剖析坏木马加载方式
网络是互联的,当你从中获取资源的同时,也要经受其中的考验,木马程序会修改并破坏电脑的系统和文件,除了安装杀毒软件(包括防火墙)外,还应该尽可能地掌握系统文件知识。下面简单介绍一下木马的加载方式:
, h7 K4 t [6 N" f8 o) {我爱电脑技术社区--打造最好的电脑技术自学交流平台 加载方式:定位于System.ini和Win.ini文件我爱电脑技术社区--打造最好的电脑技术自学交流平台9 X* y7 Z& K' P- K* Y& J$ E, e
$ ^8 L' D4 z& I+ J
System.ini(位置C:windows)
! c/ C7 `7 `. f t+ g& w- ^: X! J: a( W [boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。% C* y( J+ r& W1 h+ m6 r
[boot]项修改后配置:“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。我爱电脑技术社区--打造最好的电脑技术自学交流平台* h2 e, P" e' r; l, Q3 d% z
Win.ini(位置C:windows)
& `: |/ U i. X3 W6 \0 T电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站 [windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。
8 ?9 N8 S$ [9 G我爱电脑技术社区--打造最好的电脑技术自学交流平台 [windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。打造最好的电脑自学交流论坛5 c$ d8 G9 E ^. K; o
解决办法:
' m0 w6 z2 s3 F7 A* M我爱电脑技术社区--打造最好的电脑技术自学交流平台 执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。www.520diannao.com/ i! t+ u' ]( G$ u
加载方式:隐藏在注册表中(此方式最为隐蔽)。打造最好的电脑自学交流论坛3 g1 _/ g$ A9 r; N/ Y
注意以下注册表项:HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站7 W, ^! w0 r7 {: p: H; G5 J. b/ x
原始数值数据:"%1"%$ ~' p/ q0 ]6 K; W3 ?, ^
被修改后的数值数据:C:systemxxx.exe "%1"%打造最好的电脑自学交流论坛8 r7 u5 @" f) M/ h9 x+ {3 x& V5 W
原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe这个程序。
: s+ y$ k2 [* [. S% }) Z 例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被加载了。( y6 Q% N8 h# {' t+ t
解决办法:www.520diannao.com2 s/ x2 D' T2 B
当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。我爱电脑技术论坛# J5 x" L1 v; Q% t+ a% k4 T
所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。我爱电脑技术社区--打造最好的电脑技术自学交流平台5 r& V* a( x& M5 b
可以借助一些软件来狙击木马,如:金山清理专家等。建议经常去微软网站下载补丁包来修补系统;及时升级病毒库。
