很多對安全知識了解不多的菜鳥們在計算機中了木馬之後就束手無策了雖然現在市面上有很多新版殺毒軟件都可以自動清除大部分木馬但它們並不能防范新出現的木馬程序因此查殺木馬最關鍵的還是要知道木馬的工作原理相信你看了這篇文章之後就會成為一名查殺木馬的高手了
木馬程序會想盡一切辦法隱藏自己主要途徑有:在任務欄中隱藏自己這是最基本的辦法只要把Form的Visible屬性設為FalseShowInTaskBar設為False程序運行時就不會出現在任務欄中了在任務管理器中隱形:將程序設為系統服務可以很輕松地偽裝自己當然它也會悄無聲息地啟動黑客當然不會指望用戶每次啟動後點擊木馬圖標來運行服務端木馬會在
每次用戶啟動時自動裝載Windows系統啟動時自動加載應用程序的方法木馬都會用上如:啟動組WininiSystemini注冊表等都是木馬藏身的好地方
下面具體談談木馬是怎樣自動加載的在Winini文件中在[WINDOWS]下面run=和load=是可能加載木馬程序的途徑必須仔細留心它們一般情況下它們的等號後面應該什麼都沒有如果發現後面跟有路徑與文件名不是你熟悉的啟動文件你的計算機就可能中木馬了當然你也得看清楚因為好多木馬如AOLTrojan木馬它把自身偽裝成commandexe(真正的系統文件為)文件如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)
在Systemini文件中在[BOOT]下面有個shell=文件名正確的文件名應該是explorerexe如果不是explorerexe而是shell=explorerexe程序名那麼後面跟著的那個程序就是木馬程序就是說你已經中木馬了注冊表中的情況最復雜通過regedit命令打開注冊表編輯器在點擊至:HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun目錄下查看鍵值中有沒有自己不熟悉的自動啟動文件擴展名為EXE這裡切記:有的木馬程序生成的文件很像系統自身文件想通過偽裝蒙混過關如AcidBatteryv木馬它將注冊表HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的Explorer鍵值改為Explorer=C:WINDOWSexpiorerexe木馬程序與真正的Explorer之間只有i與l的差別當然在注冊表中還有很多地方都可以隱藏木馬程序如:HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunHKEYUSERS****SoftwareMicrosoftWindowsCurrentVersionRun的目錄下都有可能最好的辦法就是在HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木馬程序的文件名再在整個注冊表中搜索即可
知道了木馬的工作原理查殺木馬就變得很容易如果發現有木馬存在最有效的方法就是馬上將計算機與網絡斷開防止黑客通過網絡對你進行攻擊然後編輯winini文件將[WINDOWS]下面run=木馬程序或load=木馬程序更改為run=和load=;編輯systemini文件將[BOOT]下面的shell=木馬文件更改為:shell=explorerexe;在注冊表中用regedit對注冊表進行編輯先在HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木馬程序的文件名再在整個注冊表中搜索並替換掉木馬程序有時候還需注意的是:有的木馬程序並不是直接將HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun下的木馬鍵值刪除就行了因為有的木馬如:BladeRuer木馬如果你刪除它木馬會立即自動加上你需要的是記下木馬的名字與目錄然後退回到MSDOS下找到此木馬文件並刪除掉
From:http://tw.wingwit.com/Article/os/xtgl/201404/30358.html
