|
一些最新流行的木馬 最有效果的防御就是修改名字,現(xiàn)在我們來說防范的方法,那就是把 windows\system\mshta.exe文件改名�����,改成什么自己隨便 (xp和win2000是在system32下)
比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....
假如你中了這個木馬 首先我們用進程管理器結(jié)束 正在運行的木馬smss.exe 然后在C:\windows 或 c:\winnt\目錄下 創(chuàng)建一個假的 smss.exe 并設(shè)置為只讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全(服務(wù)器租用找:51033397)設(shè)置” 設(shè)置為讀���。 這樣木馬沒了~ 以后也不會在感染了這個辦法本人測試過對很多木馬 都很有效果的。
經(jīng)過這樣的修改后���,我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測試���,實驗結(jié)果是上了大概20個木馬網(wǎng)站:(mszdt.com),有大概15個瑞星會報警�����,另外5個瑞星沒有反映��,而我的機器沒有添加出來新的EXE文件���,也沒有新的進程出現(xiàn)��,只不過有些木馬的殘骸留在了IE的臨時文件夾里�,他們沒有被執(zhí)行起來,沒有危險性���,所以建議大家經(jīng)常清理 臨時文件夾和IE��。
隨著病毒編寫技術(shù)的發(fā)展�,木馬程序?qū)τ脩舻耐{越來越大�����,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己�����,使普通用戶很難在中毒后發(fā)覺����。
防治木馬的危害,應(yīng)該采取以下措施:
第一���,安裝殺毒軟件和個人防火墻���,并及時升級。
第二���,把個人防火墻設(shè)置好安全(服務(wù)器租用找:51033397)等級�,防止未知程序向外傳送數(shù)據(jù)�����。
第三����,可以考慮使用安全(服務(wù)器租用找:51033397)性比較好的瀏覽器和電子郵件客戶端工具。
第四����,如果使用IE瀏覽器,應(yīng)該安裝卡卡安全(服務(wù)器租用找:51033397)助手��,防止惡意網(wǎng)站:(mszdt.com)在自己電腦上安裝不明軟件和瀏覽器插件�����,以免被木馬趁機侵入。
遠程控制的木馬有:冰河(國人的驕傲�,中國第一款木馬),灰鴿子���,上興,PCshare���,網(wǎng)絡(luò)神偷,F(xiàn)LUX等���,現(xiàn)在通過線程插入技術(shù)的木馬也有很多.現(xiàn)在的木馬程序常常和和DLL文件息息相關(guān)�����,被很多人稱之為“DLL木馬”���。DLL木馬的最高境界是線程插入技術(shù),線程插入技術(shù)指的是將自己的代碼嵌入正在運行的進程中的技術(shù)�����。理論上說�����,在Windows中的每個進程都有自己的私有內(nèi)存空間,別的進程是不允許對這個私有空間進行操作的�����,但是實際上�,我們?nèi)匀豢梢岳梅N種方法進入并操作進程的私有內(nèi)存,因此也就擁有了那個遠程進程相當?shù)臋?quán)限�����。無論怎樣���,都是讓木馬的核心代碼運行于別的進程的內(nèi)存空間,這樣不僅能很好地隱藏自己��,也能更好地保護自己���。
DLL不能獨立運行���,所以要想讓木馬跑起來,就需要一個EXE文件使用動態(tài)嵌入技術(shù)讓DLL搭上其他正常進程的車�����,讓被嵌入的進程調(diào)用這個DLL的 DllMain函數(shù),激發(fā)木馬運行��,最后啟動木馬的EXE結(jié)束運行�����,木馬啟動完畢�����。啟動DLL木馬的EXE是個重要角色���,它被稱為Loader�����, Loader可以是多種多樣的���,Windows的Rundll32.exe也被一些DLL木馬用來作為Loader,這種木馬一般不帶動態(tài)嵌入技術(shù)�,它直接注入Rundll32進程運行,即使你殺了Rundll32進程�,木馬本體還是存在的。利用這種方法除了可以啟動木馬之外�,不少應(yīng)用程序也采用了這種啟動方式��,一個最常見的例子是“3721網(wǎng)絡(luò)實名”����。
3721網(wǎng)絡(luò)實名”就是通過Rundll32調(diào)用“網(wǎng)絡(luò)實名”的DLL文件實現(xiàn)的�����。在一臺安裝了網(wǎng)絡(luò)實名的計算機中運行注冊表編輯器���,依次展開 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”��,發(fā)現(xiàn)一個名為“CnsMin”的啟動項,其鍵值為“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”���,CnsMin.dll是網(wǎng)絡(luò)實名的DLL文件���,這樣就通過 Rundll32命令實現(xiàn)了網(wǎng)絡(luò)實名的功能。
簡單防御方法
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
