《如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.》是一篇好的范文,感觉很有用处,重新编辑了一下发到网络。
公文汇 www.gongwenhui.com
篇一:《计算机病毒》复习思考题2014稿子汇 www.gaozihui.com
2014《计算机病毒》复习思考题
公文汇,办公文档之家
第一手资料:教材、教学PPT 公文汇 www.gongwenhui.com
必读参考资料:
公文汇,办公文档之家
1.金山毒霸2013-2014中国互联网安全研究报告.doc
2.中国互联网站发展状况及其安全报告(2014年).pdf
3.瑞星2014年上半年中国信息安全报告.pdf
4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc
5.★★★木马防治之“葵花宝典”.doc
6.★★★深层病毒防护指南.doc
7.专题:★★★手动杀毒综合篇.doc
8.打造安全U盘(实验).doc
9.打造安全、流畅、稳定的系统.ppt
10.HIPS主机入侵防御系统.ppt
11.关于HOSTS文件.doc
12.病毒触发条件.doc
第一章 计算机病毒概述
1.简述计算机病毒的定义和特征。
2.如何通过病毒的名称识别病毒的类型?
3.计算机病毒有哪些传播途径?
?查找相关资料,试述计算机病毒发展趋势与特点。
?研究计算机病毒有哪些基本原则?搭建病毒分析的环境有哪些方法?
第2章 预备知识
1.硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区?
2.低级格式化、高级格式化的功能与作用是什么?高级格式化(FORMAT)能否清除任何计算机病毒?为什么?
3.DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改?
4.针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改?
第3章 计算机病毒的逻辑结构与基本机制
1.文件型病毒有哪些感染方式?
2.计算机病毒的感染过程是什么?
3.计算机病毒一般采用哪些条件作为触发条件?
?试述计算机病毒的逻辑结构。
第4章 DOS病毒的基本原理与DOS病毒分析
1.试述引导型病毒的启动过程。
2.编写范文写作程序,利用INT 13H实现引导区的备份与恢复。
3.试绘出感染EXE文件的示例病毒exe_v的流程图。
?如何清除引导型病毒?
?试述文件型病毒的基本原理。
第5章 Windows病毒分析
1.脚本病毒有哪些弱点?如何防治和清除脚本病毒?
2.宏病毒采用哪些传播方式?如何防治和清除宏病毒?
?WSH中,Windows和DOS下的文件名分别是什么?如何禁止文件系统对象。
?用VB Script脚本编写解除注册表和任务管理器禁用的脚本文件。试写出其相应的REG、
BAT、INF文件。
?预防恶意网站可采取哪些措施?
?如何手工修复IE?需要用到哪些辅助工具?需要注意哪些问题?
?简述PE病毒的基本原理。
?PE病毒修改PE文件有哪几种方法,写出实现要点。
第6章 网络蠕虫及防治
1.试述蠕虫与病毒的差别和联系。
2.如何预防蠕虫、检测蠕虫?这与预防病毒有什么区别?
3.简述蠕虫的工作方式。
?蠕虫病毒有哪些传播方式?是如何传播的?
?试述手动杀蠕虫的基本步骤。
范文TOP100第7章 特洛伊木马
1.简述特洛伊木马的基本原理。
2.木马有哪些伪装方式、隐藏方式、自动启动方式?
3.如何预防木马?结合木马的藏身之所、隐藏技术,总结清除木马的方法。
?手动查杀木马的主要步骤及系统命令的使用。
?简述木马传播有哪些途径。
?查找相关资料,简述黑客攻击的步骤、应对攻击的方法。
第8章 计算机病毒常用技术综述(略)
第9章 计算机病毒的检测、清除与免疫
1.熟悉各种杀毒软件、病毒防火墙的安装、配置和使用。
2.本章给出了一些病毒预防措施,在单机、网络等特定环境下,如何预防病毒?
3.清除计算机病毒的一般方法和步骤是什么?对清除计算机病毒,你有什么经验和建议?
综合内容:
1.端口、系统服务、系统进程概念。
2.根据自己的实践及查找相关资料,试述实现操作系统长期稳定、流畅运行的方法。
3.上网查阅相关资料,了解计算机主动防御系统。什么是HIPS(主机入侵防御系统),主
要功能是什么?在预防计算机病毒中有何作用。
4.木马、蠕虫实现自启动有哪些方法?
5.常用的病毒分析、手动查杀病毒有哪些工具软件?简述其功能。(包括Windows自带的
及第三方提供的)
6.当Windows下的winlogon.exe或lsass.exe进程被关闭时,系统将进入60秒倒计时,如
何避免重启?
7.简述制作安全U盘的原理与步骤。
8.试述打造安全稳定的操作系统的要点。
9.试从定义、主要特征、传播途径、触发条件、预防措施、清除要点、主动与被动传播、
寄生性与独立性及影响重点等方面,分析病毒、蠕虫、木马的区别与联系。
10.试述广义上的病毒的触发机制及预防措施。
11.试述木马攻击的详细步骤及应对措施。
12.网络查阅相关资料,在Windows操作系统中,试说明hosts文件的工作方式及其作用,在防
治计算机病毒中有何作用。
13.试述检测木马的步骤。
篇二:计算机病毒复习资料 Lect8-PPT补充 自含代码虚拟机(SCCE) 自含代码虚拟机工作起来象一个真正的CPU。一条指令取自内存,由SCCE解码,并被传送到相应的模拟这条指令的例程,下一条指令则继续这个循环。虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码,然后还会包括一个用于模拟每个可能在CPU上执行的指令的例程集。 有限代码虚拟机(LCE) 有限代码虚拟机有点象用于通用解密的虚拟系统所处的级别。LCE实际上并非一个虚拟机,因为它并不真正的模拟指令,它只简单地跟踪一段代码的寄存器内容,也许会提供一个小的被改动的内存地址表,或是调用过的中断之类的东西。选择使用LCE而非更大更复杂的系统的原因,在于即使只对极少数指令的支持便可以在解密原始加密病毒的路上走很远,因为病毒仅仅使用了INTEL指令集的一小部分来加密其主体。 最全面的范文参考写作网站缓冲代码虚拟机(BCE) 缓冲代码虚拟机是SCCE的一个缩略版,因为相对于SCCE它具有较小的尺寸和更快的执行速度。在BCE中,一条指令是从内存中取得的,并和一个特殊指令表相比较。如果不是特殊指令,则它被进行简单的解码以求得指令的长度,随后所有这样的指令会被导入到一个可以通用地模拟所有非特殊指令的小过程中。而特殊指令,只占整个指令集的一小部分,则在特定的小处理程序中进行模拟。 病毒习题补充 什么是宏病毒?其运作原理如何? 答:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。 宏病毒的运作原理:一旦打开感染了宏病毒的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会 “感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 什么是脚本病毒和WSH?二者是何关系? 答:脚本病毒通常是JavaScript代码编写的恶意代码,一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。 WSH全称“Windows Scripting Host”思想汇报专题,是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。 脚本病毒和WSH的关系:WSH是脚本病毒的执行环境 为什么同一个病毒会有多个不同的名称?如何通过病毒的名称识别病毒的类型? 国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则。 1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。 2、蠕虫病毒 蠕虫病毒的前缀是:Worm。 3、木马病毒、黑客病毒 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack。 4、脚本病毒 脚本病毒的前缀是:Script。 5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro。 6、后门病毒 后门病毒的前缀是:Backdoor。 7、病毒种植程序病毒 后门病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。 8.破坏性程序病毒 破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。 9.玩笑病毒 玩笑病毒的前缀是:Joke。 10.捆绑机病毒 捆绑机病毒的前缀是:Binder。 查找相关资料,试述计算机病毒发展趋势与特点。 ? ? ? ? ? ? ?基于Windows的计算机病毒越来越多 计算机病毒向多元化发展 新计算机病毒种类不断涌现,数量急剧增加 计算机病毒传播方式多样化,传播速度更快 计算机病毒造成的破坏日益严重 病毒技术与黑客技术日益融合 更多依赖网络、系统漏洞传播,攻击方式多种多样 硬盘主引导扇区由哪几部分构成?一个硬盘最多可分几个主分区?为什么?Fdisk/mbr命令是否会重写整个主引导扇区? 主引导扇区(Boot Sector)由主引导记录(Master Boot Record,MBR)、主分区表即磁盘分区表(Disk Partition Table,DPT)、引导扇区标记(Boot Record ID/Signature)三部分组成。一个硬盘最多可分为4个主分区,因为主分区表占用64个字节,记录了磁盘的基本分区信息,其被分为4个分区选项,每项16个字节,分别记录了每个主分区的信息。 DOS下的EXE文件病毒是如何获取控制权的?感染EXE文件,需对宿主作哪些修改? 一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下: ①用户点击或系统自动运行HOST程序; ②装载HOST程序到内存; ③通过PE文件中的AddressOfEntryPoint加ImageBase之和,定位第一条语句的位置(程序入口); ④从第一条语句开始执行(这时执行的其实是病毒代码); ⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码;⑥HOST程序继续执行。 文件型病毒有哪些感染方式? a寄生感染: 文件头部寄生 文件尾部寄生 插入感染 逆插入感染 利用空洞——零长度感染 b无入口点感染: 采用入口点模糊(Entry Point Obscuring,EPO)技术 采用TSR病毒技术 c 滋生感染 d链式感染 e OBJ、LIB和源码的感染 计算机病毒的感染过程是什么? 计算机病毒感染的过程一般有三步: (1)当宿主程序运行时,截取控制权;(2)寻找感染的突破口; (3)将病毒代码放入宿主程序 计算机病毒一般采用哪些条件作为触发条件? 病毒采用的触发条件主要有以下几种: 日期触发 感染触发 随机触发 什么是病毒的重定位?病毒一般采用什么方法进行重定位? 回答一:重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。 病毒不可避免也要用到变量(常量),当病毒感染HOST程序后,由于其依附到不同HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。故而获取病毒变量的地址偏移值和利用该值得到病毒变量在内存中的实际地址的过程,就是病毒的重定位。 回答二: call delta;这条语句执行之后,堆栈顶端为delta在内存中的真正地址 delta:pop ebp;这条语句将delta在内存中的真正地址存放在ebp寄存器中?? lea eax,[ebp+(offset var1-offset delta)];这时eax中存放着var1在内存中的真实地址 如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offset var1-offset delta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址。 有时候我们也采用(ebp-offset delta)+offset var1的形式进行变量var1的重定位。 编写程序,利用INT 13H实现引导区的备份与恢复。 备份: DEBUG(回车) 时间触发 启动触发CPU型号/主板型号触发 打开或预览Email附件触发键盘触发访问磁盘次数/调用中断功能触发 -A 100 XXXX:0100 MOV AX,201 XXXX:0103 MOV BX,200 XXXX:0106 MOV CX,1 XXXX:0109 MOV DX,80 XXXX:010C INT 13 XXXX:010E INT 3 XXXX:010F -G=100 -R BX BX 0200:0 -R CX;-D 200 3FF显示Hex,注意标志55AA CX 0001:200 -N BOOT.ZYD -W -Q 恢复: DEBUG(回车) -N BOOT.ZYD -L 200 -A 100 XXXX:0100 MOV AX,0301 XXXX:0103 MOV BX,0200 XXXX:0106 MOV CX,0001 XXXX:0109 MOV DX,0080 XXXX:010C INT 13 XXXX:010E INT 3 XXXX:010F -G=100 如何清除引导型病毒? 在恢复引导区之前,应清除内存中的病毒或使内存中的病毒处于灭活状态。用干净软盘引导启动系统,可以清除内存中的病毒,也可采用如下方法将内存中的病毒灭活: 1.在无毒环境下(例如用无毒的同版本系统盘启动),用无毒的Debug将中断向量表取出存在一个文件中。 2.当内存中有病毒时用上述文件覆盖中断向量表。中断向量表恢复正常,内存中通过修改向量表截流盗取中断向量的病毒将无法再激活。 病毒的清除方法比较简单,将病毒备份的扇区内容或感染前我们主动备份的引导扇区/主引导扇区内容,写入软盘引导扇区/硬盘主引导
PE病毒的感染过程是怎样的?如何判断一个文件是否感染了PE病毒(如Immunity)?针
对你的判断依据,采用何种手段可以更好地隐藏PE病毒?编程修复被Immunity感染的host_pe.exe文件。
PE病毒的感染过程
1.判断目标文件开始的两个字节是否为“MZ”。
2.判断PE文件标记“PE”。
3.判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
4.获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
5.得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置)
6.得到目前最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)
节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。
7.开始写入节表
脚本病毒有哪些弱点?如何防治和清除脚本病毒?
(1)VBS脚本病毒具有如下几个特点:
编写简单 破坏力大 感染力强 传播范围大
病毒源码容易被获取,变种多 欺骗性强
使得病毒生产机实现起来非常容易
(2)针对以上提到的VBS脚本病毒的弱点,可以采用如下集中防范措施:
?
?
?
?
?
?
?
?
?禁用文件系统对象
FileSystemObject 卸载WSH 删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
将WScript.exe更改名称或者删除 自定义安全级别,把与“ActiveX控件及插件”有关的一切设为禁用
禁止OutlookExpress的自动收发邮件功能
显示扩展名,避免病毒利用文件扩展名作文章
安装、使用杀毒软件 将系统的网络连接的安全级别设置至少为“中等”
宏病毒采用哪些传播方式?如何防治和清除宏病毒?
(1)宏病毒的传播方式
在Word或其他Office程序中,宏分成两种
①在某个文档中包含的内嵌宏,如FileOpen宏
②属于Word应用程序,所有打开的文档公用的宏,如AutoOpen宏
Word宏病毒一般都首先隐藏在一个指定的Word文档中,一旦打开了这个Word文档,
宏病毒就被执行,宏病毒要做的第一件事情就是将自己拷贝到全局宏的区域,使得所有打开的文档都可使用这个宏
当Word退出的时候,全局宏将被存储在某个全局的模板文档(.dot文件)中,这个文件的
名字通常是“normal.dot”,即normal模板
如果全局宏模板被感染,则Word再启动的时候将自动载入宏病毒并且自动执行
(2)宏病毒的防御
①禁止运行不安全的宏
②Word被宏病毒感染之后(实际上是Word使用的模板文档被感染),可以将其恢复正常
?
?
?
?退出Word,然后先到C盘根目录下查看是否存在Autoexec.dot文件,如果存在,而你又不知道它是什么时侯出现的,删除之 找到Normal.dot文件,用先前的干净备份替换之或干脆删除之 查看Normal.dot所在目录是否还存在其他模板文件,如果存在且不是你自己拷贝进去的,删除之 重新启动Word,已经恢复正常
预防恶意网站可采取哪些措施?
1、禁止修改注册表。
2、及时打系统补丁,尤其是及时把IE升级到最新版本,可以在很大程度上避免IE漏洞带来的安全隐患。
3、用360浏览器或 Firefox 浏览网页。
4、下载安装微软最新的Microsoft Windows Script,可以很大程度上预防恶意修改。
5、相当多的恶意网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等禁止,或者把WSH(Windows Scripting Host)删除就在很大程度上避免中标。1)禁止脚本运行 2)删除WSH
6、安装杀毒软件并打开网页监控、文件监控和内存监控。
7、把fdisk.exe、deltree.exe、format.com等危险的命令文件改名,以免被恶意代码利用,造成不必要的损失。
8、不要轻易访问浏览一些自己不了解的站点,特别是那些看上去美丽诱人的网址,否则吃亏的往往是我们。
9、为WINDOWS系统文件夹里的HOSTS文件设置只读属性。10、禁止访问已知的恶意网页/站点。
如何预防木马?结合木马的藏身之所、隐藏技术,总结清除木马的方法。
预防木马:1、不要随便打开别人给你发过来的文件,(这个要小心,最好是打开病毒防火墙) 2、不要点一些不健康的网页,因为这些网页是最容易放一些不明的代码,也就是恶意代码;3、就是系统了,你要把你的管理员帐号密码设置的相对麻烦一些,当然要好记咯。长度最好不要小于8位,也不要太长了。也不要太简单。大小写、特别的字符等等都 可以的。还有要关心一些官方网站发布的SP,及时打上SP,网络设置要好一些,不要开一些不必要的通讯端口。总之,自己勤奋一些,养成一个好的上网、护理系统的习惯。手动查杀木马的主要步骤及系统命令的使用。
端口(netstat,FPort)
运行。
简述木马传播途径。
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
途径:1、捆绑欺骗,2.网页木马法。3、QQ冒名欺骗4、邮件冒名欺骗。5、危险下载点。6、文件夹惯性点击。
简述一下多态病毒的六个级别
答:根据病毒使用多态技术的复杂程度,多态病毒大致可以划分为6个级别:
(1)半多态 :病毒拥有一组解密算法,感染的时候从其中随机选择一种算法进行加密和感染。
(2)具有不动点的多态:病毒有一条或几条语句是不变的(把这些不变的语句叫做不动点),其他病毒指令都是可变的。
(3)带有填充物的多态:解密代码中包含一些没有实际用途的代码来干扰分析者的视线。
(4)算法固定的多态:解密代码所使用的算法是固定的,但是实现这个算法的指令和指令的次序是可变的。
(5)算法可变的多态:
使用了上面所有的技术,同时解密的算法也是可以部分或者全部改变的。
(6)完全多态 :算法多态,同时病毒体可以随机分布在感染文件的各个位置,但是在运行的时候能够进行拼装,并且可以正常工作。计算机病毒如何得知一个文件是不是PE文件?
答:最基本、简答的方法就是先看该文件的前两个字节是不是4D5A,如果不是,则已经说明不是PE文件,如果是,那么我们可以再DOS程序头中的偏移3CH处的四个字节找到PE字串的偏移位置(e_ifanew)。然后察看该偏移位置的四个字节是否是50\45\00\00,如果不是,说明不是PE文件,如果是,那么我们认为它是一个PE文件。当然为了准确还需要再加上其它一些判断条件。实际内存地址=基地址(即ImageBase值)+相对虚地址(RVA)。
节表起始位置=Directory(数据目录)的偏移地址+数据目录占用的字节数;
最后节表的末尾偏移(紧接其后用于写入一个新的病毒节)=节表起始位置+节的个数*(每个节表占用的字节数)。
简述一下嵌入文件的隐藏技术。
宏病毒的隐藏技术比引导型病毒要简单很多,只要在Word/Excel中禁止菜单:“文件”—>“模板”或者“工具”—>“宏”就可以隐藏病毒了,可以通过宏病毒代码删除菜单项,或者宏病毒用自己的File Templates和ToolsMacro宏替代体统缺省的宏。
当然,宏病毒还有其他一些隐藏技术,这在前面宏病毒一节已经有所介绍。还有一些高级的病毒隐藏技术,需要大家细细揣摩。除了宏病毒,由于现在各种格式文件之间的交叉引用越来越多,例如在Word文档中插入恶意图片,或者将JavaScript恶意代码插入PDF文档,并在打开文档时运行中。利用这样的方式,就可以很好地隐藏恶意代码,并完成恶意行为,而不被用户感知。
阐述计算机病毒的检测方法?并分析哪种检测方法是最有效的?
特征码检测法、校验和检测法、感染实验法。感染实验法是一种简单实用的检测病毒方法,这种方式的原理是利用病毒的最重要的基本特征感染性,所有的病毒都会感染,如果不会感染就不成其为病毒,如果系统中有异常行为,最新版本的检测工具也是检测不出来的,就可以做感染实验。
PID、调用DLL、EXE文件(Tasklist)DLL查找对应的进程或服务
(Tasklist,IceSword)gpedit.msc),禁止指定的应用程序除相关的DLL、EXE
篇三:木马通用的激活方式和清除方法 木马通用的激活方式和清除方法 木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。 ●在Win.ini中启动木马: 在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:run=C:Windows ile.exe load=C:Windows ile.exe 则这个file.exe很有可能就是木马程序。 ●在Windows XP注册表中修改文件关联: 修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等 文件也都是木马程序的目标,要小心。 对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。 ●在Windows XP系统中捆绑木马文件: 实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。 ●在System.ini中启动木马: System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样: Shell=Explorer.exe file.exe 这里的file.exe就是木马服务端程序。 另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。 ●利用Windows XP注册表加载运行: 注册表中的以下位置是木马偏爱的藏身之所: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。 HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。 ●在Autoexec.bat和Config.sys中加载运行木马: 要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。 ●在Winstart.bat中启动木马: Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于 Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。 木马病毒的通用排查技术 现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤: 1、编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。 2、编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。 3、在Windows XP注册表中进行修改:先在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。 Re:用注册表清除计算机病毒 计算机木马清除实例 ●冰河v1.1的注册表清除实例: 在注册表编辑器中打开 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,在右边的窗口中找到并删除 C:WINNTSystem32Kernel32.exe,C:WINNTSystem32sysexplr.exe,再重新启动到MS-DOS方式后,删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。 AOL Trojan的注册表清除实例: 首先到MS-DOS方式下,删除以下文件: C:command.exe C:Americ~1.0uddyl~1.exe C:Windowssystem orton~1 egist~1.exe 打开Win.ini文件,在[Windows]小节下面将特洛伊木马程序的路径清除掉,改为“run=”,“load=”,保存Win.ini文件。 然后打开Windows XP注册表,打开 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右表窗口中的键值项“WinProfile=C:Command.exe”删除,关闭注册表,重启计算机即可。 ●Doly v1.1-v1.5的注册表实例(v1.6和v1.7类似): 首先进入MS-DOS方式,删除以下三个木马程序,但v1.35版还多一个木马文件Mdm.exe。 C:WindowsSystem esk.sys C:WindwosStart MenuProgramsStartupmstesk.exe C:Program FilesMStesk.exe C:Program FilesMdm.exe 重新启动Windows,打开Win.ini文件,将[windows]小节下的“load=C:WindowsSystem esk.exe”删除,即改为“load=”,保存Win.ini文件。 然后,在注册表中打开 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除,打开 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支,将其下的全部内容都删除(全为木马参数选择和设置的服务器);再打开 HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。
以上就是这篇范文的全部内容,涉及到病毒、文件、木马、感染、程序、计算机病毒、系统、哪些等范文相关内容,希望网友能有所收获。
热门工作总结范文推荐: