用户 密码
太平洋系列网站:太平洋汽车网 | 太平洋游戏网
首  页 | 今日报价 | 科技动态 | 数码世界 | 硬件资讯 | 软件资讯 | 下载中心 | 通讯世界 论  坛 | 产品大全 | 导购大全 | 渠道商情 | 解决方案 | 招聘培训 | 产品调查 | 评 测 室
各地今日报价 北京 广州 上海 深圳 南宁 重庆 山东 南京 香港

-
您现在的位置:软件资讯 > 软件应用 > 杀毒专区 > 教你一招
浅谈木马的加载方式


责任编辑:chenyong

[04-3-3 10:00] 作者:倪京辉
  网络是互联的,当你从中获取资源的同时,也要经受其中的考验,木马程序会修改并破坏电脑的系统和文件,除了安装杀毒软件(包括防火墙)外,还应该尽可能地掌握系统文件知识。下面简单介绍一下木马的加载方式:

  加载方式:定位于System.ini和Win.ini文件

  System.ini(位置C:\windows\)

  [boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。

  [boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。

  Win.ini(位置C:\windows\)

  [windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。

  [windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。

  解决办法:

  执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。

  加载方式:隐藏在注册表中(此方式最为隐蔽)。

  注意以下注册表项:HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\

  原始数值数据:"%1"%

  被修改后的数值数据:C:\system\xxx.exe "%1"%

  原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:\system\xxx.exe这个程序。

  例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被加载了。

  解决办法:

  当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。

  所谓“病从口入” 感染源还是在于加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。

  可以借助一些软件来狙击木马,如:The Cleaner、Trojan Remover等。建议经常去微软网站下载补丁包来修补系统;及时升级病毒库。


察看评论详细内容 我要发表评论
作者笔名 简短内容 发表时间
:


ad
发给好友 投稿给我们 加入收藏 返回顶部

相关文章:
彻底摆脱三种弹出窗口的烦恼
让邮件释放多占的空间
巧用Windows 2003构筑校园网服务器防火墙
避免安装Office 2003时假死
美女图片病毒(传奇女贼)档案
Windows 98也能预览影音文件
警报:美女图片隐藏病毒 导致多种软件无法运行
警报:“SCO炸弹”变种D现身 删除文件后不可恢复
四步打造专业级Flash屏保
用绘画代替聊天,MSN还有多少花样?
IT培训十大热门文章

内容搜索 
高级搜索
本栏今日焦点