己動手清除計算機中隱藏的特洛伊***程序

特洛伊***是一種基於遠程控制的病毒程序，該程序具備很強的隱蔽性和危害性，它能夠在你並不知情的的狀態下控制你或者監視你的電腦。下面就講講***常常藏身的地方和清除方法。 　　　　首先查看本身的電腦中是否有*** 　　　　一、集成到程序中 　　　　其實***也是一個服務器-客戶端程序，它爲了避免讓用戶能輕易地把它刪除，就經常集成到程序裏，一旦用戶激活***程序，那麼***文件和某一應用程序捆綁在一塊兒，而後上傳到服務端覆蓋原文件，這樣即便***被刪除了，只要運行捆綁了***的應用程序，***又會被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那麼每一次Windows啓動均會啓動***。 　　　　二、隱藏在配置文件中 　　　　***實在是太狡猾，知道菜鳥們平時使用的是圖形化界面的操做系統，對於那些已經不過重要的配置文件大多數是漠不關心了，這正好給***提供了一個藏身之處。並且利用配置文件的特殊做用，***很容易就能在你們的計算機中運行、發做，從而偷窺或者監視你們。不過，如今這種方式不是很隱蔽，容易被發現，因此在Autoexec.bat和Config.sys中加載***程序的並很少見，但也不能所以而掉以輕心哦。 　　　　三、潛伏在Win.ini中 　　　　***要想達到控制或者監視計算機的目的，必需要運行，然而沒有人會傻到本身在本身的計算機中運行這個該死的***。固然，***也早有心理準備，知道人類是高智商的動物，不會幫助它工做的，所以它必須找一個既安全又能在系統啓動時自動運行的地方，因而潛伏在Win.ini中是***感受比較愜意的地方。你們不妨打開Win.ini來看看，在它的[windows]字段中有啓動命令「load=」和「run=」，在通常狀況下「＝」後面是空白的，若是有後跟程序，比方說是這個樣子：run=c:windowsfile.exe load=c:windowsfile.exe 　　　　這時你就要當心了，這個file.exe極可能是***哦。 　　四、假裝在普通文件中 　　　　這個方法出現的比較晚，不過如今很流行，對於不熟練的windows操做者，很容易上當。具體方法是把可執行文件假裝成圖片或文本----在程序中把圖標改爲Windows的默認圖片圖標, 再把文件名改成*.jpg.exe, 因爲Win98默認設置是"不顯示已知的文件後綴名",文件將會顯示爲*.jpg, 不注意的人一點這個圖標就中***了(若是你在程序中嵌一張圖片就更完美了)。 　　　　五、內置到註冊表中 　　　　上面的方法讓***着實舒服了一陣，既沒有人能找到它，又能自動運行，真是快哉！然而好景不長，人類很快就把它的馬腳揪了出來，並對它進行了嚴厲的懲罰！可是它還心有不甘，總結了失敗教訓後，認爲上面的藏身之處很容易找，如今必須躲在不容易被人發現的地方，因而它想到了註冊表！的確註冊表因爲比較複雜，***經常喜歡藏在這裏快活，趕快檢查一下，有什麼程序在其下，睜大眼睛仔細看了，別放過***哦：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下全部以「run」開頭的鍵值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下全部以「run」開頭的鍵值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下全部以「run」開頭的鍵值。 　　　　六、在System.ini中藏身 　　　　***真是無處不在呀！什麼地方有空子，它就往哪裏鑽！這不，Windows安裝目錄下的System.ini也是***喜歡隱蔽的地方。仍是當心點，打開這個文件看看，它與正常文件有什麼不一樣，在該文件的[boot]字段中，是否是有這樣的內容，那就是shell=Explorer.exe file.exe，若是確實有這樣的內容，那你就不幸了，由於這裏的file.exe就是***服務端程序！另外，在System.ini中的[386Enh]字段，要注意檢查在此段內的「driver=路徑程序名」，這裏也有可能被***所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個字段，這些段也是起到加載驅動程序的做用，但也是增添***程序的好場所，如今你該知道也要注意這裏嘍。 　　　　七、隱形於啓動組中 　　　　有時***並不在意本身的行蹤，它更注意的是可否自動加載到系統中，由於一旦***加載到系統中，任你用什麼方法你都沒法將它趕跑（哎，這***臉皮也真是太厚），所以按照這個邏輯，啓動組也是***能夠藏身的好地方，由於這裏的確是自動加載運行的好場所。動組對應的文件夾爲：C:windowsstart menuprogramsstartup，在註冊表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 　　ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。要注意常常檢查啓動組哦！ 　　　　八、隱蔽在Winstart.bat中 　　　　按照上面的邏輯理論，凡是利於***能自動加載的地方，***都喜歡呆。這不，Winstart.bat也是一個能自動被Windows加載運行的文件，它多數狀況下爲應用程序及Windows自動生成，在執行了Win.com並加載了多數驅動程序以後開始執行（這一點可經過啓動時按F8鍵再選擇逐步跟蹤啓動過程的啓動方式可得知）。因爲Autoexec.bat的功能能夠由Winstart.bat代替完成，所以***徹底能夠像在Autoexec.bat中那樣被加載運行，危險由此而來。 　　九、捆綁在啓動文件中 　　　　即應用程序的啓動配置文件，控制端利用這些文件能啓動程序的特色，將製做好的帶有***啓動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就能夠達到啓動***的目的了。 　　　　十、設置在超級鏈接中 　　　　***的主人在網頁上放置惡意代碼，引誘用戶點擊，用戶點擊的結果不言而喻：開門揖盜！奉勸不要隨便點擊網頁上的連接，除非你瞭解它，信任它，爲它死了也願意等等。　　　　下面再看***的清除方法 　　　　一、檢查註冊表中RUN、RUNSERVEICE等幾項，先備份，記下能夠啓動項的地址， 再將可疑的刪除。 　　　　二、刪除上述可疑鍵在硬盤中的執行文件。 　　　　三、通常這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們通常不會單獨存在，極可能是有某個母文件複製過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。 　　　　四、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoft　　Internet ExplorerMain中的幾項（如Local Page），若是被修改了，改回來就能夠。 　　　　五、檢查HKEY_CLASSES_ROOTinifileshellopencommand和　　HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個經常使用文件類型的默認打開程序是否被更改。這個必定要改回來。不少病毒就是經過修改.txt，.ini等的默認打開程序讓病毒「長生不老，永殺不盡」的。 　　　　六、若是有可能，對病毒的母文件進行反彙編，好比我上次中的那個病毒，經過用IDA反彙編，發現它還偷竊系統密碼並創建 %systemroot%systemmapis32a.dll 文件把密碼送到一個郵箱中，因爲我用的是W2K，因此它固然沒有得手。 　　　　至此，病毒徹底刪除！ 筆者建議有能力的話，時刻注意系統的變化，奇怪端口、可疑進程等等。 如今的病毒都不象之前那樣對系統數據破壞很嚴重，也好發現的多，因此儘可能本身殺毒（較簡單的病毒、***）。