您的位置:首页精文荟萃安全相关 → 接种特洛伊木马疫苗

接种特洛伊木马疫苗

时间:2004/10/15 2:47:00来源:本站整理作者:蓝点我要评论(0)

    木马也称特洛伊木马,有相当部分的网络入侵是通过木马来实现的。木马的危害性在于它对电脑强大的控制能力。一旦木马的服务端被植入了计算机,那么木马客户端的拥有者就可以像操作自己的机器一样控制你的计算机,这不前几天笔者的一位好友就让“广外女生”给黑了一把,可怜的他被折磨了两天后,最后只能忍痛割爱重装了系统。


    他的遭遇使我产生了一个想法,如果我们能为自己的“爱机”接种一个“木马疫苗”,那么就不那么容易被黑了!


    ★理论篇


    疫苗是为了防御,且只能针对已知的木马进行防御。


    木马病毒都有两个共同特征,也是它们的共同的弱点:


    1. 它们都需要向本地计算机植入木马程序文件;


    2. 它们都需要激活木马“服务端”才能运行生效。


    我们只要破坏其中的任何一个条件就能使木马无法运行,比较起来破坏木马程序文件要容易得多。木马病毒不是老想在计算机中植入木马服务端程序文件吗?我们何不“将计就计”,利用Windows操作系统“不允许在同一目录下创建两个文件名完全相同的文件”这一特性,在病毒要植入木马文件的所有位置都放上一个与木马文件完全同名的0字节文件,然后对这些假木马的属性、访问权限进行最严格的限制,这样,木马在植入时就会因为不能修改文件而失败。


    ★应用篇


    下面以最为普及的木马病毒“冰河”为例,为大家介绍如何人工为“爱机”植入木马病毒“疫苗”。


    首先来看看“冰河”木马病毒的特性:


    一旦激活了冰河的服务端程序G-Server.exe,那么它将在C:\Windows\system目录下生成Kernel32.exe和Sysexplr.exe两个文件。即使删除了Kernel32.exe,只要你打开TXT文本文件,Sysexplr.exe就会被激活,它会再次生成一个Kernel32.exe,这样冰河就会又回来了!这就是冰河屡删不止的原因。


    根据这一原理:(这里要注意的是:首先要确保你的“爱机”没有感染该木马程序),我们就先在C:\Windows\system的目录下建立Kernel32.exe和Sysexplr.exe的两个空文件,过程如下:点击[开始]→[控制面板]→[文件夹选项],选择“查看”选项卡(如图1),找到“隐藏已知文件扩展名”选项,把它前面的对勾去掉。新建文本,将文件名(包括“扩展名”)改成Kernel32.exe和Sysexplr.exe,然后将文件属性设为只读、系统。在 Windows NT/2000/XP中,如果是多用户系统,将访问权限设置为“everyone”都“拒绝访问”(注意:该文件的其他继承权限也要作相应的设置)。


    对付其他木马也都可如法炮制。要说明的是,人工为“爱机”植入木马病毒“疫苗”做法只是在没有安装杀毒软件时的应急措施。平时的安全防范,更加重要。另外,对系统进行上述处理时,应当完全弄清楚木马“服务端”的工作机制,尽可能地把它的所有攻击门路都堵死,否则这个“疫苗”会失效的

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 金山游戏盒子怎么卸载警惕网络陷阱:新型病毒 NOD32用户名和密码最新(2013.09.11)忘记密保答案怎么办bitdefender 2011激活码及注册码集合卡巴斯基Pure数据加密最佳首选

人气排行 如何关闭xp防火墙金山游戏盒子怎么卸载 如何卸载金山游戏盒子什么杀毒软件的资源占用最少忘记密保答案怎么办如何关闭win7防火墙诺顿杀毒软件的使用技巧安装NOD32后无法上网的解决方法如何卸载瑞星防火墙