网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 木马 > 文章  
木马综述篇:通通透透看木马
文章来源: yesky 文章作者: 王达 发布时间: 2001-10-14   字体: [ ]
 

  如果因工作等其它原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要系统目录设置成共享!

  11、给电子邮件加密

  为了确保你的邮件不被其它人看到,同时也为了防止黑客们的攻击,至于电子邮件的加密请参考《令电子邮件安全传递的方法-PGP签名》一文,在那篇文章中向大家推荐了一款加密专家——PGP,相信它一定不会让你失望的!

  12、隐藏IP地址

  这一点非常重要!!你上网时最好用一些工具软件隐藏你的电脑的IP地址,如使用ICQ,就进入“ICQMenu\Securi-ty&Privacy”,把“IP Publishing”下面的“Do not Publish IP ad-dress”选项上。

  13、运行反木马实时监控程序

  最后,好是最重要的一点就是你在上网时必需运行你的反木马实时监控程序,如、the cleaner, 它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息,加外如加上一些专业的最新杀毒软件、个人防火墙进行监控那更是放心了,当然这要你的爱机够档次才行,你说呢?

  几款常见木马病毒的清除

  为了方便大家及时快捷地查杀你电脑中的现有木马,现向大家介绍几款木马病毒的查杀方法。

  1.Back Orifice(BO)

  只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices中有无.exe键值。如有,则将其删除,并进入MS-DOS方式,将\Windows\System中的.exe文件删除(可运用开始菜单中的“搜索”程序帮助你进行查找这一文件)。

  2.Back Orifice 2000(BO2000)

  只要检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中有无Umgr32.exe的键值,如有,则将其删除。重新启动电脑,并将\Windows\System中的Umgr32.exe删除。

  3.Netspy

  检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中有无键值Spynotify.exe和Netspy.exe。如有将其删除,重新启动电脑后将\Windows\System中的相应文件删除。

  4.Happy99

  此程序首次运行时,会在荧幕上开启一个名为“Happy new year1999”的窗口,显示美丽的烟花,此时该程序就会将自身复制到Windows95/98的System目录下,更名为Ska.exe,创建文件Ska.dll,并修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。

  用户可以检查注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe。如有,将其删除,并删除\Windows\System中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll。

  5.Picture

  检查Win.ini系统配置文件中“load=”是否指向一个可疑程序,清除该项。重新启动电脑,将指向的程序删除即可。

  6.Netbus

  用“Netstat -an”查看12345端口是否开启,在注册表相应位置中是否有可疑文件。首先清除注册表中的Netbus的主键,然后重新启动电脑,删除可执行文件即可。

  7、冰河

  用纯DOS启动进入系统(以防木马的自动恢复),删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件,注意如果系统提示你不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要打开它们的隐藏、只读属性,方法是键入如下命令:Attrib a h r kernel32.exe或sysexplr.exe即可。

  删除后进入windows系统进入注册表中,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe %1”,如是改回"notepad.exe %1” 。

  8、Asylum

  这个木马程序是修改了system.ini win.ini两个文件,先查一下system.ini文件下面的[BOOT]贡,看看"shell=explorer.exe”,如不是则删除它,用回上面的设置,并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件,看在[windows]项下的"run=”是不是有什么文件名,一般情况下是没有任何加载值的,如有记下它以便回过头过在纯DOS下删除相应的文件名。

  (参考链接: http://dayoo.yesky.com/280/200780.shtml)

 
推荐文章
·木马免杀技术大盘点与杀毒软件设
·拒绝不速之客入侵 拆穿木马伪装
·黑手揭秘:与BT下载的捆马者来一
·黑客终极案例之黑神五法秘行江湖
·“灰鸽子”网页木马从原理、制作
·揭开木马的神秘面纱(一)
·特洛伊木马原理分析
·解析危险的特洛伊木马
 
 
共6页: 上一页 [1] [2] [3] [4] [5] 6 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·查杀木马: Trojan-spy.w
·特洛伊木马原理分析
·什么是特洛伊木马?
·揭开木马的神秘面纱(一)
·解析危险的特洛伊木马
·“灰鸽子”病毒手工清除
·“灰鸽子”网页木马从原
·黑客终极案例之黑神五法
相关分类
相关文章
·黑客终极案例之黑神五法
·“灰鸽子”病毒手工清除
·最新威胁“灰鸽子2005”
·知已知彼 远程监控软件
·“灰鸽子”网页木马从原
·勒索软件正成为2006年最
·下一件安全大事:加强防
·揭开木马的神秘面纱(一)
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $