海归论坛 :: 阅读主题 - 徒手对付木马病毒（windows 2000版）（转贴）

会员列表
收藏夹
论坛帮助

论坛首页 | 排行榜 | 在线私聊 | 专题 | 版规 | 搜索 | RSS | 注册 | 活动日历


主题: 徒手对付木马病毒（windows 2000版）（转贴）

海归论坛首页 -> 海归茶馆焦点讨论 | 精华区 | 嘉宾沙龙 | 白领丽人沙龙

分屏

表形显示

阅读上一个主题 :: 阅读下一个主题

作者

徒手对付木马病毒（windows 2000版）（转贴）

孤枕难眠
[博客]
[个人文集]

头衔: 海归中将
声望: 学员
性别: 性别:女

加入时间: 2004/02/24
文章: 3573
来自: 美国
海归分: 411670

标题: 徒手对付木马病毒（windows 2000版）（转贴） (1249 reads) 时间: 2004-7-07 周三, 02:40

作者：孤枕难眠 在海归茶馆发贴, 来自【海归网】 http://www.haiguinet.com

1.安装完Windows以后，记得去Windows Update。

2.Control Panel（控制面板）->Administrative Tools（管理工具->Services（服务）

按照启动类别排序，注意那些“自动”(automatic)的，其中一些
windows自带的服务Messenger（不是MSN的那个），应该禁掉。否
则如果你的机器是暴露在internet上，就会经常收到广告message。

Remote Registry Service也应该禁掉，安全起见。

出于其他目的，我一般都把Task Scheduler禁掉。

为了让启动更快，还可以禁掉其他不需要的服务，但一定要清楚
到底是什么东西。否则乱禁用服务，可能造成灾难性后果！

很多木马病毒是藏在这里，让Windows每次启动的时候运行它。所
以如果你怀疑有木马病毒，就要经常看看这里，有没有奇怪的服
务，最好找到执行程序。google一下，看看是不是病毒。

3。除了作为service运行以外，木马病毒还可能在注册表里让操作系统
每次运行都运行。

运行regedit。然后在注册表里面，
HKEY_LOCAL_MACHINE／Software／Microsoft／Windows／Current Version／Run
.....／RunOnce
.....／RunOnceEx

同样还应该检查 HKEY_CURRENT_USER

这里面的程序都会被自动运行。所以看到那些奇怪的（比如不是在具体的
应用软件目录里，而是在系统目录比如system32里面），google一下，
如果是病毒：

--到资源管理器里面找到并删掉源文件
--打开任务管理器（task manager），选进程（processes），然后杀掉
那个进程。注意有些木马是在explorer里面运行，这种情况下把explorer
杀掉。不要怕，一般系统都会自动再把explorer启动。如果没有，可以
在任务管理器里面选应用程序（application）然后新建任务，输入
explorer即可。
--在注册表里删掉那个项目。

４.木马病毒除了上诉两种自动启动的办法以外，还可能在config.sys
auto????.bat和win.ini里面。可以去查一查。但是这样做的比较少。

６.最后请注意。任何删除和禁用操作之前，一定要确定那是病毒。

出了问题，本人盖不负责，哈哈。

另外，为了防止黑客利用操作系统漏洞进行攻击，最好使用路由器。这样你的电脑在路由器后面，就安全多了。

病毒最重要的一条就是能够找机会运行。比如每次操作系统启动时自动运行，或者你打开word或者其它软件时运行。

拿前一种来说，现在操作系统对引导区和系统文件看得很紧（CIH只能感染98，不能感染NT，就因为这个），所以要想自动运行，一般只有我说的那几个办法：

1.最高级的办法，作为一种服务运行

2.在注册表，我上文说的那几个位置。

3.在config.sys auto????.bat，win.ini等（NT下好像有个autorun.cmd）

但绝大部分木马是前面两种。

另外木马病毒还希望能够隐藏。主要是在进程列表里面隐藏。当然现在有些木马比较烂，就不隐藏了。

隐藏的技术在NT，2000下，是把自己的代码copy到explorer进程空间，然后用一个API在explorer进程里面开一个线程。这个线程就是那个木马了。

在98下就比较粗暴了，直接改写kernel32.dll的某个函数（用来enumerate当前进程）的入口，用自己的函数替代，每次碰到自己的进程的时候就跳过去。

有人可能会说，用工具软件岂不更好？但是工具软件由三个缺点：

1。只有比较泛滥流行的病毒，杀毒软件才识别。而且你要经常去更新病毒列表。

2。工具软件用好了也不是易事。

3。工具软件难道就没有后门？这岂不是引狼入室？

还是装的软件越少越好。启动系统的时候，自动运行的程序越少越好。

作者：孤枕难眠 在海归茶馆发贴, 来自【海归网】 http://www.haiguinet.com

相关主题
手提电脑最近突然中了病毒，警告只是“木马病毒”。谁知道具体的“木马&quo...	海归论坛	2004-6-16 周三, 14:21
詹姆斯•戴森: 中国在英研究生窃取英科技机密，甚至在英大学电脑内植入木马病...	海归商务	2011-4-04 周一, 13:00
[转帖]杀毒业丑闻：瑞星巨资行贿，炮制假案拘捕竞争对手。多家防病毒公司涉嫌作假证	海归主坛	2009-2-17 周二, 22:36
中国上市公司系列：谁是协和干细胞的“病毒” （转帖）	海归主坛	2009-12-02 周三, 07:33
【多瑙河之旅】（8）约伦堡：希特勒&婚姻的旋转木马	生活风情	2015-1-03 周六, 14:39
紧急寻找H7N9的病毒来源------转译自Nature	海归主坛	2013-4-15 周一, 16:25
[转帖] 莫言的蛙是一部文化侵略木马（谈诺贝尔文学奖的政治本质）－公子镔	海归茶馆	2012-10-27 周六, 05:56
高盛的木马计：那笔摧毁希腊的交易 - ZT	谈股论金	2012-3-08 周四, 09:06