剖析木马加载方式以及破解方案

安全
网络是互联的,当你从中获取资源之时也要经受其中的考验,木马程序会修改并破坏电脑的系统与相关文件,所以你要了解其木马加载方式以及破解方案。

下面的文章主要就是对木马加载方式的描述,其加载方式主要有定位于System.ini与Win.ini文件,隐藏在注册表中(此方式最为隐蔽)。这两种,以下的文章就是这两种方式的破解,以下就是文章的主要内容讲述。

 

加载方式:定位于System.ini和Win.ini文件

System.ini(位置C:\windows\)

[boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。

[boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。

Win.ini(位置C:\windows\)

[windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动木马加载项。

[windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。

解决办法:

执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。

加载方式:隐藏在注册表中(此方式最为隐蔽)。

注意以下注册表项:HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\

原始数值数据:"%1"%?

被修改后的数值数据:C:\system\xxx.exe "%1"%?

原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:\system\xxx.exe这个程序。

例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被木马加载了。

解决办法:

当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。

所谓“病从口入”感染源还是在于木马加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。

可以借助一些软件来狙击木马,如:The Cleaner、Trojan Remover等。建议经常去微软网站下载补丁包来修补系统;及时升级病毒库。

【编辑推荐】

  1. 需要关注的十大安全技巧之:用***的浏览器
  2. 需要关注的十大安全技巧之:避免社交工程危害
  3. 需要关注的十大安全技巧之:轻松对付恶意软件
  4. 需要关注的十大安全技巧之:避免网络钓鱼陷阱
  5. 需要关注的十大安全技巧之:清除顽固的感染

 

 

 

 

责任编辑:佚名 来源: 51CTO.com
相关推荐

2010-05-06 20:45:37

2010-09-09 23:14:45

2015-05-20 10:29:15

2015-11-09 10:09:12

2010-08-05 09:59:47

DB2常见错误

2013-06-08 10:41:51

2013-08-19 15:14:02

2015-06-16 09:56:44

2010-09-08 12:43:31

“隐形”木马启动

2010-10-20 15:28:39

ZeuS木马僵尸网络

2009-05-18 09:31:00

2010-08-12 13:25:46

Flex验证方式

2010-06-09 16:46:37

MySQL 乱码处理

2017-09-08 10:45:52

Linux排错方案root口令

2010-05-18 16:50:58

MySQL root

2010-01-27 16:41:43

2010-05-28 15:37:36

MySQL中文显示

2015-09-08 09:30:40

2023-07-12 16:13:01

2012-02-08 09:53:25

Java反射
点赞
收藏

51CTO技术栈公众号