下面的文章主要就是對(duì)木馬加載方式的描述,其加載方式主要有定位于System.ini與Win.ini文件���,隱藏在注冊(cè)表中(此方式最為隱蔽)���。這兩種���,以下的文章就是這兩種方式的破解�����,以下就是文章的主要內(nèi)容講述����。
加載方式:定位于System.ini和Win.ini文件
System.ini(位置C:\windows\)
[boot]項(xiàng)原始值配置:“shell=explorer.exe”�����,explorer.exe是Windows的核心文件之一�����,每次系統(tǒng)啟動(dòng)時(shí)���,都會(huì)自動(dòng)加載�。
[boot]項(xiàng)修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假設(shè)一木馬程序)�����。
Win.ini(位置C:\windows\)
[windows]項(xiàng)原始值配置:“l(fā)oad=”���;“run=”�,一般情況下,等號(hào)后無(wú)啟動(dòng)木馬加載項(xiàng)��。
[windows]項(xiàng)修改后配置:“l(fā)oad=”和“run=”后跟非系統(tǒng)�����、應(yīng)用啟動(dòng)文件�����,而是一些你不熟悉的文件名�����。
解決辦法:
執(zhí)行“運(yùn)行→msconfig”命令��,將System.ini文件和Win.ini文件中被修改的值改回原值�����,并將原木馬程序刪除���。若不能進(jìn)入系統(tǒng)�����,則在進(jìn)入系統(tǒng)前按“Shift+F5”進(jìn)入Command Prompt Only方式��,分別鍵入命令edit system.ini和edit win.ini進(jìn)行修改�。
加載方式:隱藏在注冊(cè)表中(此方式最為隱蔽)�。
注意以下注冊(cè)表項(xiàng):HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\
原始數(shù)值數(shù)據(jù):"%1"%?
被修改后的數(shù)值數(shù)據(jù):C:\system\xxx.exe "%1"%?
原注冊(cè)表項(xiàng)是運(yùn)行可執(zhí)行文件的格式,被修改后就變?yōu)槊看芜\(yùn)行可執(zhí)行文件時(shí)都會(huì)先運(yùn)行C:\system\xxx.exe這個(gè)程序�。
例如:開機(jī)后運(yùn)行QQ主程序時(shí),該xxx.exe(木馬程序)就先被木馬加載了����。
解決辦法:
當(dāng)通過(guò)防火墻得知某端口被監(jiān)聽,立即下線���,檢查注冊(cè)表及系統(tǒng)文件是否被修改����,找到木馬程序�����,將其刪除���。
所謂“病從口入”感染源還是在于木馬加載了木馬程序的服務(wù)器端����。目前,偽裝可執(zhí)行文件圖標(biāo)的方法很多�,如:修改擴(kuò)展名,將文件圖標(biāo)改為文件夾的圖標(biāo)等�����,并隱藏?cái)U(kuò)展名�����,因此接收郵件和下載軟件時(shí)一定要小心�����。許多木馬程序的文件名很像系統(tǒng)文件名���,造成用戶對(duì)其沒(méi)有把握���,不敢隨意刪除,因此要不斷增長(zhǎng)自己的知識(shí)才可防備萬(wàn)一����。
可以借助一些軟件來(lái)狙擊木馬����,如:The Cleaner���、Trojan Remover等。建議經(jīng)常去微軟網(wǎng)站下載補(bǔ)丁包來(lái)修補(bǔ)系統(tǒng)����;及時(shí)升級(jí)病毒庫(kù)。
【編輯推薦】
- 需要關(guān)注的十大安全技巧之:用***的瀏覽器
- 需要關(guān)注的十大安全技巧之:避免社交工程危害
- 需要關(guān)注的十大安全技巧之:輕松對(duì)付惡意軟件
- 需要關(guān)注的十大安全技巧之:避免網(wǎng)絡(luò)釣魚陷阱
- 需要關(guān)注的十大安全技巧之:清除頑固的感染
網(wǎng)頁(yè)名稱:剖析木馬加載方式以及破解方案
URL地址:
http://uogjgqi.cn/article/djggdop.html
