●在Autoexec.bat和Config.sys中加载运行
这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。
●在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
●启动组
木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此,还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: /Windows/Start Menu/Programs/StartUp,在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。
●*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
●修改文件关联
修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的冰河就是这样干的。一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键,查看其键值是否正常。
●捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样,即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么,每一次Windows启动均会启动木马。
手工清除木马
如果发现自己的硬盘总是莫明其妙地读盘,软驱灯经常自己亮起,网络连接及鼠标、屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面,此时,就应该想办法清除它们了。
当发现可疑文件时,可以试试能不能删除它,因为木马多是以后台方式运行,通过按“Ctrl+Alt+Del”是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用),那就应该注意了。
那么,如何清除木马而不误删其他有用文件呢?当你通过上述方法找到可疑程序时,你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年,而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外),文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前,那八成就有问题了。
首先,查进程。检查进程可以借助第三方软件,如Windows优化大师,利用其“查看进程”功能把可疑进程杀掉,然后,再看看原来怀疑的端口还有没有开放(有时需重启),如果没有了,那说明杀对了,再把该程序删掉,这样,就手工删除了这个木马了。
如果该木马改变了TXT、EXE或ZIP等文件的关联,那应把注册表改过来,如果不会改,那就把注册表改回到以前的,就可以恢复文件关联,可通过在DOS下执行“scanreg/restore”命令来恢复注册表,不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值,简单易用。
这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。
●在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
●启动组
木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此,还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: /Windows/Start Menu/Programs/StartUp,在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。
●*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
●修改文件关联
修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的冰河就是这样干的。一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键,查看其键值是否正常。
●捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样,即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么,每一次Windows启动均会启动木马。
手工清除木马
如果发现自己的硬盘总是莫明其妙地读盘,软驱灯经常自己亮起,网络连接及鼠标、屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面,此时,就应该想办法清除它们了。
当发现可疑文件时,可以试试能不能删除它,因为木马多是以后台方式运行,通过按“Ctrl+Alt+Del”是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用),那就应该注意了。
那么,如何清除木马而不误删其他有用文件呢?当你通过上述方法找到可疑程序时,你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年,而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外),文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前,那八成就有问题了。
首先,查进程。检查进程可以借助第三方软件,如Windows优化大师,利用其“查看进程”功能把可疑进程杀掉,然后,再看看原来怀疑的端口还有没有开放(有时需重启),如果没有了,那说明杀对了,再把该程序删掉,这样,就手工删除了这个木马了。
如果该木马改变了TXT、EXE或ZIP等文件的关联,那应把注册表改过来,如果不会改,那就把注册表改回到以前的,就可以恢复文件关联,可通过在DOS下执行“scanreg/restore”命令来恢复注册表,不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值,简单易用。
1694
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
