎麼在注冊表中刪除木馬
運行
regedit
進入注冊表管理器
編輯-查找--輸入你的木馬名稱
把搜到的刪掉!
⑩ 如何清除注冊表中的木馬病毒
木馬病毒的通用解法 由於很多新手對安全問題了解不多,所以並不知道自己的計算機中了「木馬」該怎麼樣清除。雖然現在市面上有很多新版殺毒軟體都可以自動清除「木馬」,但它們並不能防範新出現的「木馬」程序,因此最關鍵的還是要知道「木馬」的工作原理,這樣就會很容易發現「木馬」。相信你看了這篇文章之後,就會成為一名查殺「木馬」的高手了。 「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕松地偽裝自己。 當然它也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端,,「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。下面具體談談「木馬」是怎樣自動載入的。 在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。 在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。 在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將注冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的 Explorer 鍵值改為Explorer=「C:\WINDOWS\expiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。 知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」;編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,更改為:「shell=explorer.exe」;在注冊表中,用regedit對注冊表進行編輯,先在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名,再在整個注冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下的「木馬」鍵值刪除就行了,因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啟動計算機,然後再到注冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了