木马常识和预防技巧.docx

资源描述

木马常识和预防技巧.docx

《木马常识和预防技巧.docx》由会员分享，可在线阅读，更多相关《木马常识和预防技巧.docx（12页珍藏版）》请在冰豆网上搜索。

木马常识和预防技巧.docx

木马常识和预防技巧

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。

它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。

木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。

木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

木马通常有两个可执行程序：

一个是客户端，即控制端，另一个是服务端，即被控制端。

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了！

随着微软的操作系统从Win9X过渡到WinNT系统（包括2000/xp/2003），微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来（在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器），这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library（动态链接库）的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。

DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。

所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。

如果那个进程是可信进程（例如资源管理器Explorer.exe），那么就没人会怀疑DLL文件也是个木马了。

从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

下面，反病毒专家来为您讲解发现木马的技巧。

输入cmd\回车，再输入cd C:

\Windows\System32回车，这就转换目录到了System32目录（要还是不知道怎么进入的，请参看DOS的cd命令的使用），输入命令：

dir *.exe出现DOS命令行模式输入cmd回车运行在WinNT系统，DLL木马一般都藏在System32目录下（因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了），针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录：

点击开始>exebackup.txt & dir *.dll>dllbackup.txt回车。

这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。

日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt（使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到different.txt中），这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。

最后，防治木马的危害，专家建议大家应采取以下措施：

第一，安装反病毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，使用安全性比较好的浏览器和电子邮件客户端工具。

第四，操作系统的补丁要经常进行更新。

第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

100%预防U盘病毒

原理分析：

U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的。

预防措施：

1.在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器（开始-所有程序-附件-windows资源管理器）将其打开，或者使用快捷键winkey+E打开资源管理器后，现选择可移动设备！

2.自己手动在各个盘符的根目录下面创建autorun.inf文件夹或文件.这招对付autorun之类的病毒应该管用，偶现在在使用！

根据在同一个目录下面不能创建两个相同的文件原理,病毒如果要创建其自身的autorun文件将不能成功！

3.关闭系统的自动播放功能，方法：

运行组策略编辑工具gpedit.msc，找到用户配置选项，选择管理模板子项下面的系统选项，在旁边的对话框中选择“关闭自动播放”，右键选择属性选项，将其设置为已启用，还要在下面的选项里面设置为关闭所有驱动器的自动播放，默认情况下只关闭了CD-ROM的自动播放功能。

应用批处理100%防U盘病毒及解决系统重装后二次中毒的问题

下列红色虚线中的代码复制到记事本保存后将扩展名改为.bat 双击运行即可。

注意：

如果是中毒后重新安装系统，在系统安装完毕进入windows后首先运行此文件即可避免二次中毒。

--------------------------------------------------------------------

@echo off

REM 以下目的为删除所有分区根目录autorun文件，解决双击打不开分区问题。

del c:

\autorun.inf /f/q/as

del d:

\autorun.inf /f/q/as

del e:

\autorun.inf /f/q/as

del f:

\autorun.inf /f/q/as

del g:

\autorun.inf /f/q/as

del h:

\autorun.inf /f/q/as

del i:

\autorun.inf /f/q/as

REM 以下目的为达到100%防基于autorun.inf原理传播的木马病毒，能够预防通过移动存储设备传播的木马病毒及重装系统后二次中毒的问题。

md c:

\autorun.inf

md d:

\autorun.inf

md e:

\autorun.inf

md f:

\autorun.inf

md g:

\autorun.inf

md h:

\autorun.inf

md i:

\autorun.inf

@echo 程序已成功执行

pause

病毒的启动方式（包括run/load/shell/Winlogon等）

一、经典的启动——“启动”文件夹单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。

最常见的启动位置如下：

当前用户：

\Documents and Settings\用户名\「开始」菜单\程序\启动>

所有用户：

\Documents and Settings\All Users\「开始」菜单\程序\启动>

二、有名的启动——注册表启动项

注册表是启动程序藏身之处最多的地方，主要有以下几项：

1.Run键

Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_

USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_

LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。

还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Policies\Explorer\Run]，也要仔细查看。

2.RunOnce键

RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\RunOnce]键，与Run不同的是，RunOnce下的程序仅会被自动执行一次。

3.RunServicesOnce键

RunServicesOnce键位于[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下，其中的程序会在系统加载时自动启动执行一次。

4.RunServices键

RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\RunServices]和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices]键。

5.RunOnceEx键

该键是Windows XP/2003特有的自启动注册表项，位于[HKEY_

CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnceEx]。

6.load键

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。

7.Winlogon键

该键位于位于注册表[HKEY_CURRENT_USER\SOFTWARE\

Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。

8.其他注册表位置

还有一些其他键值，经常会有一些程序在这里自动运行，如：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]

小提示

★注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别：

前者对所有用户有效，后者只对当前用户有效。

三、古老的启动——自动批处理文件

从DOS时代过来的朋友肯定知道autoexec.bat（位于系统盘根目录）这个自动批处理文件，它会在电脑启动时自动运行，早期许多病毒就看中了它，使用deltree、format等危险命令来破坏硬盘数据。

如“C盘杀手”就是用一句“deltree /y c:

\*.*”命令，让电脑一启动就自动删除C盘所有文件，害人无数。

小提示

★在Windows 98中，Autoexec.bat还有一个哥们——Winstart.bat文件，winstart.bat位于Windows文件夹，也会在启动时自动执行。

★在Windows Me/2000/XP中，上述两个批处理文件默认都不会被执行。

四、常用的启动——系统配置文件

在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。

1.Win.ini文件

使用“记事本”打开Win.ini文件，在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序，只要程序名称及路径写在“＝”后面即可。

小提示

“load=”后面的程序在自启动后最小化运行，而“run=”后程序则会正常运行。

2.System.ini文件

使用“记事本”打开System.ini文件，找到[boot]段下“shell=”语句，该语句默认为“shell= Explorer.exe”，启动的时候运行Windows外壳程序explorer.exe。

病毒可不客气，如“妖之吻”病毒干脆把它改成“shell =c:

\yzw.exe”，如果你强行删除“妖之吻”病毒程序yzw.exe，Windows就会提示报错，让你重装Windows，吓人不？

也有客气一点的病毒，如将该句变成“shell=Explorer.exe 其他程序名”，看到这样的情况，后面的其他程序名一定是病毒程序如所示。

3.wininit.ini

wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件，因为该文件在Windows启动时自动执后会被自动删除，这就是说该文件中的命令只会自动执行一次。

该配置文件主要由软件的安装程序生成，对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。

若其被病毒写上危险命令，那么后果与“C盘杀手”无异。

小提示

★如果不知道它们存放的位置，按F3键打开“搜索”对话框进行搜索；

★单击“开始→运行”，输入sysedit回车，打开“系统配置编辑程序”，如图2所示，在这里也可以方便的对上述文件进行查看与修改。

五、智能的启动——开/关机/登录/注销脚本

在Windows 2000/XP中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→用户配置→管理模板→ 系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就显示了自启动的程序。

六、定时的启动——任务计划

在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。

如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。

通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。

大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。

小提示:

★“任务计划”也是一个特殊的系统文件夹，单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹，从而方便进行查看和管理。

七、跟着别人的启动——随软件开启的程序。

加载dll文件失败的解决办法

1、点击“开始”－“运行”在“打开”对话框中输入"regedit"回车，打开注册表编辑器。

（建议:

在继续以下操作之前备份一下注册表，方法:

“文件”菜单中的“导出”即可，如果进行到第5步重启系统后系统发生故障,则双击运行导出的备份文件即可恢复.）

2、然后单击“编辑”菜单，选择“查找（F）...“，或者使用F3。

打开查找对话框。

3、在查打目标中输入加载失败的dll文件的名称（如:

rvewn.dll ）回车，找到这个注册表项。

4、然后右键单击这个项，在弹出的快捷菜单中选择“删除”单击“是”再按F3多找找，把所有查找出来的项删除。

5、关闭注册表，重启系统。

可以解决问题。

预防“熊猫烧香”系列病毒

最近，一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言，在人们心目中，“熊猫”这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。

“熊猫烧香”蠕虫不但可以对用户系统进行破坏，导致大量应用软件无法使用，而且还可删除扩展名为gho的所有文件，造成用户的系统备份文件丢失，从而无法进行系统恢复；同时该病毒还能终止大量反病毒软件进程，大大降低用户系统的安全性。

这几天“熊猫烧香”的变种更是表象异常活跃，近半数的网民深受其害。

用户除了可以从

【专家总结】

1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。

修改方法：

右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。

2、利用组策略，关闭所有驱动器的自动播放功能。

步骤：

单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。

最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。

3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。

步骤：

打开资源管理器（按windows徽标键＋E），点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。

4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。

5、启用防火墙保护本地计算机。

对于未感染的用户，专家建议，不要登陆不良网站，及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑，同时上网时应采用“杀毒软件+防火墙+卡卡助手”的立体防御体系。

如何手动清除病毒

发现病毒，无法清除怎么办？

Q：

发现病毒，但是无论在安全模式还是Windows下都无法清除怎么办？

A：

由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。

1、带毒文件在\Temporary Internet Files目录下。

由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。

所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具"\"Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。

2、带毒文件在\_Restore目录下，或者System Volume Information目录下。

这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。

对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。

关闭系统还原方法。

WindowsMe的话，禁用系统还原，DOS下删除。

XP关闭系统还原的方法：

右键单击“我的电脑”，选“属性”--“系统还原”--在“在所有驱动器上关闭系统还原”前面打勾--按“确定”退出。

3、带毒文件在.rar、.zip、.cab等压缩文件中。

现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。

而且有些加密了的压缩文件就更不可能直接清除了。

要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。

这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。

如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。

对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：

（1）在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通过"添加／删除程序"进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；

（2）用这张软盘引导启动带毒的计算机，然后运行以下命令：

\>fdisk/mbr

展开阅读全文