-
您的位置:首页 → 精文荟萃 → 操作系统 → 中毒电脑多薄命—剖析坏木马加载方式
中毒电脑多薄命—剖析坏木马加载方式
时间:2004/10/15 3:01:00来源:本站整理作者:蓝点我要评论(0)
-
网络是互联的,当你从中获取资源的同时,也要经受其中的考验,木马程序会修改并破坏电脑的系统和文件,除了安装杀毒软件(包括防火墙)外,还应该尽可能地掌握系统文件知识。下面简单介绍一下木马的加载方式:
加载方式:定位于System.ini和Win.ini文件
System.ini(位置C:\windows\)
[boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。
[boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。
Win.ini(位置C:\windows\)
[windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。
[windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。
解决办法:
执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。
加载方式:隐藏在注册表中(此方式最为隐蔽)。
注意以下注册表项:HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\
原始数值数据:"%1"%
被修改后的数值数据:C:\system\xxx.exe "%1"%
原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:\system\xxx.exe这个程序。
例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被加载了。
解决办法:
当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。
所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。
可以借助一些软件来狙击木马,如:The Cleaner、Trojan Remover等。建议经常去微软网站下载补丁包来修补系统;及时升级病毒库。
中国电脑教育报 文/倪京辉
相关阅读
Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
-
热门文章
没有查询到任何记录。
最新文章
Windows7怎么升级Wind安卓7.0系统怎么样好不
安卓7.0有哪些新功能 安卓7.0系统详细图文体Fuchsia是什么意思 Fuchsia系统怎么样u深度一键还原精灵电脑重装系统使用教程u深度一键ghost使用教程
人气排行
win7没声音怎么办?_win无7声音解决办法苹果笔记本装Win7教程 苹果笔记本怎么装Win电脑32位和64位怎么看 怎么看电脑支持64位安卓7.0系统怎么样好不好用 Android7.0综合checking file system on是什么意思 怎么解component 'MSINET.OCX'错误是什么意思?怎Windows系统运行库集合下载 - VC运行库,.NE虚拟机VMware Workstation配置方法图解
查看所有0条评论>>