標題標題  顯示論壇會員列表名單  搜索論壇搜索  HelpHelp
  注冊注冊  登入登入
電腦綜合討論區
 DoReMe : 電腦綜合討論區
主題 話題: 「木馬」萬能查殺法和清除法除法! 回復發表新主題
作者
貼子內容 << Prev Topic下一個主題 >>
qqooo
Groupie
Groupie


加入: 2004/5月/22
Online Status: Offline
回復: 44
Posted: 2004/5月/22 1:24下午 | IP記錄 引用 qqooo

1。「木馬」萬能查殺法。
很多對安全知識瞭解不多的菜鳥們,在計算機中了「木馬」之後就束手無策了。雖然現在市面上有很多新版殺毒軟件都可以自動清除大部 分「木馬」,但它們並不能防範新出現的「木馬」程 序。因此,查殺木馬,最關鍵的還是要知道「木馬」的工作原理。相信你看了這篇文章之後,就會 成為一名查殺「木馬」的高手了。

「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。只要把form的Visible屬性 設為False,ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設 為「系統服務」可以很輕鬆地偽裝自己。當然它也會悄無聲息地啟動,黑客當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端 ,「木馬」會在
每次用戶啟動時自動裝載。Windows系統啟動時自動加載應用程序的方法,「木馬」都會用上,如:啟動組、Win.ini、S ystem.ini、註冊表等都是「木馬」藏身的好地方。

下面具體談談「木馬」是怎樣自動加載的。在Win.ini文件中,在[WINDOWS]下面,「run=」和 「load=」是可能加載「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面應該什麼都沒有,如果發現後面跟有 路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成 command.exe(真正的系統文件為command.com)文件,如果不注意可能不會發現它不是真正的系統啟動文件(特 別是在Windows窗口下)。

在System.ini文件中,在[BOOT] 下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而 是「shell= explorer.exe程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。註冊表中的情況最複雜 ,通過regedit命令打開註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINESoftwareMicroso ftWindowsCurrentVersionRun」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE, 這裡切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun」下的Explorer鍵值改為Explor er= 「C:WINDOWSexpiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在 註冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENTUSERSoftwareMicrosoftWi ndowsCurrentVersionRun」、「HKEY-USERS****SoftwareMicrosoftWind owsCurrentVersionRun」的目錄下都有可能,最好的辦法就是在「HKEY-
LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun」下找到「木 馬」程序的文件名,再在整個註冊表中搜索即可。

知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最有效的方法就是馬上將計算機與網絡斷開,防止 黑客通過網絡對你進行攻擊。然後編輯win.ini文件,將[WINDOWS] 下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」;編輯system.ini文 件,將[BOOT] 下面的「shell=『木馬』文件」,更改為:「shell=explorer.exe」;在註冊表中,用regedit對註冊 表進行編輯,先在「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVe rsionRun」下找到「木馬」程序的文件名,再在整個註冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木馬」 程序並不是直接 將「HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRu n」下的「木馬」鍵值刪除就行了,因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上 ,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啟動計算機,然後再到註冊 表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了。

2。發現病毒, 無法清除怎麼辦?


Q:發現病毒,但是無論在安全模式還是Windows下都無法清除怎麼辦?

A:由於某些目錄和文件的特殊性,無法直接清除(包括安全模式下殺毒等一些方式殺毒),而需要某些特殊手段清除的帶毒文件。以下 所說的目錄均包含其下面的子目錄。

1、帶毒文件在\Temporary Internet Files目錄下。

由於這個目錄下的文件,Windows會對此有一定的保護作用(未經證實)。所以對這個目錄下的帶毒文件即使在安全模式下也不能 進行清除,對於這種情況,請先關閉其他一些程序軟件,然後打開IE,選擇IE工具欄中的"工具"\"Internet選項",選 擇"刪除文件"刪除即可,如果有提示"刪除所有脫機內容",也請選上一併刪除。

2、帶毒文件在\_Restore目錄下,或者System Volume Information目錄下。

這是系統還原存放還原文件的目錄,只有在裝了Windows Me/XP操作系統上才會有這個目錄,由於系統對這個目錄有保護作用。對於這種情況需要先取消"系統還原"功能,然後將帶毒文件 刪除,甚至將整個目錄刪除也是可以的。 關閉系統還原方法。WindowsMe的話,禁用系統還原,DOS下刪除。具體請參考下文:
http://community.rising.com.cn/Forum/msg_read.asp?FmID=33&am p;SubjectID=2028691&page=1。XP關閉系統還原的方法:右鍵單擊「我的電腦」,選「屬性」— —「系統還原」——在「在所有驅動器上關閉系統還原」前面打勾——按「確定」退出。

3、帶毒文件在.rar、.zip、.cab等壓縮文件中。

現今能支持直接查殺壓縮文件中帶毒文件的反病毒軟件還很少,即使有也只能支持常用的一些壓縮格式;所以,對於絕大多數的反病毒軟 件來說,最多只能檢查出壓縮文件中的帶毒文件,而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。

要清除壓縮文件中的病毒,建議解壓縮後清除,或者借助壓縮工具軟件的外掛殺毒程序的功能,對帶毒的壓縮文件進行殺毒。

4、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中。

這種病毒一般是引導區病毒,報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒只是存在於移動存儲設備(如軟盤、閃存盤、 移動硬盤)上,就可以借助本地硬盤上的反病毒軟件直接進行查殺;如果這種病毒是在硬盤上,則需要用乾淨的可引導盤啟動進行查殺。

對於這類病毒建議用乾淨軟盤啟動進行查殺,不過在查殺之前一定要備份原來的引導區,特別是原來裝有別的操作系統的情況,如日文W indows、Linux等。

如果沒有乾淨的可引導盤,則可使用下面的方法進行應急殺毒:
(1) 在別的計算機上做一張乾淨的可引導盤,此引導盤可以在Windows 95/98/ME系統上通過"添加/刪除程序"進行製作,但要注意的是,製作軟盤的操作系統須和自己所使用的操作系統相同;
(2) 用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:\>fdisk/mbr
A:\>sys a: c:
如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麼直接刪除即可。這是系統在安裝的時候對硬盤引導 區做的一個備份文件,一般作用不大,病毒在其中已經不起作用了。

5、帶毒文件的後綴名是.vir、.kav、.kbk等。

這些文件一般是一些防毒軟件對原來帶毒的文件做的備份文件,一般情況下,如果確認這些文件已經無用了,那就將這些文件刪除即可。

6、帶毒文件在一些郵件文件中,如dbx、eml、box等。

有些防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒,但往往不能對這些帶毒的文件直接的進行操作,對於一些郵箱中的帶毒的信 件,可以根據防毒軟件提供的信息找到那帶毒的信件,刪除信件中的附件或者刪除該信件;如果是eml、nws一些信件文件帶毒,可 以用相關的郵件軟件打開,確認該信件及其附件,然後刪除相關內容。一般有大量的eml、nws的帶毒文件的話,都是病毒自動生成 的文件,建議都直接刪除。

7、文件中有病毒的殘留代碼。

這種情況比較多見的就是帶有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro 等文檔中的宏病毒)和個別網頁病毒的殘留代碼,通常防毒軟件對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是int、ap p等結尾,而且並不常見,如W32/FunLove.app、W32.Funlove.int。一般情況下,這些殘留的代碼不會 影響正常程序的運行,也不會傳染,如果需要徹底清除的話,要根據各個病毒的實際情況進行清除。

8、文件錯誤。

這種情況出現的並不多,通常是某些防毒軟件將原來帶毒的文件並沒有很乾淨地清除病毒,也沒有很好的修覆文件,造成文件無法正常使 用,同時造成別的防毒軟件的誤報。這些文件可以直接刪除。

9、加密的文件或目錄。

對於一些加密了的文件或目錄,請在解密後再進行病毒查殺。

10、共享目錄。

這裡包括兩種情況:本地共享目錄和網絡中遠程共享目錄(其中也包括映射盤)。遇到本地共享的目錄中的帶毒文件不能清除的情況,通 常是局域網中別的用戶在讀寫這些文件,殺毒的時候表現為無法直接清除這些帶毒文件中的病毒,如果是有病毒在對這些目錄在寫病毒操 作,表現為對共享目錄進行清除病毒操作後,還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況,都建議取消共享,然後針 對共享目錄進行徹底查殺,恢復共享的時候,注意不要開放太高的權限,並對共享目錄加設密碼。對遠程的共享目錄(包括映射盤)查殺 病毒的時候,首先要保證本地計算機的操作系統是乾淨的,同時對共享目錄也有最高的讀寫權限。如果是遠程計算機感染病毒的話,建議 還是直接在遠程計算機進行查殺病毒。特別的,如果在清除別的病毒的時侯都建議取消所有的本地共享,再進行殺毒操作。在平時的使用 中,也應注意共享目錄的安全性,加設密碼,同時,非必要的情況下,不要直接讀取遠程共享目錄中的文件,建議拷貝到本地檢查過病毒 後再進行操作。

11、光盤等一些存儲介質。

對於光盤上帶有的病毒,不要試圖直接清除,這是神仙也做不到的事情。同時,對另外一些存儲設備查殺病毒的,也需要注意其是否處於 寫保護或者密碼保護狀態。

Back to Top 查看 qqooo's 資料 搜索其他貼子 qqooo 訪問 qqooo's
 

如果你想回復的話你必須首先 login
如果你還沒有注冊的話你必須首先 注冊

  回復發表新主題
顯示可打印的頁面 顯示可打印的頁面

論壇跳轉
不能 張貼新論題在這個討論版
不能 回應論題在這個討論版
不能 刪除你的發言在這個討論版
不能 編輯你的發言在這個討論版
不能 新增投票標題在這個討論版
不能 在這個討論版投票

Edit by doreme Forums version 2004
Welcome ©2001-2004 doreme Guide

This page was generated in 0.8906 seconds.

 
保養品
保養品, Skin Care
www.elady.tw
Makeups Wholesale
Wholesale Cosmetics SkinCares
lungjyi.com
保養品批發
名牌保養品、保養品批發
www.perfume.com.tw/skincare
Wholesale Perfumes
Fragrances Perfumes Wholesale
lungjyi.net