论文部分内容阅读
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性,一旦你的电脑中了木马,就会被木马的主人所控制,你的电脑也将毫无秘密可言。黑客可以远程连上你的电脑,盗窃硬盘上的文件,远程监控你的所有操作,窃取上网帐号、游戏帐号,甚至网上银行帐户密码,而你还蒙在鼓里呢!因此木马的危害要比病毒大得多,如何手工查杀木马目前已成为现代电脑玩家的必备技能。
一、你是如何“中招”木马的?
首先我们介绍一下哪些场合下容易“中招”木马,当你浏览恶意网页、使用QQ、MSN与人聊天,或者在网吧上网时,都可能会中了木马。
【场合1】如果你上网时不幸浏览到恶意网页,由于黑客事先已在网页中安装了木马,因此只要你打开该网页,木马就会自动下载安装到你的电脑中,这样你就中了木马。
对策:不要打开陌生人提供的网页,及时安装升级杀毒软件,并打开其实时监控功能。
【场合2】当你使用QQ、MSN时,如果收到诱惑消息让你接受传送给你的文件,假如你接收并打开文件(例如执行文件或.jpg文件),你就可能中了木马,因为该jpg文件捆绑了木马客户端,黑客也许对它做了免杀处理,杀毒软件因此也无法识别这类木马。
对策:不要轻易接受陌生人传过来的文件,对于接收的文件,要先用杀毒软件确认无毒后再打开观看;此外当你收到了陌生Email时,如果诱惑你查看附件中的文件,你也千万不要打开,以免中了木马。
【场合3】网吧的电脑也是极易被人投放木马的,投放方法是关闭电脑中的防火墙,到baidu.com中搜索“木马客户端”,然后下载安装一个木马客户端,安装完毕结帐下机,但是并没有将这台电脑关机,以后如果你不知道这些情况又在该机器上网,就会被黑客控制,黑客可以在远方控制这台机,窃取你的密码和隐私文件。
对策:现在网吧大都安装了还原精灵,因此只要你重启电脑即可清除这类木马,建议你在网吧上网时一定要重启电脑,进入系统后还要检查是否有防火墙和杀毒软件,如果没有就向管理员反映,以免被人投了木马和病毒。
二、用命令识别是否中了木马
中了木马以后也许你一点都感觉不到,如果你怀疑自己的电脑被人投放木马或病毒,可以输入WinXP自带的网络命令来进行检查,方法如下:
点击WinXP菜单“开始”/程序/附件/命令提示符,在命令行下输入net user,列出电脑上的所有用户;然后再输入命令“netuser<用户名>”查看该用户属于什么权限的,例如输入命令net user lacl(下图1),可知lacl用户属于administrators组,是管理员权限用户,如果你发现某个用户属于administrators组,而该用户又不是你建的,说明黑客已经在你的电脑上克隆过账户了,你不幸中木马遭到入侵了,此时你可以输入命令“net user 用户名/del”删掉该用户,封掉黑客入侵的后门。
接下来输入命令netstat –an监控电脑上的所有连接,查看你的电脑与哪些IP建立了连接(下图2),可以看到每个连接的proto(连接方式)、local address(本地连接地址)、foreign address(与本地建立连接的地址)、state(当前端口状态)。
最后输入命令net start查看系统中开启了那些服务,如果你发现某个服务不是自己开启的,说明遭到黑客入侵了,就应该立即禁用该服务,输入命令“net stop server”来禁止服务。
三、禁止建立用户,让木马完全作废
禁止Windows建立用户能让木马完全作废,因为木马一般要在Windows中偷偷建一个管理员用户,如果你禁止Windows建立用户,木马也就无法建立用户了(以后当然也无法升级到管理员),这样黑客无法入侵你的电脑,木马因此也作废了,禁止Windows建立用户方法是:
在WinXP中单击“开始”/运行,输入Regedit回车打开注册表,定位到HKEY_LOCAL_MACHINESAMSAMDomains AccountGroups,删除Groups目录,现在系统就不能建立用户了。注意删除 Groups目录后,将无法使用控制面板中的“用户账户”和“本地用户和组”功能,因此删除之前应备份该注册表项目,右击 Groups 选择“导出”,给导出的文件起个名字保存即可。
提示
如果你权限不够,定位到以上注册表项时,只能看到第一个 SAM 目录,为此你应该右击SAM目录,选择“权限”,把Administrators 组设置为允许“完全控制”(图3),以此类推,一直找到 Groups 目录为止。
四、检查木马藏身处,快速清除木马
木马为了能在系统启动后自动装载,经常会隐藏在以下特定的地方,你只要检查这些地方即可快速清除木马。
(1)检查系统文件
为了不让你轻易删除,木马通常会藏在某个程序中,例如绑定到系统文件中,这样每次Windows启动后都会启动木马,即使你把木马删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装,为此应检查X:windowssystem32目录中的系统文件是否有可疑的。
(2)检查配置文件
木马还可以隐藏在配置文件中,利用配置文件的特殊作用,木马很容易在机器中运行、发作,因此要检查Autoexec.bat和Config.sys中有无可疑程序。
(3)检查Win.ini
木马也可以潜伏在Win.ini中。打开Win.ini,在[windows]字段中有启动命令“load=”和“run=”,一般情况下“=”面是空白的,如果后面写有程序,例如run=c:windowsX.exe load=c:windowsX.exe ,这个X.exe就很可能是木马,应清除该项,重启电脑后即可。
(4)检查System.ini
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方,检查该文件,如果[boot]字段中有shell=Explorer.exe X.exe,那就中木马了,因为这里的X.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查是否有"driver=路径程序名",这里也有可能被木马所利用;此外在System.ini中有[mic]、[drivers]、[drivers32]字段,它们有加载驱动程序的作用,也是增添木马程序的好场所。
(5)检查Winstart.bat
Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,木马可以在Winstart.bat中被加载运行,因此要检查Winstart.bat中有无可疑程序。
(6)检查“程序”/启动组
开始菜单中的“程序”/启动组也是木马藏身的好地方,因为这里也能自动加载运行,所以要检查启动组。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。
(7)检查可疑的普通文件
检查图片或文本文件,这类文件中也可能藏有木马。例如把木马程序的图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,这样木马就伪装成图片或文本了,不知道的人一点这个图标就中木马了。
(8)检查应用程序的启动配置文件
因为启动配置文件能启动相应的应用程序,如果黑客将制好的带有木马启动命令的同名文件上传到你的机器中,覆盖这个启动配置文件,以后你只要运行应用程序即可启动木马。
(9)检查注册表
木马还可以隐藏在注册表中,检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;你可以检查注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce中有无键值,如有则将其删除。
表1是两种常见木马的手工清除方法:
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”
一、你是如何“中招”木马的?
首先我们介绍一下哪些场合下容易“中招”木马,当你浏览恶意网页、使用QQ、MSN与人聊天,或者在网吧上网时,都可能会中了木马。
【场合1】如果你上网时不幸浏览到恶意网页,由于黑客事先已在网页中安装了木马,因此只要你打开该网页,木马就会自动下载安装到你的电脑中,这样你就中了木马。
对策:不要打开陌生人提供的网页,及时安装升级杀毒软件,并打开其实时监控功能。
【场合2】当你使用QQ、MSN时,如果收到诱惑消息让你接受传送给你的文件,假如你接收并打开文件(例如执行文件或.jpg文件),你就可能中了木马,因为该jpg文件捆绑了木马客户端,黑客也许对它做了免杀处理,杀毒软件因此也无法识别这类木马。
对策:不要轻易接受陌生人传过来的文件,对于接收的文件,要先用杀毒软件确认无毒后再打开观看;此外当你收到了陌生Email时,如果诱惑你查看附件中的文件,你也千万不要打开,以免中了木马。
【场合3】网吧的电脑也是极易被人投放木马的,投放方法是关闭电脑中的防火墙,到baidu.com中搜索“木马客户端”,然后下载安装一个木马客户端,安装完毕结帐下机,但是并没有将这台电脑关机,以后如果你不知道这些情况又在该机器上网,就会被黑客控制,黑客可以在远方控制这台机,窃取你的密码和隐私文件。
对策:现在网吧大都安装了还原精灵,因此只要你重启电脑即可清除这类木马,建议你在网吧上网时一定要重启电脑,进入系统后还要检查是否有防火墙和杀毒软件,如果没有就向管理员反映,以免被人投了木马和病毒。
二、用命令识别是否中了木马
中了木马以后也许你一点都感觉不到,如果你怀疑自己的电脑被人投放木马或病毒,可以输入WinXP自带的网络命令来进行检查,方法如下:
点击WinXP菜单“开始”/程序/附件/命令提示符,在命令行下输入net user,列出电脑上的所有用户;然后再输入命令“netuser<用户名>”查看该用户属于什么权限的,例如输入命令net user lacl(下图1),可知lacl用户属于administrators组,是管理员权限用户,如果你发现某个用户属于administrators组,而该用户又不是你建的,说明黑客已经在你的电脑上克隆过账户了,你不幸中木马遭到入侵了,此时你可以输入命令“net user 用户名/del”删掉该用户,封掉黑客入侵的后门。
接下来输入命令netstat –an监控电脑上的所有连接,查看你的电脑与哪些IP建立了连接(下图2),可以看到每个连接的proto(连接方式)、local address(本地连接地址)、foreign address(与本地建立连接的地址)、state(当前端口状态)。
最后输入命令net start查看系统中开启了那些服务,如果你发现某个服务不是自己开启的,说明遭到黑客入侵了,就应该立即禁用该服务,输入命令“net stop server”来禁止服务。
三、禁止建立用户,让木马完全作废
禁止Windows建立用户能让木马完全作废,因为木马一般要在Windows中偷偷建一个管理员用户,如果你禁止Windows建立用户,木马也就无法建立用户了(以后当然也无法升级到管理员),这样黑客无法入侵你的电脑,木马因此也作废了,禁止Windows建立用户方法是:
在WinXP中单击“开始”/运行,输入Regedit回车打开注册表,定位到HKEY_LOCAL_MACHINESAMSAMDomains AccountGroups,删除Groups目录,现在系统就不能建立用户了。注意删除 Groups目录后,将无法使用控制面板中的“用户账户”和“本地用户和组”功能,因此删除之前应备份该注册表项目,右击 Groups 选择“导出”,给导出的文件起个名字保存即可。
提示
如果你权限不够,定位到以上注册表项时,只能看到第一个 SAM 目录,为此你应该右击SAM目录,选择“权限”,把Administrators 组设置为允许“完全控制”(图3),以此类推,一直找到 Groups 目录为止。
四、检查木马藏身处,快速清除木马
木马为了能在系统启动后自动装载,经常会隐藏在以下特定的地方,你只要检查这些地方即可快速清除木马。
(1)检查系统文件
为了不让你轻易删除,木马通常会藏在某个程序中,例如绑定到系统文件中,这样每次Windows启动后都会启动木马,即使你把木马删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装,为此应检查X:windowssystem32目录中的系统文件是否有可疑的。
(2)检查配置文件
木马还可以隐藏在配置文件中,利用配置文件的特殊作用,木马很容易在机器中运行、发作,因此要检查Autoexec.bat和Config.sys中有无可疑程序。
(3)检查Win.ini
木马也可以潜伏在Win.ini中。打开Win.ini,在[windows]字段中有启动命令“load=”和“run=”,一般情况下“=”面是空白的,如果后面写有程序,例如run=c:windowsX.exe load=c:windowsX.exe ,这个X.exe就很可能是木马,应清除该项,重启电脑后即可。
(4)检查System.ini
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方,检查该文件,如果[boot]字段中有shell=Explorer.exe X.exe,那就中木马了,因为这里的X.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查是否有"driver=路径程序名",这里也有可能被木马所利用;此外在System.ini中有[mic]、[drivers]、[drivers32]字段,它们有加载驱动程序的作用,也是增添木马程序的好场所。
(5)检查Winstart.bat
Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,木马可以在Winstart.bat中被加载运行,因此要检查Winstart.bat中有无可疑程序。
(6)检查“程序”/启动组
开始菜单中的“程序”/启动组也是木马藏身的好地方,因为这里也能自动加载运行,所以要检查启动组。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。
(7)检查可疑的普通文件
检查图片或文本文件,这类文件中也可能藏有木马。例如把木马程序的图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,这样木马就伪装成图片或文本了,不知道的人一点这个图标就中木马了。
(8)检查应用程序的启动配置文件
因为启动配置文件能启动相应的应用程序,如果黑客将制好的带有木马启动命令的同名文件上传到你的机器中,覆盖这个启动配置文件,以后你只要运行应用程序即可启动木马。
(9)检查注册表
木马还可以隐藏在注册表中,检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;你可以检查注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce中有无键值,如有则将其删除。
表1是两种常见木马的手工清除方法:
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”