木马的危害之大想必大家也非常清除, “木马””程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为””系统服务””可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击””木马””图标来运行服务端,,””木马””会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,””木马””都会用上,如:启动组、win.ini、system.ini、注册表等等都是””木马””藏身的好地方。下面具体谈谈””木马””是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,””run=””和””load=””是可能加载””木马””程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上””木马””了。当然你也得看清楚,因为好多””木马””,如””AOLTrojan木马””,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个””shell=文件名””。正确的文件名应该是””explorer.exe””,如果不是””explorer.exe””,而是””shell=explorer.exe程序名””,那么后面跟着的那个程序就是””木马””程序,就是说你已经中””木马””了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:””HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run””目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的””木马””程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如””AcidBatteryv1.0木马””,它将注册表””HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run””下的Explorer键值改为Explorer=””C:\WINDOWS\expiorer.exe””,””木马””程序与真正的Explorer之间只有””I””与””l””的差别。当然在注册表中还有很多地方都可以隐藏””木马””程序,如:””HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run””、””HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run””的目录下都有可能,最好的办法就是在””HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run””下找到””木马””程序的文件名,再在整个注册表中搜索即可。
知道了””木马””的工作原理,查杀””木马””就变得很容易,如果发现有””木马””存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,””run=””木马””程序””或””load=””木马””程序””更改为””run=””和””load=””;编辑system.ini文件,将[BOOT]下面的””shell=木马文件””,更改为:””shell=explorer.exe””;在注册表中,用regedit对注册表进行编辑,先在””HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run””下找到””木马””程序的文件名,再在整个注册表中搜索并替换掉””木马””程序,有时候还需注意的是:有的””木马””程序并不是直接将””HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run””下的””木马””键值删除就行了,因为有的””木马””如:BladeRunner””木马””,如果你删除它,””木马””会立即自动加上,你需要的是记下””木马””的名字与目录,然后退回到MS-DOS下,找到此””木马””文件并删除掉。重新启动计算机,然后再到注册表中将所有””木马””文件的键值删除。至此,木马就被就地正法了。
”