木马清除不求人

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

木马清除不求人第七章木马清除不求人许多电脑使用者对于木马程序都是深恶痛绝的,可是又拿它没什么办法。有的木马程序虽然用相应的清理工具进行了清理,表面上是不存在了,实际上木马仍然驻留在电脑中……本章将讲解一些非常规的清除木马方法,让你彻底摆脱“木马恶魔”。7.1清除木马总动员7.1.1清杀网络魔鬼这款木马威力强大,它可以感染除Windows3.x之外的所有Windows操作系统,并允许攻击并远程控制被感染的电脑,盗取电脑数据资料,让你防不胜防。■木马原理1.木马运行时,会将自己拷贝到系统目录下,并命名为Kernet.dll。2.在注册表中添加键值HKEY_CLASS_ROOT\.dll和HKEY_CLASS_ROOT\dllfile,目的是使.dll类型的文件能以EXE文件的形式执行。3.同时向注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加键值kernel32system\Kernel.dll。4.打开端口905,把当前电脑的IP地址、端口号和密码发送给攻击者,从而对你的电脑进行远程控制。■击溃木马1.安装放火墙。2.升级杀毒软件和木马专杀工具查杀。3.在注册表中删除“HKEY_CLASS_ROOM\.dll”、“HKEY_CLASS_ROOM\dllfile”和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”中的kernel32项值。176曝光黑客曝光黑客7.1.2远离冰河木马在众多木马程序中,冰河以其独特的性能脱颖而出。■木马原理1.运行冰河会修改注册表里的文件关联,即使删除掉冰河,也能在运行相关程序的时候自动恢复冰河的设置。2.冰河程序由两个部分组成,一个是服务器端程序,即运行在被控制主机上的程序;另一个是客户端程序,即运行在主控主机上的程序。3.注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main中键值StartPage已被修改成了一个恶意网站的网址了(鉴于恶意网站的破坏性,此处隐去了文字和图片中的具体网址),写入新的键值就可以了。■击溃木马1.重新启动电脑并进入纯DOS模式,删除C:\Windows\system下冰河生成的服务端程序Kerne32.exe和Sysexplr.exe。2.然后进入Windows系统,打开注册表编辑器,删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\software\microsofi\windowsCurrentVersion\Runservices主键下的默认键值,其数据都为C:\windows\system\Kerne32.exe。3.查看HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Shell\Open\command主键的默认键值是不是“C:\windows\system\Sysexplr.exe%1”,如果是就改成“notepad.exe%1”。177CChhaapptteerr77木马清除不求人4.还要把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Shell\Open\Command主键下的默认键值改为正常的“%1%*”。7.1.3破解黑洞2001当进程被终止,防火墙莫名其妙失效时,很有可能遇上了黑洞2001。■木马原理1.黑洞2001的原始文件只有一个客产端程序,它的服务端程序只有通过客产端程序生成。2.服务端文件名为S_Server.exe(大小397632字节)。3.默认连接端口为2001(可更改变化)。4.它还具有终止进程功能。它的服务端程序可以随意终止被控机器的程序进程,通过这个功能控制者可以突破被控机器的网络防火墙,从而实施更大的破坏。而且它的服务端程序图标是普通文件夹图标,很容易使人上当。■击溃木马1.重新启动电脑并进入纯DOS模式,删除C:\Windows\system下黑洞2001生成的服务端程序Windows.exe和Server.exe。2.进入Windows系统,将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command主键下的默认键值由“S_SERVER.EXE%1”改为“NOTEPAD.EXE%1”。3.删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices主键下的键值“Windows”,其数据为“Windows.exe。4.最后,将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除即可。7.1.4抓住网络神偷网络神偷一反木马常规,采用了独特的反弹端口,改变了数据流方向,因此可以躲过大多数网络防火墙的拦截,真是可怕。178曝光黑客曝光黑客■木马原理1.网络神偷只有一个客户端程序,服务端程序需要生成。客户端程序为Nethief.exe。2.默认连接端口为80(这是第一个采用反弹端口的木马)。3.Nethief只能进行文件的上传、下载和远程运行,但它一反常规,采用了独特的反弹端口,改变了数据流方向,因此可以躲过大多数网络防火墙的拦截,从而达到窃取文件的目的,因而是非常可怕的。■击溃木马1.重新启动电脑并进入纯DOS模式,删除C:\Windows\system下的服务端程序intemet.exe。2.删除网络神偷在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run主键下建立的键值“internet”,其数据为“Internet.exe”。7.1.5广外女生很危险别以为这是个如何漂亮与温柔的MM哦,这是一款功能强大的木马,小心为妙。■木马原理1.也采用了流行的单客户端方式,服务端程序需要生成。生成的服务端程序为GDUF5.exe,默认连接端口为6267(而且可以更改变化)。2.具有木马应当具备的文件操作、注册表操作等,而且它会自动检查系统进程,如果发现有金山毒霸、防火墙、iparmor、Tcmonitor、实时监控、Lockdown、Kill、天网等对它有179CChhaapptteerr77木马清除不求人害的进程存在,就会立即将该进程终止,从而导致常规的防杀木马的工具根本无法使用。3.采用其他木马不常用的EXE文件关联方式。■击溃木马1.重新启动电脑并进入纯DOS模式,删除C:\Windows\system下木马生成的服务端程序DIAGFG.EXE。2.回到Windows系统,在Windows目录中找到注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。3.找到HKEY_CLASSES_ROOT\exefile\shell\open\commond主键,将其默认键值由“C:WINDOWS\SYSTEM\DIAGCF6.EXE%1%*”改成“%1%*”。4.找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices主键,删除其中名称为“DiagnosticConGumptions”、数据为“C:\WINDOWS\SYSTEM\DIAGCFG.EXE-load”的键值。5.最后,别忘了把“Regedit.com”改成“Regedit.exe”。7.1.6制服网络公牛公牛的脾气坏,这是众所周知的了。可是有一头“公牛”,不仅脾气坏,心眼也坏,少见吧!■木马原理1.网络公牛的文件压缩包中有很多文件,需要把多个程序连接在一起。2.服务端程序为newserver.exe,客户端程序为peep.exe,默认连接端口为234444(可以更改端口)。3.服务端运行后会自动捆绑以下文件:Windows9X下捆绑notepad.exe、write.exe、regedit.exe、Winmine.exe、winhep.exe;WindowsNT/2000下(在Windows2000下会出现文件改动报警,但并不能阻止以下文件的捆绑)捆绑notepad.exe、regedit.exe、reged32.exe、drwtsn32.exe、Winmine.exe。4.并且服务端还会捆绑在开机时自动运行的第三方软件,要清除时必须删除被捆绑的程序。180曝光黑客曝光黑客■击溃木马1.在纯DOS环境下,删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。2.然后删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices以及HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run三个主键下的“CheckDll.exe”键值,这三个键值的数据都是“C:\WINDOWS\SYSTEM\CheckDll.exe”。通过和正常机器上的文件比较上面所列出文件大小,观察这些文件是否被捆绑,被捆绑后一般会增加40KB左右,如果被捆绑,要用备份文件进行覆盖恢复。对于捆绑了开机自启动的第三方程序,那就只有把文件删除后重装软件了。7.1.7清除Liquid木马电脑突然莫名其妙地重启,再次进入系统后,还是遇到同样的情况,真是怪了。这样的情况就很有可能中了Liquid木马了。■木马原理1.此木马以可执行文件MP3LiquidBurn.exe的形式出现,运行后会在C盘的ProgramFiles及启动文件夹下创建许多文本文件,并且随机重启攻击电脑。这些文本文件大小为10字节,文件名为“Yousuckxxxx.txt”(xxxx是从1开始增加的数字),文本内容为:“youSuck”。2.生成这些文件后,病毒就开始重启你的电脑。一旦感染了此病毒,系统性能会降低,接着是导致系统不稳定,经常重新启动,这时你想利用电脑工作就不可能了。由于经常重启,硬件也会受到影响,有可能造成硬件故障。受影响的系统有:Windows95,Windows98,WindowsNT,Windows2000,WindowsXP,其他操作系统不受影响。3.电脑的C盘ProgramFiles文件夹中出现大量的以“YouSuck”作为文件名开头的文本文件。■击溃木马1.在运行电脑时先启动防火墙,一旦出现木马或者病毒,它会给我们一个警告,以便我们能够删除它们。使用一般的防火墙就可以了,但一定要保证病毒库是最新的。2.处理木马的最好方法是利用一些木马查杀软件,比如TheCleanerV3.2Build。如果181CChhaapptteerr77木马清除不求人有杀毒软件,那么处理这样的木马,会更加简单,只要先对你的病毒包进行升级,即可将此木马扫出你的机器。7.1.8清除BackDoor-ACH木马在网上聊得正开心的时候,电脑的速度突然变得特别慢,不一会电脑就死机了,再次进入系统,出现提示系统错误的对话框。■木马原理1.这个木马是由三个部分组成的,包括服务器端,客户端和配置工具。2.该木马运行在服务器端时会弹出一个错误提示对话框。接着,它会将自身DLLDAT32.EXE(334758bytes)复制到Windows的系统目录下。3.对注册表进

1 / 20
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功