亚洲网站999永久久久,国产精品天天看看片天天爽,国产一区二区三区高清无码

1.檢測(cè)木馬的存在

　　首先，查看system.ini、win.ini、啟動(dòng)組中的啟動(dòng)項(xiàng)目。由“開(kāi)始->運(yùn)行”，輸入msconfig，運(yùn)行Windows自帶的“系統(tǒng)配置實(shí)用程序”。

　　a.查看system.ini文件

　　選中“System.ini”標(biāo)簽，展開(kāi)[boot]目錄，查看“shell=”這行，正常為“shell=Explorer.exe”，如果不是這樣，就可能中了木馬了。

　　b.查看win.ini文件

　　c.選中win.ini標(biāo)簽，展開(kāi)[windows]目錄項(xiàng)，查看“run=”和“l(fā)oad=”行，等號(hào)后面正常應(yīng)該為空。

　　d.查看啟動(dòng)組

　　再看看啟動(dòng)標(biāo)簽中的啟動(dòng)項(xiàng)目，有沒(méi)有什么非正常項(xiàng)目？要是有象netbus、netspy、bo等關(guān)鍵詞，極有可能就是木馬了。本人一般都將啟動(dòng)組中的項(xiàng)目保持在比較精簡(jiǎn)的狀態(tài)，不需要或無(wú)大用途的項(xiàng)目都屏蔽掉了。如下圖，只是選中了與注冊(cè)表檢查、音量控制、輸入法和能源保護(hù)相關(guān)的啟動(dòng)欄。到時(shí)要是有木馬出現(xiàn)，自是一目了然。

　　e.查看注冊(cè)表

　　由“開(kāi)始->運(yùn)行”，輸入regedit，確定就可以運(yùn)行注冊(cè)表編輯器。再展開(kāi)至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下，查看鍵值中有沒(méi)有自己不熟悉的自動(dòng)啟動(dòng)文件項(xiàng)目，比如netbus、netspy、netserver等的單詞。注意，有的木馬程序生成的服務(wù)器程序文件很像系統(tǒng)自身的文件，想由此偽裝蒙混過(guò)關(guān)。比如Acid　Battery木馬，它會(huì)在注冊(cè)表項(xiàng)“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“C:WINDOWSexpiorer.exe”，木馬服務(wù)器程序與系統(tǒng)自身的真正的Explorer之間只有一個(gè)字母的差別！
通過(guò)類似的方法對(duì)下列各個(gè)主鍵下面的鍵值進(jìn)行檢查：
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
如果**作系統(tǒng)是Windows　NT，還得注意HKEY-LOCAL-MACHINESoftwareSAM下面的內(nèi)容，如果有項(xiàng)目，那極有可能就是木馬了。正常情況下，該主鍵下面是空的。
當(dāng)然在注冊(cè)表中還有很多地方都可以隱藏木馬程序，上面這些主鍵是木馬比較常用的隱身之處。除此之外，象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主鍵下面找到木馬程序的文件名，再通過(guò)其文件名對(duì)整個(gè)注冊(cè)表進(jìn)行全面搜索就知道它有幾個(gè)藏身的地方了。
如果有留意，注冊(cè)表各個(gè)主鍵下都會(huì)有個(gè)叫“（默認(rèn)）”名稱的注冊(cè)項(xiàng)，而且數(shù)據(jù)顯示為“（未設(shè)置鍵值）”，也就是空的。這是正�，F(xiàn)象。如果發(fā)現(xiàn)這個(gè)默認(rèn)項(xiàng)被替換了，那么替換它的就是木馬了。

　　f.其它方法

　　上網(wǎng)過(guò)程中，在進(jìn)行一些計(jì)算機(jī)正常使用**作時(shí)，發(fā)現(xiàn)計(jì)算機(jī)速度明顯起了變化、硬盤(pán)在不停的讀寫(xiě)、鼠標(biāo)不聽(tīng)使喚、鍵盤(pán)無(wú)效、自己的一些窗口在未得到自己允許的情況下被關(guān)閉、新的窗口被莫名其妙地打開(kāi).....這一切的不正�，F(xiàn)象都可以懷疑是木馬客戶端在遠(yuǎn)程控制你的計(jì)算機(jī)。

　　如果懷疑你現(xiàn)在正在被木馬控制，那么不要慌張地去拔了網(wǎng)線或抽了Modem上的電話線。有可能的話，最好可以逮到“黑”你的那個(gè)家伙。下面就介紹一下相應(yīng)的方法：
由“開(kāi)始->運(yùn)行”，輸入command，確定，開(kāi)一個(gè)MS-DOS窗口�；蛘哂伞伴_(kāi)始->程序->MS-DOS”來(lái)打開(kāi)它。在MS-DOS窗口的命令行鍵入“netstat”查看目前已與本計(jì)算機(jī)建立的連接。

　　顯示出來(lái)的結(jié)果表示為四列，其意思分別為Proto：協(xié)議，Local　Address：本地地址，F(xiàn)oreign　Address：遠(yuǎn)程地址，State：狀態(tài)。在地址欄中冒號(hào)的后面就是端口號(hào)。如果發(fā)現(xiàn)端口號(hào)碼異常（比如大于5000），而Foreign　Address中的地址又不為正常網(wǎng)絡(luò)瀏覽的地址，那么可以判斷你的機(jī)器正被Foreign　Address中表示的遠(yuǎn)程計(jì)算機(jī)所窺視著。在對(duì)應(yīng)行的Foreign　Address中顯示的IP地址就是目前非法連接你計(jì)算機(jī)的木馬客戶端。
當(dāng)網(wǎng)絡(luò)處于非活動(dòng)狀態(tài)，也就是目前沒(méi)什么活動(dòng)網(wǎng)絡(luò)連接時(shí)，在MS-DOS窗口中用netstat命令將看不到什么東西。此時(shí)可以使用“netstat　-a”,加了常數(shù)“-a”表示顯示計(jì)算機(jī)中目前處于監(jiān)聽(tīng)狀態(tài)的端口。對(duì)于Windows98來(lái)說(shuō)，正常情況下，會(huì)出現(xiàn)如下的一些處于監(jiān)聽(tīng)狀態(tài)的端口（安裝有NETBEUI協(xié)議）：
如果出現(xiàn)有不明端口處于監(jiān)聽(tīng)（LISTENING）狀態(tài)，而目前又沒(méi)有進(jìn)行任何網(wǎng)絡(luò)服務(wù)**作，那么在監(jiān)聽(tīng)該端口的就是特洛伊木馬了！如下圖所示的23456和23457端口都處于監(jiān)聽(tīng)狀態(tài)，很明顯是木馬造成的。
　　注意，使用此方法查詢處于監(jiān)聽(tīng)狀態(tài)的端口，一定要保證在短時(shí)間內(nèi)（最好5分鐘以上）沒(méi)有運(yùn)行任何網(wǎng)絡(luò)沖浪軟件，也沒(méi)有進(jìn)行過(guò)任何網(wǎng)絡(luò)**作，比如瀏覽網(wǎng)頁(yè)，收、發(fā)信等。不然容易混淆對(duì)結(jié)果的判斷。

　　2.刪除木馬

　　好了，用上面的一些方法發(fā)現(xiàn)自己的計(jì)算機(jī)中了木馬，那怎么辦？當(dāng)然要將木馬刪除了，難道還要保留它！首先要將網(wǎng)絡(luò)斷開(kāi)，以排除來(lái)自網(wǎng)絡(luò)的影響，再選擇相應(yīng)的方法來(lái)刪除它�！�

　　 a.由木馬的客戶端程序　

　　由先前在win.ini、system.ini和注冊(cè)表中查找到的可疑文件名判斷木馬的名字和版本。比如“netbus”、“netspy”等，很顯然對(duì)應(yīng)的木馬就是NETBUS和NETSPY。從網(wǎng)上找到其相應(yīng)的客戶端程序，下載并運(yùn)行該程序，在客戶程序?qū)?yīng)位置填入本地計(jì)算機(jī)地址：127.0.0.1和端口號(hào)，就可以與木馬程序建立連接。再由客戶端的卸除木馬服務(wù)器的功能來(lái)卸除木馬。端口號(hào)可由“netstat　-a”命令查出來(lái)。
這是最容易，相對(duì)來(lái)說(shuō)也比較徹底載除木馬的方法。不過(guò)也存在一些弊端，如果木馬文件名給另外改了名字，就無(wú)法通過(guò)這些特征來(lái)判斷到底是什么木馬。如果木馬被設(shè)置了密碼，既使客戶端程序可以連接的上，沒(méi)有密碼也登陸不進(jìn)本地計(jì)算機(jī)。當(dāng)然要是你知道該木馬的通用密碼，那就另當(dāng)別論了。還有，要是該木馬的客戶端程序沒(méi)有提供卸載木馬的功能，那么該方法就沒(méi)什么用了。當(dāng)然，現(xiàn)在多數(shù)木馬客戶端程序都是有這個(gè)功能的。

　　b.手工

　　不知道中的是什么木馬、無(wú)登陸的密碼、找不到其相應(yīng)的客戶端程序、......，那我們就手工慢慢來(lái)刪除這該死的木馬吧。

　　用msconfig打開(kāi)系統(tǒng)配置實(shí)用程序，對(duì)win.ini、system.ini和啟動(dòng)項(xiàng)目進(jìn)行編輯。屏蔽掉非法啟動(dòng)項(xiàng)。如在win.ini文件中，將將[WINDOWS]下面的“run=xxx”或“l(fā)oad=xxx”更改為“run=”和“l(fā)oad=”；編輯system.ini文件，將[BOOT]下面的“shell=xxx”，更改為：“shell=Explorer.exe”。

　　用regedit打開(kāi)注冊(cè)表編輯器，對(duì)注冊(cè)表進(jìn)行編輯。先由上面的方法找到木馬的程序名，再在整個(gè)注冊(cè)表中搜索，并刪除所有木馬項(xiàng)目。由查找到的木馬程序注冊(cè)項(xiàng)，分析木馬文件在硬盤(pán)中的位置（多在C:WINDOWS和C:WINDOWSCOMMAND目錄下）。啟動(dòng)到純MS-DOS狀態(tài)（而不是在Windows環(huán)境中開(kāi)個(gè)MS-DOS窗口），用del命令將木馬文件刪除。如果木馬文件是系統(tǒng)、隱藏或只讀文件，還得通過(guò)“attrib　-s　-h　-r”將對(duì)應(yīng)文件的屬性改變，才可以刪除。

　　為保險(xiǎn)起見(jiàn)，重新啟動(dòng)以后再由上面各種檢測(cè)木馬的方法對(duì)系統(tǒng)進(jìn)行檢查，以確保木馬的確被刪除了。

　　目前也有一些木馬是將自身的程序與Windows的系統(tǒng)程序進(jìn)行了綁定（也就是感染了系統(tǒng)文件）。比如常用到的Explorer.exe，只要Explorer.exe一得到運(yùn)行，木馬也就啟動(dòng)了。這種木馬可以感染可執(zhí)行文件，那就更象病毒了。由手工刪除文件的方法處理木馬后，一運(yùn)行Explorer.exe，木馬又得以復(fù)生！這時(shí)要?jiǎng)h除木馬就得連Explorer.exe文件也給刪除掉，再?gòu)膭e人相同**作系統(tǒng)版本的計(jì)算機(jī)中將該文件Copy過(guò)來(lái)就可以了

關(guān)于木馬－－一篇很實(shí)用的文章