转至繁体中文版     | 网站首页 | 图文教程 | 资源下载 | 站长博客 | 图片素材 | 武汉seo | 武汉网站优化 | 
最新公告:     敏韬网|教学资源学习资料永久免费分享站!  [mintao  2008年9月2日]        
您现在的位置: 学习笔记 >> 图文教程 >> 网络应用 >> 网络安全 >> 正文
详细介绍计算机木马下篇-2         ★★★★

详细介绍计算机木马下篇-2

作者:闵涛 文章来源:闵涛的学习笔记 点击数:1218 更新时间:2010/6/23 22:56:29

接下篇-1……

  四、防治木马

  现在我们来说防范的方法

  那就是把windows\system\mshta、exe文件改名,

  改成什么自己随便(xp和win2000是在system32下)

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility\下为ActiveSetupcontrols创建一个基于CLSID的新键值{6E449683_C509_11CF_AAFA_00AA00B6015C},然后在新键值下创建一个REG_DWORD类型的键Compatibility,并设定键值为0x00000400即可。

  还有windows\command\debug、exe和windows\ftp、exe都给改个名字(或者删除)

  一些最新流行的木马最有效果的防御:

  比如网络上流行的木马smss、exe这个是其中一种木马的主体潜伏在98/winme/xpc;\windows目录下2000c;\winnt、、、、、

  假如你中了这个木马首先我们用进程管理器结束正在运行的木马smss、exe然后在C;\windows或c;\winnt\目录下创建一个假的smss、exe并设置为只读属性~(2000/XPNTFS的磁盘格式的话那就更好可以用“安全设置”设置为读取)这样木马没了~以后也不会在感染了这个办法本人测试过对很多木马都很有效果的。

  经过这样的修改后,木马没有被执行起来,没有危险性,所以建议大家经常清理临时文件夹和IE。

  随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。

  防治木马的危害,应该采取以下措施:

  第一,安装杀毒软件和个人防火墙,并及时升级。

  第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。

  第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

  第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。

  远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多、现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。

  DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader,Loader可以是多种多样的,Windows的Rundll32、exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。

  “3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32C;\WINDOWS\Downlo~1\CnsMin、dll,Rundll32”,CnsMin、dll是网络实名的DLL文件,这样就通过Rundll32命令实现了网络实名的功能。

  简单防御方法

  DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。


[网页制作]background-position 用法详细介绍  [互联动态]详细介绍Windows7的新功能
[Web开发]详细介绍VB各种对话框的参数、分类及定制  [Web开发]详细介绍asp.net获取日期时间的各种格式的函数
[Web开发]VB随机函数Rnd详细介绍及实例  [网络安全]详细介绍计算机木马上篇
[网络安全]详细介绍计算机木马中篇  [网络安全]详细介绍计算机木马下篇-1
[网络技术]详细介绍子网掩码  [网络技术]详细介绍通过远程桌面连接控制远程服务器的操作方…
教程录入:mintao    责任编辑:mintao 
  • 上一篇教程:

  • 下一篇教程:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网]
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)

    同类栏目
    · QQ技巧  · 网络安全
    · 网络技术
    更多内容
    热门推荐 更多内容
  • 没有教程
  • 赞助链接
    更多内容
    闵涛博文 更多关于武汉SEO的内容
    An error occurred on the server when processing the URL. Please contact the system administrator.

    If you are the system administrator please click here to find out more about this error.

    | 设为首页 |加入收藏 | 联系站长 | 友情链接 | 版权申明 | 广告服务
    MinTao学以致用网

    Copyright @ 2007-2012 敏韬网(敏而好学,文韬武略--MinTao.Net)(学习笔记) Inc All Rights Reserved.
    闵涛 投放广告、内容合作请Q我! E_mail:admin@mintao.net(欢迎提供学习资源)

    站长:MinTao 信息产业部ICP备案号:鄂ICP备11006601号

    闵涛站盟:医药大全-武穴网A打造BCD……
    咸宁网络警察报警平台