木馬 2018-02-07 來源: 卓杰科技(www.08vd.com) 瀏覽:
核心提示:一些最新流行的木馬 最有效果的防御就是修改名字,現在我們來說防范的方法,那就是把 windows\system\mshta.exe文件改名,改成什么自己隨便 (xp和win2000是在system32下) 比如網絡上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 

98/winme/

一些最新流行的木馬 最有效果的防御就是修改名字,現在我們來說防范的方法,那就是把 windows\system\mshta.exe文件改名,改成什么自己隨便 (xp和win2000是在system32下)

比如網絡上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....

假如你中了這個木馬 首先我們用進程管理器結束 正在運行的木馬smss.exe 然后在C:\windows 或 c:\winnt\目錄下 創建一個假的 smss.exe 并設置為只讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全設置” 設置為讀?。?這樣木馬沒了~ 以后也不會

在感染了這個辦法本人測試過對很多木馬 都很有效果的。

經過這樣的修改后,我現在專門找別人發的木馬網址去測試,實驗結果是上了大概20個木馬網站,有大概15個瑞星會報警,另外5個瑞星沒有反映,而我的機器沒有添加出來新的EXE文件,也沒有新的進程出現,只不過有些木馬的殘骸留在了IE的臨時文件夾里,他們沒有

被執行起來,沒有危險性,所以建議大家經常清理 臨時文件夾和IE。

隨著病毒編寫技術的發展,木馬程序對用戶的威脅越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,使普通用戶很難在中毒后發覺。

防治木馬的危害,應該采取以下措施:

第一,安裝殺毒軟件和個人防火墻,并及時升級。 

第二,把個人防火墻設置好安全等級,防止未知程序向外傳送數據。

第三,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。

第四,如果使用IE瀏覽器,應該安裝卡卡安全助手,防止惡意網站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入。

遠程控制的木馬有:冰河(國人的驕傲,中國第一款木馬),灰鴿子,上興,PCshare,網絡神偷,FLUX等,現在通過線程插入技術的木馬也有很多.現在的木馬程序常常和和DLL文件息息相關,被很多人稱之為“DLL木馬”。DLL木馬的最高境界是線程插入技術,線程插入

技術指的是將自己的代碼嵌入正在運行的進程中的技術。理論上說,在Windows中的每個進程都有自己的私有內存空間,別的進程是不允許對這個私有空間進行操作的,但是實際上,我們仍然可以利用種種方法進入并操作進程的私有內存,因此也就擁有了那個遠程進程相

當的權限。無論怎樣,都是讓木馬的核心代碼運行于別的進程的內存空間,這樣不僅能很好地隱藏自己,也能更好地保護自己。

DLL不能獨立運行,所以要想讓木馬跑起來,就需要一個EXE文件使用動態嵌入技術讓DLL搭上其他正常進程的車,讓被嵌入的進程調用這個DLL的 DllMain函數,激發木馬運行,最后啟動木馬的EXE結束運行,木馬啟動完畢。啟動DLL木馬的EXE是個重要角色,它被稱為

Loader, Loader可以是多種多樣的,Windows的Rundll32.exe也被一些DLL木馬用來作為Loader,這種木馬一般不帶動態嵌入技術,它直接注入Rundll32進程運行,即使你殺了Rundll32進程,木馬本體還是存在的。利用這種方法除了可以啟動木馬之外,不少應用程序也采

用了這種啟動方式,一個最常見的例子是“3721網絡實名”。

3721網絡實名”就是通過Rundll32調用“網絡實名”的DLL文件實現的。在一臺安裝了網絡實名的計算機中運行注冊表編輯器,依次展開 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,發現一個名為“CnsMin”的啟動項,其鍵值

為“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是網絡實名的DLL文件,這樣就通過 Rundll32命令實現了網絡實名的功能。

在線咨詢

020-89202380

国产在线亚洲欧美手机