下面是小编为大家整理的中毒电脑多薄命――剖析坏木马加载方式,本文共2篇,仅供大家参考借鉴,希望大家喜欢!本文原稿由网友“冷面摊主姚师傅”提供。
篇1:中毒电脑多薄命:剖析坏木马加载方式
网络是互联的,当你从中获取资源的同时,也要经受其中的考验,木马程序会修改并破坏电脑的系统和文件,除了安装杀毒软件(包括防火墙)外,还应该尽可能地掌握系统文件知识,下面简单介绍一下木马的加载方式:
加载方式:定位于System.ini和Win.ini文件
System.ini(位置C:windows)
[boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。
[boot]项修改后配置:“shell=explorer C:windowsxxx.exe”(xxx.exe假设一木马程序)。
Win.ini(位置C:windows)
[windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。
[windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。
解决办法:
执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改,
加载方式:隐藏在注册表中(此方式最为隐蔽)。
注意以下注册表项:HKEY LOCAL MACHINESoftwareclassesexefileshellopencommand
原始数值数据:“%1”%
被修改后的数值数据:C:systemxxx.exe “%1”%
原注册表项是运行可执行文件的格式,被修改后就变为每次运行可执行文件时都会先运行C:systemxxx.exe这个程序。
例如:开机后运行QQ主程序时,该xxx.exe(木马程序)就先被加载了。
解决办法:
当通过防火墙得知某端口被监听,立即下线,检查注册表及系统文件是否被修改,找到木马程序,将其删除。
所谓“病从口入”感染源还是在于加载了木马程序的服务器端。目前,伪装可执行文件图标的方法很多,如:修改扩展名,将文件图标改为文件夹的图标等,并隐藏扩展名,因此接收邮件和下载软件时一定要小心。许多木马程序的文件名很像系统文件名,造成用户对其没有把握,不敢随意删除,因此要不断增长自己的知识才可防备万一。
可以借助一些软件来狙击木马,如:The Cleaner、Trojan Remover等。建议经常去微软网站下载补丁包来修补系统;及时升级病毒库。
篇2:如何从电脑中毒现象分辨识别Web网页木马
由于web网页木马有伪装性很强,而且杀毒软件对于一些web网页木马没有查杀能力,这种情况下,我们可以根据电脑工作时的表现识别web网页木马,通常,感染了web网页木马的电脑,有以下几种现象:
1、系统反应速度变慢:由于攻击者制造web网页木马通常使用的IE浏览器漏洞,其手法通常是利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码的。因此,用户遭受溢出类的网页木马的攻击时,通常系统的反应会变得十分缓慢,CPU占用率很高,浏览器窗口没有响应,也无法使用任务管理器强行关闭,
对于1G以上的大容量内存计算机而言,感染了web网页木马之后通常仍然能够打开任务管理器。如果发现任务管理器的进程中,IE浏览器的进程在90%以上,可以判定用户的电脑已经感染了web网页木马。除了上述现象之外,感染了web网页木马的计算机硬盘还会进行频繁的写操作,硬盘指示灯会长亮。
2、进程加载变化:web网页木马一旦在用户的计算机中加载成功,运行时也会占用一个进程。不过,由于一些攻击者将木马程序伪装成一个正常的程序,或者是将系统进程偷梁换柱,普通用户很难发觉。
