- 1PS提示:因為圖層已鎖定,無法編輯圖層的處理方法
- 2picacg蘋果版怎么找不到|picacg ios版是不是下架了介紹
- 3Adobe Illustrator CS5 序列號大全
- 4ACDsee注冊碼免費分享(含ACDsee18、ACDsee10等版本)
- 5Potato(土豆聊天)怎么換頭像|Potato app更改頭像方法介紹
- 6PDF瀏覽器能看3D文件嗎?PDF瀏覽器看3D文件圖文詳細教程
- 7Potato(馬鈴薯聊天)怎么注冊不了|Potato不能注冊處理方法介紹
- 8最新的Adobe Illustrator CS4序列號大全
- 9Intel i7-9700K性能跑分曝光:同代提升約12%
- 10XP系統怎么清除緩存?
- 11Intel Z390主板有望10月8日公布:8核9代酷睿隨后登場
- 12XP系統安裝chrome無法找到入口怎么處理?
[摘要]特洛伊木馬一個遠程控制的黑客工具,它具有非常嚴重的隱藏性和危害性。那么,在經典的Windowsxp系統下,我們要如何清除這個特洛伊木馬呢?接下來,小編就為大家介紹xp系統下手動清除特洛伊木馬的方法。...
特洛伊木馬一個遠程控制的黑客工具,它具有非常嚴重的隱藏性和危害性。那么,在經典的Windowsxp系統下,我們要如何清除這個特洛伊木馬呢?接下來,小編就為大家介紹xp系統下手動清除特洛伊木馬的方法。
木馬藏身地及通用排查技術
●在Win.ini中啟動木馬:
在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=C:Windows ile.exe
load=C:Windows ile.exe
則這個file.exe很有可能就是木馬程序。
●在Windows XP注冊表中修改文件關聯:
修改注冊表中的文件關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關聯木馬,則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt文件時,原本應該用記事本打開的文件,現在就成了啟動木馬程序了。當然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標,要小心。
對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
●在Windows XP系統中捆綁木馬文件:
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起,上傳到服務端覆蓋原有文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被重新安裝了。如果捆綁在系統文件上,則每次Windows XP啟動都會啟動木馬。
●在System.ini中啟動木馬:
System.ini中的[boot]小節的shell=Explorer.exe是木馬喜歡的藏身之所,木馬通常的做法是將該語句變為這樣:
Shell=Explorer.exe file.exe
這里的file.exe就是木馬服務端程序。
另外,在[386enh]小節,要注意檢查在此小節的“driver=path程序名”,因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節也是要加載驅動程序的,所以也是添加木馬的理想場所。
●利用Windows XP注冊表加載運行:
注冊表中的以下位置是木馬偏愛的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。
●在Autoexec.bat和Config.sys中加載運行木馬:
要建立控制端與服務端的連接,將已添置木馬啟動命令的同名文件上傳到服務端覆蓋著兩個文件才能以這種方式啟動木馬。不過不是很隱蔽,所以這種方式并不多見,但也不能掉以輕心。
●在Winstart.bat中啟動木馬:
Winstart.bat也是一個能自動被Windows XP加載運行的文件,多數時由應用程序及Windows自動生成,在執行了Win.com或者Kernel386.exe,并加載了多數驅動程序之后開始執行(這可以通過在啟動時按F8選擇逐步跟蹤啟動過程的啟動方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運行。
木馬病毒的通用排查技術
現在,我們已經知道了木馬的藏身之處,查殺木馬自然就容易了。如果您發現計算機已經中了木馬,最安全最有效的方法就是馬上與網絡段開,防止計算機駭客通過網絡對您進行攻擊,執行如下步驟:
編輯Win.ini文件,將[Windows]小節下面的“run=木馬程序”或“load=木馬程序”更改為“run=”,“load=”。
編輯System.ini文件,將[boot]小節下面的“shell=木馬文件”更改為“shell=Explorer.exe”。
在Windows XP注冊表中進行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程序的文件名刪除,并在整個注冊表中查找木馬程序,將其刪除或替換。但可惡的是,并不是所有的木馬程序都只要刪除就能萬事大吉的,有的木馬程序被刪除后會立即自動添上,這時,您需要記下木馬的位置,即它的路徑和文件名,然后退到DOS系統下,找到這個文件并刪除。重啟計算機,再次回到注冊表中,將所有的木馬文件的鍵值項刪除。
xp系統清除特洛伊木馬的方法就為大家介紹到這里了。木馬在無形中進入系統,很多用戶都是無法察覺的,我們只有花更多的時間和耐心去排查,將這個隱藏在系統內的地雷排掃掉,保障系統的安全性。
Windows XP服役時間長達13年,產生的經濟價值也較高。2014年4月8日,微軟終止對該系統的技術支持,但在此之后仍在一些重大計算機安全事件中對該系統發布了補丁。
推薦資訊 總人氣榜
最新教程 本月人氣
- 1MySQL event 計劃任務淺析
- 2MySQL基礎圖文詳細教程mysql5.7.18安裝與連接
- 3SQL計算timestamp的差值案例分享
- 4Mysql怎么繞過未知字段名詳細說明
- 5mysql 觸發器用法案例分享
- 6Linux下刪除MySQL數據庫案例圖文詳細教程
- 7Linux下MySQL5.7.18 yum方式從刪除到安裝圖文詳細說明
- 8mysql 的replace into詳細說明
- 9MySQL 5.5 range分區增加刪除處理案例詳細說明
- 10MySQL在cmd與python下的常用設置解析
- 11MySql5.7.18字符集設置圖文案例分享
- 12MySQL打開慢查詢日志的方法詳細說明
- 1autocad20073維制圖圖文詳細教程:畫容易的彈簧
- 2防范SQL注入的5種完成方式
- 32015年10月6日愛奇藝會員賬號共享 優酷會員賬號共享 迅雷會員vip賬號分享
- 4cad2007畫橄欖球的2種方法
- 5cad2007繪制廚房用的水槽的圖文詳細教程
- 6cad3維制圖圖文詳細教程:曲線彈簧的畫法
- 7有什么技巧可以提高AutoCAD2007的繪圖效率?
- 8AutoCAD 2007裁剪范圍外對象的圖文詳細教程
- 9AutoCAD 2007選擇編輯的使用技巧
- 103星galaxy a9多少錢 3星galaxy a9價格
- 11XP電腦恢復出廠設置的方法
- 12轉:Java技術版主Jeru在IBM的DevelopWorks發表的對于設模的文章
