九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

木馬藏身地及通用排查技術(shù)

　　木馬取自古希臘神話(huà)的特洛伊木馬記，是一種基于遠(yuǎn)程控制的黑客工具，具有很強(qiáng)的隱藏性和危害性。為了達(dá)到控制服務(wù)端主機(jī)的目的，木馬往往要采用各種手段達(dá)到激活自己，加載運(yùn)行的目的。這里，我們簡(jiǎn)要的介紹一下木馬通用的激活方式，它們的藏身地，并通過(guò)一些實(shí)例來(lái)讓您體會(huì)一下手動(dòng)清除木馬的方法。

　　●在Win.ini中啟動(dòng)木馬：

　　在Win.ini的[Windows]小節(jié)中有啟動(dòng)命令“load=”和“run=”，在一般的情況下“=”后面是空的，如果后面跟有程序，比如：
　　 run=C:Windows ile.exe
　　 load=C:Windows ile.exe
　　 則這個(gè)file.exe很有可能就是木馬程序。

　　●在Windows XP注冊(cè)表中修改文件關(guān)聯(lián)：

　　修改注冊(cè)表中的文件關(guān)聯(lián)是木馬常用的手段，如何修改的方法已在本系列的前幾文中有過(guò)闡述。舉個(gè)例子，在正常情況下txt文件的打開(kāi)方式為 Notepad.exe（記事本），但一旦感染了文件關(guān)聯(lián)木馬，則txt文件就變成條用木馬程序打開(kāi)了。如著名的國(guó)產(chǎn)木馬“冰河”，就是將注冊(cè)表 HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項(xiàng)“默認(rèn)”的鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”，這樣，當(dāng)你雙擊一個(gè)txt文件時(shí)，原本應(yīng)該用記事本打開(kāi)的文件，現(xiàn)在就成了啟動(dòng)木馬程序了。當(dāng)然，不僅是txt 文件，其它類(lèi)型的文件，如htm、exe、zip、com等文件也都是木馬程序的目標(biāo)，要小心。

　　對(duì)這類(lèi)木馬程序，只能檢查注冊(cè)表中的HKEY_CLASSES_ROOT中的文件類(lèi)型shellopencommand子鍵分支，查看其值是否正常。

　　●在Windows XP系統(tǒng)中捆綁木馬文件：
　　 實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接，控制端用戶(hù)使用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，上傳到服務(wù)端覆蓋原有文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被重新安裝了。如果捆綁在系統(tǒng)文件上，則每次Windows XP啟動(dòng)都會(huì)啟動(dòng)木馬。

　　●在System.ini中啟動(dòng)木馬：
　　 System.ini中的[boot]小節(jié)的shell=Explorer.exe是木馬喜歡的藏身之所，木馬通常的做法是將該語(yǔ)句變?yōu)檫@樣：
　　 Shell=Explorer.exe file.exe
　　 這里的file.exe就是木馬服務(wù)端程序。
　　 另外，在[386enh]小節(jié)，要注意檢查在此小節(jié)的“driver=path程序名”，因?yàn)橐灿锌赡鼙荒抉R利用。[mic]、[drivers]、[drivers32]這三個(gè)小節(jié)也是要加載驅(qū)動(dòng)程序的，所以也是添加木馬的理想場(chǎng)所。

　　●利用Windows XP注冊(cè)表加載運(yùn)行：
　　 注冊(cè)表中的以下位置是木馬偏愛(ài)的藏身之所：
　　 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開(kāi)頭的鍵值項(xiàng)數(shù)據(jù)。
　　 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開(kāi)頭的鍵值項(xiàng)數(shù)據(jù)。
　　 HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開(kāi)頭的鍵值項(xiàng)數(shù)據(jù)。

　　●在Autoexec.bat和Config.sys中加載運(yùn)行木馬：
　　 要建立控制端與服務(wù)端的連接，將已添置木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋著兩個(gè)文件才能以這種方式啟動(dòng)木馬。不過(guò)不是很隱蔽，所以這種方式并不多見(jiàn)，但也不能掉以輕心。

　　●在Winstart.bat中啟動(dòng)木馬：
　　 Winstart.bat也是一個(gè)能自動(dòng)被Windows XP加載運(yùn)行的文件，多數(shù)時(shí)由應(yīng)用程序及Windows自動(dòng)生成，在執(zhí)行了Win.com或者Kernel386.exe，并加載了多數(shù)驅(qū)動(dòng)程序之后開(kāi)始執(zhí)行（這可以通過(guò)在啟動(dòng)時(shí)按F8選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行。

　　木馬病毒的通用排查技術(shù)

　　現(xiàn)在，我們已經(jīng)知道了木馬的藏身之處，查殺木馬自然就容易了。如果您發(fā)現(xiàn)計(jì)算機(jī)已經(jīng)中了木馬，最安全最有效的方法就是馬上與網(wǎng)絡(luò)段開(kāi)，防止計(jì)算機(jī)駭客通過(guò)網(wǎng)絡(luò)對(duì)您進(jìn)行攻擊，執(zhí)行如下步驟：

　　l 編輯Win.ini文件，將[Windows]小節(jié)下面的“run=木馬程序”或“load=木馬程序”更改為“run=”，“load=”。
　　 l 編輯System.ini文件，將[boot]小節(jié)下面的“shell=木馬文件”更改為“shell=Explorer.exe”。
　　 l 在Windows XP注冊(cè)表中進(jìn)行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 子鍵分支下找到木馬程序的文件名刪除，并在整個(gè)注冊(cè)表中查找木馬程序，將其刪除或替換。但可惡的是，并不是所有的木馬程序都只要?jiǎng)h除就能萬(wàn)事大吉的，有的木馬程序被刪除后會(huì)立即自動(dòng)添上，這時(shí)，您需要記下木馬的位置，即它的路徑和文件名，然后退到DOS系統(tǒng)下，找到這個(gè)文件并刪除。重啟計(jì)算機(jī)，再次回到注冊(cè)表中，將所有的木馬文件的鍵值項(xiàng)刪除。

　　計(jì)算機(jī)木馬清除實(shí)例

　　●冰河v1.1的注冊(cè)表清除實(shí)例：
　　 在注冊(cè)表編輯器中打開(kāi)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支，在右邊的窗口中找到并刪除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新啟動(dòng)到MS-DOS方式后，刪除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe 木馬程序。

　　AOL Trojan的注冊(cè)表清除實(shí)例：

　　首先到MS-DOS方式下，刪除以下文件：
　　 C:command.exe
　　 C:Americ~1.0uddyl~1.exe
　　 C:Windowssystem orton~1 egist~1.exe
　　 打開(kāi)Win.ini文件，在[Windows]小節(jié)下面將特洛伊木馬程序的路徑清除掉，改為“run=”，“load=”，保存Win.ini文件。
　　 然后打開(kāi)Windows XP注冊(cè)表，打開(kāi)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支，將右表窗口中的鍵值項(xiàng)“WinProfile=C:Command.exe”刪除，關(guān)閉注冊(cè)表，重啟計(jì)算機(jī)即可。

　　●Doly v1.1-v1.5的注冊(cè)表實(shí)例（v1.6和v1.7類(lèi)似）：

　　首先進(jìn)入MS-DOS方式，刪除以下三個(gè)木馬程序，但v1.35版還多一個(gè)木馬文件Mdm.exe。
　　 C:WindowsSystem esk.sys
　　 C:WindwosStart MenuProgramsStartupmstesk.exe
　　 C:Program FilesMStesk.exe
　　 C:Program FilesMdm.exe

　　重新啟動(dòng)Windows，打開(kāi)Win.ini文件，將[windows]小節(jié)下的“load=C:WindowsSystem esk.exe”刪除，即改為“load=”，保存Win.ini文件。

　　然后，在注冊(cè)表中打開(kāi)HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支，將右邊的窗口中的鍵值項(xiàng)“Mstesk=”C:Program FilesMStesk.exe””刪除，打開(kāi) HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子鍵分支，將其下的全部?jī)?nèi)容都刪除（全為木馬參數(shù)選擇和設(shè)置的服務(wù)器）；再打開(kāi)HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支，將右邊的窗口中的鍵值項(xiàng)“Mstesk=”C:Program FilesMStesk.exe””刪除。

　　關(guān)閉注冊(cè)表，打開(kāi)C:Autoexec.bat文件，刪除如下兩行：
　　 @echo off copy c:sys.lon C:WindowsStart MenuStartup Items
　　 Del c:win.reg
　　 保存并關(guān)閉Autoexec.exe文件。

　　●IndocTrination v0.1-v0.11注冊(cè)表清除實(shí)例：
　　 在注冊(cè)表中打開(kāi)如下子鍵：
　　 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
　　 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
　　 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
　　 將這些子鍵右邊窗口中的如下鍵值項(xiàng)刪除：
　　 Msgsrv16=“Msgsrv16”，關(guān)閉注冊(cè)表后重啟Windows，刪除C:WindowsSystemmsgserv16.exe文件。

　　●SubSeven-IntrodUCtion v1.8注冊(cè)表清除實(shí)例：
　　 打開(kāi)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支，在右窗口中查找到含有“C:WindowsSystem.ini”的鍵值項(xiàng)數(shù)據(jù)，將它刪除。
　　 打開(kāi)Win.ini文件，將其中的“run=kernel16.dl”改為“run=”，保存并關(guān)閉Win.ini文件。
　　 打開(kāi)System.ini文件，將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”，保存并關(guān)閉System.ini文件，重啟Windows，刪除C: Windowskernel16.dl文件。

　　●廣外女生注冊(cè)表清除實(shí)例：
　　 退到MS-DOS模式下，刪除 System目錄下的diagcfg.exe。由于該病毒關(guān)聯(lián)的是exe文件，因此，現(xiàn)在刪除它后Windows環(huán)境下任何exe文件都將無(wú)法運(yùn)行。我們先找到Windows目錄下的注冊(cè)表編輯器“Regedit.exe”，將其改名為“Regedit.com”。
　　 回到Windows模式下，運(yùn)行“Regedit.com”。打開(kāi)HKEY_CLASSES_ROOTexefileshellopencommand，將其默認(rèn)值改為“%1 %*”，刪除 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項(xiàng) “Diagnostic Configuration”。關(guān)閉注冊(cè)表。
　　 回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。

　　●Netbull（網(wǎng)絡(luò)公牛）注冊(cè)表清除實(shí)例：
　　 該病毒在Windows 9X下：捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在 Windows NT/2000下捆綁：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和 winmine.exe。打開(kāi)：
　　 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
　　 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
　　 HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
　　 在這些子鍵下刪除鍵值項(xiàng)“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。
　　 另外，要察看自己的機(jī)器是否中了該病毒，可以察看上面列出的文件，如果發(fā)現(xiàn)該文件長(zhǎng)度發(fā)生變化（大約增加了40K左右），就刪除它們。然后點(diǎn)擊[開(kāi)始] |[附件]|[系統(tǒng)工具]|[系統(tǒng)文件檢查器]，在彈出的對(duì)話(huà)框中選擇“從安裝軟盤(pán)提取一個(gè)文件”，在框中填入要提取的文件（前面你刪除的），點(diǎn)“確定”，按屏幕提示將這些文件恢復(fù)即可。如果是開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件，如realplay.exe、QQ等被捆綁上了，那就必須把這些文件刪除后重新安裝了。

　　●聰明基因注冊(cè)表清除實(shí)例：
　　 刪除C:Windows下的MBBManager.exe和Explore32.exe，再刪除C:WindowsSystem下的editor.exe文件。如果服務(wù)端已經(jīng)運(yùn)行，則要先用進(jìn)程管理軟件終止MBBManager.exe這個(gè)進(jìn)程后才能將它刪除。
　　 打開(kāi)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，刪除鍵值項(xiàng) “MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認(rèn)值改為“C:WindowsNotepad.exe %1”，恢復(fù)txt文件關(guān)聯(lián)。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認(rèn)值改為“C: Windowswinhlp32.exe %1”，恢復(fù)hlp文件關(guān)聯(lián)。
掌握 如何隱藏電腦硬盤(pán)分區(qū)
第一招：修改注冊(cè)表來(lái)隱藏邏輯硬盤(pán)

1、隱藏“我的電腦”中的磁盤(pán)驅(qū)動(dòng)器圖標(biāo)

操作步驟如下：

①“開(kāi)始”→“運(yùn)行”中輸入regedit，打開(kāi)注冊(cè)表編輯器。

②進(jìn)入HKEY_CURRENT_USER＼SoftWare＼microsoft＼Windows＼CurrentVersion＼Policies＼EXPlorer分支中。

③在右窗口中新建一個(gè)二進(jìn)值的鍵值名為“NoDrives”，磁盤(pán)驅(qū)動(dòng)器所一一對(duì)應(yīng)的鍵值如下：A驅(qū)為“01000000”，B驅(qū)為 “02000000”，C驅(qū)為“04000000”，D驅(qū)為“08000000”，E驅(qū)為“10000000”，F(xiàn)驅(qū)為“20000000”。即按磁盤(pán)驅(qū)動(dòng)器的英文字母順序（A－Z）從十六進(jìn)制的二倍數(shù)遞增。將您所要隱藏的磁盤(pán)驅(qū)動(dòng)器所對(duì)應(yīng)的鍵值按十六進(jìn)制相加賦值給“NoDrives”，這樣，就在“我的電腦”內(nèi)隱藏起所要隱藏的驅(qū)動(dòng)器了。

這樣操作后，進(jìn)入“MS－DOS方式”還是可以操作的。所以我們還要隱藏“MS-DOS方式”下的磁盤(pán)驅(qū)動(dòng)器。

2、隱藏“MS-DOS方式”下的磁盤(pán)驅(qū)動(dòng)器

操作步驟如下：

①“開(kāi)始”→“運(yùn)行”中輸入regedit，打開(kāi)注冊(cè)表編輯器。

②進(jìn)入HKEY_CURRENT_USER＼SoftWare＼Microsoft＼Windows＼CurrentVersion＼Policies分枝中。

③在該分枝中新建一個(gè)主鍵“WinOldApp”，在該主鍵下新建一個(gè)DWord值的鍵值名“Disabled”，然后將其鍵值設(shè)為“1”。

這樣，不管是在“我的電腦”里，或“MS－DOS”方式下都看不見(jiàn)了，怎么樣，夠Cool吧！^_^不過(guò)，只要懂注冊(cè)表的人可騙不了他。

第二招：利用PartitionMagic隱藏硬盤(pán)驅(qū)動(dòng)器

相信大家對(duì)這個(gè)軟件不會(huì)太陌生吧，它的不破壞硬盤(pán)數(shù)據(jù)情況下對(duì)硬盤(pán)分驅(qū)的功能確實(shí)很不錯(cuò)。不過(guò)你有沒(méi)有想到用它來(lái)隱藏硬盤(pán)驅(qū)動(dòng)器呢？那就試試看吧！

下載地址：http://download.zol.com.cn/detail/15/148329.sHtml

①運(yùn)行PQMagic。

②選定一個(gè)分區(qū)。

③在菜單“Operations”中選“Advanced”下的“HidPartition”菜單項(xiàng)，在出現(xiàn)的對(duì)話(huà)框中點(diǎn)擊OK。

④在主窗口下面的兩個(gè)按鈕中點(diǎn)擊“Apply”按鈕后重新啟動(dòng)