木马隐藏技术及其检查与清除方法
在系统中,木马是一个头痛的问题。其次,介绍了木马程序的隐藏技术和自动加载方法,并介绍了如何处理这些技术的方法。特洛伊木马程序隐藏自己的方式
特洛伊木马程序将尽一切可能隐藏自己,主要方式是:
在任务栏中隐藏自己是最基本的事情。如果你设置为false,showintaskbar形式不可见的属性,运行时不会出现在任务栏。
在任务管理器中,隐身:木马简单地设置程序系统服务;它可以很容易地伪装自己。当然,它会静静的,不是每次用户启动后自己点击木马;图标来运行服务器,所以木马;将自动加载服务器用户每次启动时,自动加载应用程序的方法,Windows系统启动木马;将被使用,如启动:Win.ini、组、system.ini、注册表等等都是木马;藏身的好地方。
看看木马是否自动加载
在win.ini文件中,在Windows{ },,运行=和负荷= 可以加载木马程序的方式必须注意他们。正常情况下,这背后是等于零。如果你找到一个路径与文件名不是你熟悉的启动文件,你的计算机可能会在中间的木马。当然,你得看清楚,因为很多木马、AOLTrojan木马,它将自己伪装成command.exe文件,如果不支付注意,它可能不会发现它不是真正的系统启动文件。
在system.ini文件,下有一个启动} {;壳=文件名。正确的文件名应该是explorer.exeexplorer.exe如果没有;但壳,为explorer.exe;程序;然后,程序是木马程序,你所拥有的;木马。
在注册表中最复杂的,注册表编辑器打开点击regedit命令:HKEY LOCAL machinesoftwaremicrosoftwindowscurrentversionrun目录,检查重点是没有自动启动文件他们不熟悉的延伸的EXE,记住:一些木马程序生成的文件系统的文件通过假装喜欢他们蒙混过关,如,acidbatteryv1.0木马;它将注册表的HKEY LOCAL machinesoftwaremicrosoftwindowscurrentversionrun探测器的关键资源= C:windowsexpiorer.exe木马;,与真正的探险家之间,只有;程序Il差异。当然,有很多的注册表的地方可以隐藏木马程序,HKEY CURRENT usersoftwaremicrosoftwindowscurrentversionrun,如:用户登录库句炳* softwaremicrosoftwindowscurrentversionrun目录是可能的,最好的办法是在HKEY LOCAL machinesoftwaremicrosoftwindowscurrentversionrun发现木马程序;文件名,那么你可以在注册表中搜索。
检查并杀死特洛伊木马;
知道了木马的工作原理,查杀了木马,就变得容易了。
如果发现了特洛伊木马。最安全、最有效的方法是立即切断计算机与网络的连接,以防止黑客通过网络攻击你。
然后编辑win.ini文件,{窗口},run=木马程序,,或负荷= 木马程序改为;;;;
编辑SYSTEM.INI文件{ }下启动;壳= ' ';木马;文件改为:壳exe =探险家;;
在注册表中,用注册表编辑器注册表编辑器,在HKEY LOCAL第一;machinesoftwaremicrosoftwindowscurrentversionrun发现木马程序;文件名,然后在注册表中搜索和替换的木马程序。
有时也需要特别注意:有些木马程序不是直接到HKEY LOCAL machinesoftwaremicrosoftwindowscurrentversionrunldquo 木马;键删除它,因为一些木马;如:BladeRunnerldquo,木马;如果你删除它,木马;将自动添加;你需要记住的是,木马的名称;然后返回目录,MS-DOS,找到木马;文件和删除,重新启动计算机,然后再去注册表删除所有木马;该文件的核心价值。