廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3806 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
frank81825 手機
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x37 鮮花 x255
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] Ad-Aware 木馬原理 (先相信大家一看就懂)

「木馬」全稱是「特洛伊木馬(Trojan Horse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員在其可從網絡上下載(Download)的應用程序或遊戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。

「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕鬆地偽裝自己。
  
  當然它也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端,:),「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動加載應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。下面具體談談「木馬」是怎樣自動加載的。
  
  在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能加載「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
  
  在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。
  
  在註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這裡切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的Explorer 鍵值改為Explorer=「C:\WINDOWS\expiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名,再在整個註冊表中搜索即可。
  知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網絡斷開,防止黑客通過網絡對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」;編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,更改為:「shell=explorer.exe」;在註冊表中,用regedit對註冊表進行編輯,先在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名,再在整個註冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下的「木馬」鍵值刪除就行了,因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啟動計算機,然後再到註冊表中將所有「木馬」文件的鍵值刪除。




獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2007-08-12 09:35 |
雲之森
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

實在是受益不少
感謝大大的分享
讓小弟的知識增加啊 (貧知 = =")
只是有幾個地方還望大大指點啊
1.win.ini跟system.ini都沒有像文中的run= or shell=之類的 這樣因該也沒問題吧
2.註冊表內的木馬數值刪除後 你說有可能會被木馬自動回復
所以要記下木馬的名字何目錄 然後從ms-dos下刪除 只是ms-dos下找的到嗎?
怎操作呢?

以上由不知無術的小弟想了解一下
(有時後腦筋打結 真是難過啊)



電腦之於生活 而生活的樂趣之一在於電腦
總言之-就是興趣
獻花 x0 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2007-08-14 16:36 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

代為回答:
1.win.ini跟system.ini都沒有像文中的run= or shell=之類的 這樣因該也沒問題吧
A: 此兩個檔案 一般來說 是不會出現run= or shell=之類的 若沒有才是正常

2.註冊表內的木馬數值刪除後 你說有可能會被木馬自動回復
所以要記下木馬的名字何目錄 然後從ms-dos下刪除 只是ms-dos下找的到嗎?
怎操作呢?
A:註冊表內的值 若發現被注入 可以由他所對應的路逕去找 如: C::\WINDOWS
若可以直接刪除他即可 但大都有免殺保護 必須使用 KILLBOX 之類軟體 來查殺
樓主之文中說 到 MS-DOS 中去 也是一法 因為如此該病毒無法執行進行保護
就可以直接刪除 關於使用 MS-DOS 法 可以建立 DOS 開機片或 模擬 DOS 選單來使用
但需要一點程度 建議 直接使用 KILLBOX 之類軟體 比較方便


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:臺灣 | Posted:2007-08-15 13:21 |
雲之森
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

原來如此
在下明白了
感謝大大的指點迷津啊 表情
一些必要手段如果沒知道一點 到時後只能自助時
還真的會怕呢 表情



電腦之於生活 而生活的樂趣之一在於電腦
總言之-就是興趣
獻花 x0 回到頂端 [3 樓] From:臺灣中華HiNet | Posted:2007-08-16 18:37 |
fengying
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

您所說的木馬觀念沒錯, 但Ad-aware是一種掃AD-ware(廣告軟體)、Trojan(木馬)和蠕蟲(worm)的軟體, 並非一種木馬.
當下看到標題以為在解析Ad-aware的掃毒程序
以下是整理過的移除木馬程序, 不過就像upside大說的Killbox是一個很好用的強制移除檔案軟體
善用工具和ctrl+F也是很重要的工作

開啟登錄編輯程式
     備份原來的登錄設定
           使用匯出功能將檔案備份
     修改登錄
           木馬程式啟動資料的四個機碼
                 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
                 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
                 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
           檔案關聯的木馬移除
                 文字檔案關聯
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
                       HKEY_CLASSES_ROOT\txtfile\shell\open\command
                       正確關聯資料:%SystemRoot%\system32\NOTEPAD.EXE %1
                 可執行檔案關聯
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
                       HKEY_CLASSES_ROOT\exefile\shell\open\command
                       正確關聯資料:"%1"%*
                 幫助檔案關聯      
                       HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command
                       HKEY_CLASSES_ROOT\hlpfile\shell\open\command
                       正確關聯資料:%SystemRoot%\winhlp32.exe %1
                 p.s.無法開啟檔案的原因:有一些木馬程式關連了可執行程式,所以移除其主程式以後,所有的執行檔將無法執行。
                                      為避免這種情形發生,應該先開啟登錄編輯器並修改登錄,再移除木馬主程式。
修復登錄資料
     這個步驟是假設你在手動移除不成功時的補救方法,例如將正常的檔案關聯破壞,或者造成無法上網。這時匯入之前備份的登錄檔再繼續研究修改。
     首先開啟regedit,然後選擇匯入剛剛備份的檔案。
修復系統配置檔案
     木馬通常會修改三個系統配置:Autoexec.bat、System.ini、Win.ini。移除木馬時必須也移除這些內容,否則Windows在啟動的時候會出現Error Messenge
     方法有兩種:
           使用【系統公用設定程式】編輯系統配置檔案(Windows 2000沒有系統供用設定程式,可將Msconfig複製過來就可以進行設定)
                 執行msconfig,將SYSTEM.INI頁籤裡面,[boot]取消勾選確定即可。
           使用【文字編輯】編輯系統配置檔案
                 開啟system.ini,將[boot]下的文字移除存檔即可。
中斷木馬正在執行的處理程序或重新啟動電腦
     中斷:使用裝置管理員將程序中斷
刪除木馬的主程式或還原系統檔案
     一些比較進階的木馬程式並不會以獨立的方式出現,會附加在系統檔案上,因此有時候使用者會誤殺而造成系統問題,所以這個時候只好使用
     【Windows檔案保護】。執行『sfc.exe /scannow』,他會搜尋被修改過的系統檔案,然而必須放入當初安裝的Windows光碟才可以進行。


獻花 x0 回到頂端 [4 樓] From:臺灣臺北市 | Posted:2007-08-20 19:19 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.051737 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言