您的位置：首页 → 网络冲浪 → 病毒快报 → 中毒电脑多薄命：剖析坏木马加载方式

中毒电脑多薄命：剖析坏木马加载方式

时间：2004/10/8 16:41:00来源：本站整理作者：蓝点我要评论(1)

　　　　网络是互联的，当你从中获取资源的同时，也要经受其中的考验，木马程序会修改并破坏电脑的系统和文件，除了安装杀毒软件(包括防火墙)外，还应该尽可能地掌握系统文件知识。下面简单介绍一下木马的加载方式：

 �� 加载方式：定位于System.ini和Win.ini文件



 �� System.ini(位置C:windows)



 �� [boot]项原始值配置：“shell=explorer.exe”，explorer.exe是Windows的核心文件之一，每次系统启动时，都会自动加载。



 �� [boot]项修改后配置：“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。



 �� Win.ini(位置C:windows)



 �� [windows]项原始值配置：“load=”；“run=”，一般情况下，等号后无启动加载项。



 �� [windows]项修改后配置：“load=”和“run=”后跟非系统、应用启动文件，而是一些你不熟悉的文件名。



 �� 解决办法：



 �� 执行“运行→msconfig”命令，将System.ini文件和Win.ini文件中被修改的值改回原值，并将原木马程序删除。若不能进入系统，则在进入系统前按“Shift+F5”进入Command Prompt Only方式，分别键入命令edit system.ini和edit win.ini进行修改。



 �� 加载方式：隐藏在注册表中(此方式最为隐蔽)。



 �� 注意以下注册表项：HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand



 �� 原始数值数据："%1"%��



 �� 被修改后的数值数据：C:systemxxx.exe "%1"%��



 �� 原注册表项是运行可执行文件的格式，被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe这个程序。



 �� 例如：开机后运行QQ主程序时，该xxx.exe(木马程序)就先被加载了。



 �� 解决办法：



 �� 当通过防火墙得知某端口被监听，立即下线，检查注册表及系统文件是否被修改，找到木马程序，将其删除。



 �� 所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前，伪装可执行文件图标的方法很多，如：修改扩展名，将文件图标改为文件夹的图标等，并隐藏扩展名，因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名，造成用户对其没有把握，不敢随意删除，因此要不断增长自己的知识才可防备万一。



 �� 可以借助一些软件来狙击木马，如：The Cleaner、Trojan Remover等。建议经常去微软网站下载补丁包来修补系统；及时升级病毒库。

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论

查看所有1条评论>>

发表评论

我来说两句...

提交评论