|
一些最新流行的木馬 最有效果的防御就是修改名字,現(xiàn)在我們來(lái)說(shuō)防范的方法,那就是把 windows\system\mshta.exe文件改名��,改成什么自己隨便 (xp和win2000是在system32下)
比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 這個(gè)是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....
假如你中了這個(gè)木馬 首先我們用進(jìn)程管理器結(jié)束 正在運(yùn)行的木馬smss.exe 然后在C:\windows 或 c:\winnt\目錄下 創(chuàng)建一個(gè)假的 smss.exe 并設(shè)置為只讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全(服務(wù)器租用找:51033397)設(shè)置” 設(shè)置為讀取) 這樣木馬沒(méi)了~ 以后也不會(huì)在感染了這個(gè)辦法本人測(cè)試過(guò)對(duì)很多木馬 都很有效果的��。
經(jīng)過(guò)這樣的修改后���,我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測(cè)試���,實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站:(mszdt.com),有大概15個(gè)瑞星會(huì)報(bào)警�����,另外5個(gè)瑞星沒(méi)有反映��,而我的機(jī)器沒(méi)有添加出來(lái)新的EXE文件����,也沒(méi)有新的進(jìn)程出現(xiàn),只不過(guò)有些木馬的殘骸留在了IE的臨時(shí)文件夾里��,他們沒(méi)有被執(zhí)行起來(lái)�����,沒(méi)有危險(xiǎn)性�����,所以建議大家經(jīng)常清理 臨時(shí)文件夾和IE����。
隨著病毒編寫技術(shù)的發(fā)展����,木馬程序?qū)τ脩舻耐{越來(lái)越大����,尤其是一些木馬程序采用了極其狡猾的手段來(lái)隱蔽自己,使普通用戶很難在中毒后發(fā)覺(jué)��。
防治木馬的危害�����,應(yīng)該采取以下措施:
第一����,安裝殺毒軟件和個(gè)人防火墻,并及時(shí)升級(jí)����。
第二,把個(gè)人防火墻設(shè)置好安全(服務(wù)器租用找:51033397)等級(jí)�,防止未知程序向外傳送數(shù)據(jù)。
第三��,可以考慮使用安全(服務(wù)器租用找:51033397)性比較好的瀏覽器和電子郵件客戶端工具。
第四���,如果使用IE瀏覽器,應(yīng)該安裝卡卡安全(服務(wù)器租用找:51033397)助手��,防止惡意網(wǎng)站:(mszdt.com)在自己電腦上安裝不明軟件和瀏覽器插件���,以免被木馬趁機(jī)侵入����。
遠(yuǎn)程控制的木馬有:冰河(國(guó)人的驕傲��,中國(guó)第一款木馬)�,灰鴿子,上興,PCshare����,網(wǎng)絡(luò)神偷,F(xiàn)LUX等��,現(xiàn)在通過(guò)線程插入技術(shù)的木馬也有很多.現(xiàn)在的木馬程序常常和和DLL文件息息相關(guān)��,被很多人稱之為“DLL木馬”����。DLL木馬的最高境界是線程插入技術(shù)��,線程插入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)���。理論上說(shuō),在Windows中的每個(gè)進(jìn)程都有自己的私有內(nèi)存空間����,別的進(jìn)程是不允許對(duì)這個(gè)私有空間進(jìn)行操作的,但是實(shí)際上����,我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存,因此也就擁有了那個(gè)遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限����。無(wú)論怎樣,都是讓木馬的核心代碼運(yùn)行于別的進(jìn)程的內(nèi)存空間���,這樣不僅能很好地隱藏自己���,也能更好地保護(hù)自己。
DLL不能獨(dú)立運(yùn)行���,所以要想讓木馬跑起來(lái)����,就需要一個(gè)EXE文件使用動(dòng)態(tài)嵌入技術(shù)讓DLL搭上其他正常進(jìn)程的車,讓被嵌入的進(jìn)程調(diào)用這個(gè)DLL的 DllMain函數(shù)�,激發(fā)木馬運(yùn)行�����,最后啟動(dòng)木馬的EXE結(jié)束運(yùn)行�����,木馬啟動(dòng)完畢�����。啟動(dòng)DLL木馬的EXE是個(gè)重要角色�����,它被稱為L(zhǎng)oader�����, Loader可以是多種多樣的,Windows的Rundll32.exe也被一些DLL木馬用來(lái)作為L(zhǎng)oader�,這種木馬一般不帶動(dòng)態(tài)嵌入技術(shù),它直接注入Rundll32進(jìn)程運(yùn)行��,即使你殺了Rundll32進(jìn)程����,木馬本體還是存在的。利用這種方法除了可以啟動(dòng)木馬之外����,不少應(yīng)用程序也采用了這種啟動(dòng)方式,一個(gè)最常見(jiàn)的例子是“3721網(wǎng)絡(luò)實(shí)名”�����。
3721網(wǎng)絡(luò)實(shí)名”就是通過(guò)Rundll32調(diào)用“網(wǎng)絡(luò)實(shí)名”的DLL文件實(shí)現(xiàn)的�。在一臺(tái)安裝了網(wǎng)絡(luò)實(shí)名的計(jì)算機(jī)中運(yùn)行注冊(cè)表編輯器,依次展開(kāi) “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”�����,發(fā)現(xiàn)一個(gè)名為“CnsMin”的啟動(dòng)項(xiàng)�,其鍵值為“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是網(wǎng)絡(luò)實(shí)名的DLL文件���,這樣就通過(guò) Rundll32命令實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)名的功能����。
簡(jiǎn)單防御方法
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
