公安局用木马程序查什么犯罪_公安局用木马程序查什么

hacker|
94

公安局都使用什么杀毒软件呢?

美国国防部用 McAfee

迈克菲(McAfee)公司于1998年进入中国,不断向中国企业提供全球领先的网络安全和网络管理解决方案,得到了广大中国企业用户,特别是重点行业用户的认可和肯定。经过不懈的努力,mcafee公司产品和解决方案被广泛应用于银行、保险、证券、电信、交通等领域,获得了中国人民银行、中国银行、中国工商银行、中国建设银行、中国平安保险公司、中国网通、中国电信、中国联通等客户的大力支持。

McAfee企业版,Symantec企业版永久使用,要是不能用除非公司倒闭。

【免费的正版-种类最多最全(16个品牌)-官方原版链接收集-原汁原味-信誉高-无病毒木马】百度空间:

您是不是感觉病毒杀完又出来,总是杀不净?杀毒软件被关闭?

您是不是感觉杀毒软件排名很高,但是实际使用确实一般呢。

这是因为阻止病毒加载能力弱,所以出现反复查杀的情况!

然而杀毒排名并不会考虑到阻止病毒加载能力这个因素,不会作为排名标准,所以排名就是只是扫描静态病毒测试。

原创+心得体会 不可删除/杀不完又出来的病毒/免杀病毒 `杀必死~~!!!

【学】【习】【规】【则】【永】【不】【中】【毒】【金】【刚】【不】【坏】

【不要嫌长】 【根本解决之道,不信依旧中毒!】

(虽然是复制的,但是是我原创,只要问的问题相同就在要复制相同答案。因为一本教科书印刷只用一套模板。)

【杀毒软件皆装全 中毒还要找专杀 中毒依旧是为何 只因理念没转变 不想中毒满头汗 学习知识不间断 防御病毒来入侵 永不中毒金重点不换】

如果你安装了McAfee 企业版防毒软体 可以很容易搞定 不可删除/杀不完又出来的病毒/免杀病毒终结者

【McAfee规则杀毒防毒法】

开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建(F)-文件/文件夹阻止规则。

填写如下资料: (进程可带路径,可以使用通配符)

规则名称:任意

要包含的进程:*

要排除的进程:预留空(根据自己实际情况填写)

要阻止的文件或文件夹名。允许使用通配符:填上删不掉的文件名 一次只能写一个 可以多建立几个规则

要阻止的操作:除了删除 读取其他都选上。

然后再确定保存 看McAfee日志 是什么程序产生了那些文件

然后按照同样的方法把根源程序阻止 然后就能轻易删除 杀毒就是这么容易。。

日志就是这么一个例子:

2008-7-18 14:12:45 将由访问保护规则 (当前不强制执行规则) 禁止 MSDN-XP\McAfee C:\DOCUME~1\McAfee\LOCALS~1\Temp\Rar$EX00.172\UXTender.exe C:\Documents and Settings\McAfee\Local Settings\Temp\Rar$EX00.172\UXTender.exe 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行

这个例子表明前面那个文件运行的结果就是产生那个文件。 分析你阻止的那些文件 阻止掉源头程序。(但不总是这样的,要学会分析.)

McAfee企业版

优点 防御强超,只要会设置,会编写规则,百毒不侵。

缺点 界面不友好,操作复杂,对使用者计算机水平要求很高,普通用户望而却步。

木马程序的查杀

一般使用专门的木马查杀工具来杀除,例如木马克星、ewido、费尔托斯特等软件。

杀毒软件多数也可以查杀大量木马,但在杀除木马方面没有上述软件更专业,因而推荐两者配合使用。

对于最新出现的木马,有时也可以到网络搜寻特定的查杀工具来处理。

知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。

请问木马到底是什么病毒?是怎样窃取个人信息的?

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。

“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!

木马的检测

木马的检测、清除与防范

来源:CNCERT/CC广东分中心编写

木马程序不同于病毒程序,通常并不象病毒程序那样感染文件。木马一般是以寻找后门、

窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、

突发性和攻击性。由于木马具有很强的隐蔽性,用户往往是在自己的密码被盗、

机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马,

如何对木马进行清除和防范。

木马检测

1、查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的,

这样我们就可以通过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。

例如冰河使用的监听端口是7626,Back Orifice 2000使用的监听端口是54320等。

假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是中了木马。

查看端口的方法有几种:

(1)使用Windows本身自带的netstat命令

C:\netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:113 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING

TCP 127.0.0.1:5092 0.0.0.0: LISTENING

TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI

TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING

UDP 0.0.0.0:69 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1703 *:*

UDP 0.0.0.0:1704 *:*

UDP 0.0.0.0:4000 *:*

UDP 0.0.0.0:6000 *:*

UDP 0.0.0.0:6001 *:*

UDP 127.0.0.1:1034 *:*

UDP 127.0.0.1:1321 *:*

UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\softwareFport.exe

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

420 svchost - 135 TCP E:\WINNT\system32\svchost.exe

8 System - 139 TCP

8 System - 445 TCP

768 MSTask - 1025 TCP E:\WINNT\system32\MSTask.exe

8 System - 1027 TCP

8 System - 137 UDP

8 System - 138 UDP

8 System - 445 UDP

256 lsass - 500 UDP E:\WINNT\system32\lsass.exe

(3)使用图形化界面工具Active Ports

这个工具可以监视到电脑所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应的程序所在的路径,

本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。

2、查看win.ini和system.ini系统配置文件

查看win.ini和system.ini文件是否有被修改的地方。

例如有的木马通过修改win.ini文件中windows节 的“load=file.exe ,run=file.exe”语句进行自动加载。

此外可以修改system.ini中的boot节,实现木马加载。

例如 “妖之吻” 病毒,将“Shell=Explorer.exe” (Windows系统的图形界面命令解释器)

修改成“Shell=yzw.exe”,在电脑每次启动后就自动运行程序yzw.exe。

修改的方法是将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

3、查看启动程序

如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的,

一般都会放在主菜单的“开始-程序-启动”处,

在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。

通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders

检查是否有可疑的启动程序,便很容易查到是否中了木马。

在Win98系统下,还可以直接运行Msconfig命令查看启动程序和system.ini、win.ini、autoexec.bat等

文件。

4、查看系统进程

木马即使再狡猾,它也是一个应用程序,需要进程来执行。可以通过查看系统进程来推断木马是否存在。

在Windows NT/XP系统下,按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程。

在Win98下,可以通过Prcview和winproc工具来查看进程。查看进程中,要求你要对系统非常熟悉,

对每个系统运行的进程要知道它是做什么用的,这样,木马运行时,

就很容易看出来哪个是木马程序的活动进程了。

5、查看注册表

木马一旦被加载,一般都会对注册表进行修改。一般来说,

木马在注册表中实现加载文件一般是在以下等处:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunServices

此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

““%1” %*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,

例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件,

每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。

还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open

\command=““%1” %*”处将其默认键值改成"%1" %*",

并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices添加了名称为"Diagnostic Configuration"的键值;

6、使用检测软件

上面介绍的是手工检测木马的方法,此外,我们还可以通过各种杀毒软件、

防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有:KV3000,Kill3000、瑞星等,

防火墙软件主要有国外的Lockdown,国内的天网、金山网镖等,各种木马查杀工具主要有:The Cleaner、

木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ,

它集合了入侵防卫及防火墙技术,为个人电脑和文件服务器提供全面的病毒防护。

木马清除

检测到电脑中了木马后,就要根据木马的特征来进行清除。查看是否有可疑的启动程序、

可疑的进程存在,是否修改了win.ini、system.ini系统配置文件和注册表。

如果存在可疑的程序和进程,就按照特定的方法进行清除。

主要的步骤都不外乎以下几个:

(但并不是所有的木马清除都能够根据下列步骤删除,这里只是介绍清除木马的基本方法)

1、删除可疑的启动程序

查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,

如果存在木马,则除了要查出木马文件并删除外,还要将木马自动启动程序删除。

例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中:

WINDOWS\All Users\Start Menu\Programs\StartUp

WINNT\Profiles\All Users\Start Menu\Programs\Startup

WINDOWS\Start Menu\Programs\Startup

Documents and Settings\All Users\Start Menu\Programs\Startup

查看一下这些目录,如果有可疑的启动程序,则将之删除。

2、恢复win.ini和system.ini系统配置文件的原始配置

许多病毒会将win.ini和system.ini系统配置文件修改,使之能在系统启动时加载和运行木马程序。

例如电脑中了“妖之吻”病毒后,病毒会将system.ini中的boot节的

“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木马的方法是把system.ini给恢复原始配置,

即“Shell=yzw.exe”修改回“Shell=Explorer.exe”,再删除掉病毒文件即可。

TROJ_BADTRANS.A病毒,也会更改win.ini以便在下一次重新开机时执行木马程序。

主要是将win.ini中的windows节的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。

执行清除的步骤如下:

(1)打开win.ini文本文件,将字段“RUN=C:%WINDIR%INETD.EXE”中 等号后面的字符删除,

仅保留“RUN=”。

(2)将被TROJ_BADTRANS.A病毒感染的文件删除。

3、停止可疑的系统进程

木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序,

在对木马进行清除时,当然首先要停掉木马程序的系统进程。

例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外,

还在进程中运行wuamgrd.exe程序,修改了注册表,以便病毒可随机自启动。

在看到有木马程序在进程中运行,则需要马上杀掉进程,并进行下一步操作,修改注册表和清除木马文件。

4、修改注册表

查看注册表,将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门,

向注册表的以下地方:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

添加了键值"Microsoft Update" = "wuamgrd.exe",以便病毒可随机自启动。

这就需要我们进入注册表,将这个键值给删除。注意:可能有些木马会不允许执行.exe文件,

这样我们就需要先将regedit.exe改成系统能够运行的,比如可以改成regedit.com。

这里就说说如何清除Hack.Rbot病毒、后门的。

(1)将进程中运行的wuamgrd.exe进程停止,这是一个木马程序;

(2)将Hack.Rbot拷贝到windows启动项中的启动文件删除;

(3)将Hack.Rbot添加到注册表中的键值"Microsoft Update"=

"wuamgrd.exe"删除;

(4)手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。

5、使用杀毒软件和木马查杀工具进行木马查杀

常用的杀毒软件包括KV3000、瑞星、诺顿等,这些软件对木马的查杀是比较有效的,

但是要注意时刻更新病毒库,而且对于一些木马查杀不彻底,在系统重新启动后还会自动加载。

此外,你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。

这里推荐一款工具Anti-Trojan Shield,这是一款享誉欧洲的专业木马侦测、拦截及清除软件。

可以在网站下载。

木马防范

随着网络的普及,硬件和软件的高速发展,网络安全显得日益重要。对于网络中比较流行的木马程序,

传播时间比较快,影响比较严重,因此对于木马的防范就更不能疏忽。

我们在检测清除木马的同时,还要注意对木马的预防,做到防范于未然。

1、不要随意打开来历不明的邮件

现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。

并加强邮件监控系统,拒收垃圾邮件。

2、不要随意下载来历不明的软件

最好是在一些知名的网站下载软件,不要下载和运行那些来历不明的软件。

在安装软件的同时最好用杀毒软件查看有没有病毒,之后才进行安装。

3、及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,

在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。

4、尽量少用共享文件夹

如果必须使用共享文件夹,则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享,

最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态,这是非常危险的。

5、运行实时监控程序

在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。

6、经常升级系统和更新病毒库

经常关注厂商网站的安全公告,这些网站通常都会及时的将漏洞、木马和更新公布出来,

并第一时间发布补丁和新的病毒库等。

采用注册表来管理系统配置,主要是为了提高系统的稳定性,平时操作系统出现的一些问题,

诸如系统无法启动、应用程序无法运行、系统不稳定等情况,很多都是因为注册表出现错误而造成的,

而通过修改相应的数据就能解决这些问题,所以,掌握如何正确备份、恢复注册表的方法,

可以让每一个用户更加得心应手地使用自己的电脑。

一、利用注册表编辑器手工备份注册表

注册表编辑器(Regedit)是操作系统自带的一款注册表工具,通过它就能对注册表进行各种修改。

当然,"备份"与"恢复"注册表自然是它的本能了。

(1)通过注册表编辑器备份注册表

由于修改注册表有时会危及系统的安全,因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP,

都把注册表编辑器"藏"在了一个非常隐蔽的地方,要想"请"它出山,必须通过特殊的手段才行。

点击"开始"菜单,选择菜单上的"运行"选项,在弹出的"运行"窗口中输入"Regedit"后,点击"确定"按钮,

这样就启动了注册表编辑器。

点击注册表编辑器的"注册表"菜单,再点击"导出注册表文件"选项,

在弹出的对话框中输入文件名"regedit",将"保存类型"选为"注册表文件",再将"导出范围"设置为"全部",

接下来选择文件存储位置,最后点击"保存"按钮,就可将系统的注册表保存到硬盘上。

完成上述步骤后,找到刚才保存备份文件的那个文件夹,就会发现备份好的文件已经放在文件夹中了。

(2)在DOS下备份注册表

当注册表损坏后,WINDOWS(包括"安全模式")无法进入,此时该怎么办呢?

在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施,下面来看看在DOS环境下,

怎样来备份、恢复注册表。

在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、

恢复注册表,其实"Regedit.exe"这个注册表编辑器不仅能在WINDOWS环境中运行,也能在DOS下使用。

虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大,但是也有它的独到之处。

比如说通过注册表编辑器在WINDOWS中备份了注册表,可系统出了问题之后,无法进入WINDOWS,

此时就可以在纯DOS下通过注册表编辑器来恢复注册表。

应该说在DOS环境中备份注册表的情况还是不多见的,一般在WINDOWS中备份就行了,

不过在一些特殊的情况下,这种方式就显得很实用了。

进入DOS后,再进入C盘的WINDOWS目录,在该目录的提示符下输入"regedit"后按回车键,

便能查看"regedit"的使用参数。

通过"Regedit"备份注册表仍然需要用到"system.dat"和"user.dat"这两个文件,

而该程序的具体命令格式是这样的:

Regedit /L:system /R:user /E filename.reg Regpath

参数含义:

/L:system指定System.dat文件所在的路径。

/R:user指定User.dat文件所在的路径。

/E:此参数指定注册表编辑器要进行导出注册表操作,在此参数后面空一格,输入导出注册表的文件名。

Regpath:用来指定要导出哪个注册表的分支,如果不指定,则将导出全部注册表分支。在这些参数中

,"/L:system"和"/R:user"参数是可选项,如果不使用这两个参数,

注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行操作。

如果是通过从软盘启动并进入DOS,

那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径,

否则注册表编辑器将无法找到它们。

比如说,如果通过启动盘进入DOS,

则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",

该命令的意思是把整个注册表备份到WINDOWS目录下,其文件名为"regedit.reg"。

而如果输入的是"regedit /E D:\regedit.reg"这条命令,

则是说把整个注册表备份到D盘的根目录下(省略了"/L"和"/R"参数),其文件名为"Regedit.reg"。

( 3)用注册表检查器备份注册表

在DOS环境下的注册表检查器Scanreg.exe可以用来备份注册表。

命令格式为:

Scanreg /backup /restore /comment

参数解释:

/backup用来立即备份注册表

/restore按照备份的时间以及日期显示所有的备份文件

/comment在/restore中显示同备份文件有关的部分

注意:在显示备份的注册表文件时,压缩备份的文件以 .CAB文件列出,

CAB文件的后面单词是Started或者是NotStarted,Started表示这个文件能够成功启动Windows,

是一个完好的备份文件,NotStarted表示文件没有被用来启动Windows,

因此还不能够知道是否是一个完好备份。

比如:如果我们要查看所有的备份文件及同备份有关的部分,命令如下:

Scanreg /restore /comment

注册表恢复

注册表中存放着计算机软硬件的配置信息,病毒、网页恶意代码往往要修改注册表,

平时安装、操作软件也会使注册表内容发生变化。当计算机工作不正常时,

往往可以通过恢复注册表来修复。所以,平时我们应经常备份注册表(运行regedit,导出注册表文件)。

这样,需要时就可以导入过去某个备份,使电脑恢复正常。

如果平时没有导出注册表,则只好通过运行 scanreg /restore来恢复注册表,

或运行scanreg

/fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统,开机时按F8,

选择Command Prompt

Only进入DOS;对于WinMe系统,则可以运行Command进入DOS。当然,也可以用软盘引导系统,

进入C:\windows\command子目录,然后执行上述修复注册表的命令。

目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。

此时因IE无法运行,不能使用在线自动修复;且“微机数据维护”等修复软件也不能运行;

同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows

scanreg /restore来修复注册表。

什么是木马程序,有什么功能?

木马简介前言

在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马,当初怎么就想不通它与病毒扯上关系了。经过一番了解,原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市,从而一举占领敌方城市的故事,因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,达到当你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。

一旦你的电脑被它控制,则通常表现为蓝屏然死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。

不过要知道,即使发现了你的机器染上木马病毒,也不必那么害怕,因为木马病毒与一般病毒在目的上有很大的区别,即使木马运行了,也不一定会对你的机器造成危害。但肯定有坏处,你的上网密码有可能已经跑到别人的收件箱里了,这样黑客们就可以盗用你的上网账号上网了!木马程序也是病毒程序的一类,但更具体的被认为黑客程序,因为它入侵的目的是为发布这些木马程序的人,即所谓的黑客服务的。

本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。

木马的基本特征

木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:

1、隐蔽性是其首要的特征

如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面:

a、不产生图标

它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;

b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。

木马入侵的常用手法及清除方法

虽然木马程序千变万化,但正如一位木马组织的负责人所讲,大多数木马程序没有特别的功能,入侵的手法也差不多,只是以前有关木马程序的重复,只是改了个名而已,现在他们都要讲究效率,据说他们要杜绝重复开发,浪费资源。当然我们也只能讲讲以前的一些通用入侵手法,因为我们毕竟不是木马的开发者,不可能有先知先觉。

1、在win.ini文件中加载

一般在win.ini文件中的[windwos]段中有如下加载项:

run= load= ,一般此两项为空,如图1所示。

图1

如果你发现你的系统中的此两项加载了任何可疑的程序时,应特别当心,这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中之后,那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序,但你要知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用你常见的文件,如command.exe、sys.com等来伪装。

2、在System.ini文件中加载

我们知道在系统信息文件system.ini中也有一个启动加载项,那就是在[BOOT]子项中的“Shell”项,如图2所示。

图2

在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改"Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为他知道还是有很多朋友不知道这里就一定是“Explorer”,或者在“Explorer”加上点什么东东,加上的那些东东肯定就是木马程序了。

3、修改注册表

如果经常研究注册表的朋友一定知道,在注册表中我们也可以设置一些启动加载项目的,编制木马程序的高手们当然不会放过这样的机会的,况且他们知道注册表中更安全,因为会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如图3所示;

图3

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如图4所示。

图4

你只要按照其指定的源文件路径一路查过去,并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了,不过同样要注意木马的欺骗性,它可是最善于伪装自己呵!同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。

4、修改文件打开关联

木马程序发展到了今天,他们发现以上的那些老招式不灵了,为了更加隐蔽自己,他们所采用隐蔽的手段也是越来越高明了(不过这也是万物的生存之道,你说呢?),它们采用修改文件打开关联来达到加载的目的,当你打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件(.txt)这个最常见,但又最不引人注目的文件格式关联来加载自己,当有人打开文本文件时就自动加载了冰河木马。

修改关联的途经还是选择了注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图5所示,

图5

如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”,而是改为“sy***plr.exe %1”。

以上所介绍的几种木马入侵方式,如果发现了我们当然是立即对其删除,并要立即与网络断开,切断黑客通讯的途径,在以上各种途径中查找,如果是在注册表发现的,则要利用注册表的查找功能全部查找一篇,清除所有的木马隐藏的窝点,做到彻底清除。如果作了注册表备份,最好全部删除注册表后再导入原来的备份注册表。

在清除木马前一定要注意,如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。

什么是木马程序,中木马程序后有什么症状,会不会不删除文件只把木马删了?

“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!

0条大神的评论

发表评论