影音先锋男人资源av站_狠狠色综合激情丁香五月_爱爱爱爱看视频_在线播放免费人成视频在线观看_少妇人妻综合久久中文字幕_国产午夜无码精品免费看_久久久久久夜精品精品免费啦_男人女人午夜视频免费_日本xxxx裸体xxxx_丰满人妻熟妇乱又仑精品

電子科大論壇-非清水河畔

標題: 安全第一 一次性干掉牛皮癬般的木馬 [打印本頁]
作者: naughtyhui    時間: 2006-5-14 12:57
標題: 安全第一 一次性干掉牛皮癬般的木馬
·安全第一 一次性干掉牛皮癬般的木馬
  問:現在的木馬種類繁多,而且有些木馬十分頑固,根本沒法殺干凈。有什么方法能有效的防止木馬和清除它們的方法嗎?
  
  答:
  
  什么是木馬
  
  你所說的木馬,也就是一種能潛伏在受害者計算機里,并且秘密開放一個甚至多個數據傳輸通道的遠程控制程序,一般由兩部分組成:客戶端(Client)和服務器端(Server),客戶端也稱為控制端。
  
  木馬的傳播感染其實指的就是服務器端,入侵者必須通過各種手段把服務器端程序傳送給受害者運行,才能達到木馬傳播的目的。當服務器端被受害者計算機執(zhí)行時,便將自身復制到系統(tǒng)目錄,并把運行代碼加入系統(tǒng)啟動時會自動調用的區(qū)域里,借以達到跟隨系統(tǒng)啟動而運行,這一區(qū)域通常稱為“啟動項”。當木馬完成這部分操作后,便進入潛伏期——偷偷開放系統(tǒng)端口,等待入侵者連接。
  
  阻止木馬運行——查殺更徹底
  
  任何操作系統(tǒng)都會在啟動時自動運行一些程序,用以初始化系統(tǒng)環(huán)境或額外功能等,這些被允許跟隨系統(tǒng)啟動而運行的程序被放置在專門的區(qū)域里供系統(tǒng)啟動時加載運行,這些區(qū)域就是“啟動項”,不同的系統(tǒng)提供的“啟動項”數量也不同,對于Win9x來說,它提供了至少5個“啟動項”OS環(huán)境下的Autoexec.bat、Config.sys,Windows環(huán)境下的“啟動”程序組、注冊表的2個Run項和1個RunServices項,分別是:
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  
  到了2000/XP系統(tǒng)時代,DOS環(huán)境被取消,卻新增了一種稱之為“服務”的啟動區(qū)域,注冊表也在保持原項目不變的基礎上增加了2個“啟動項”:
  
  項目 鍵名
  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
  
  這么多的啟動入口,木馬自然不會放過,于是我們經常在一些計算機的啟動項里發(fā)現陌生的程序名,這時候就只能交由你或者病毒防火墻來判斷了,畢竟系統(tǒng)自身會在這里放置一些必要的初始化程序,還有一些正常工具,包括病毒防火墻和網絡防火墻,它們也必須通過啟動項來實現跟隨系統(tǒng)啟動。
  
  此外還有一種不需要通過啟動項也能達到跟隨系統(tǒng)啟動的卑劣手法,那就是“系統(tǒng)路徑遍歷優(yōu)先級欺騙”,Windows系統(tǒng)搜尋一個不帶路徑信息的文件時遵循一種“從外到里”的規(guī)則,它會由系統(tǒng)所在盤符的根目錄開始向系統(tǒng)目錄深處遞進查找,而不是精確定位的,這就意味著,如果有兩個同樣名稱的文件分別放在C:\和C:\Windows下,Windows會執(zhí)行C:\下的程序,而不是C:\Windows下的。這樣的搜尋邏輯就給入侵者提供了一個機會,木馬可以把自己改為系統(tǒng)啟動時必定會調用的某個文件名,并復制到比原文件要淺一級以上的目錄里,Windows就會想當然的執(zhí)行了木馬程序,系統(tǒng)的噩夢就此拉開序幕。這種手法常被用于“internat.exe”,因為無論哪個Windows版本的啟動項里,它都是沒有設置路徑的。
  
  要提防這種占用啟動項而做到自動運行的木馬,用戶必須了解自己機器里所有正常的啟動項信息,才能知道木馬有沒有混進來。至于利用系統(tǒng)路徑漏洞的木馬,則只能靠用戶自己的細心了。
·安全第一 一次性干掉牛皮癬般的木馬(2)
  根除木馬——文件并聯型木馬的查殺
  
  某些用戶經常會很郁悶,自己明明已經刪除了木馬文件和相應的啟動項,可是不知道什么時候它自己又原封不動的回來了,這還不算,更悲慘的是有時候殺掉某個木馬后,系統(tǒng)也出了故障:所有應用程序都打不開了。這時候,如果用戶對計算機技術的了解僅限于使用殺毒軟件,那可只能哭哭啼啼的重裝系統(tǒng)了!
  
  為什么會這樣?難道這種木馬還惡意修改了系統(tǒng)核心?其實答案很簡單,因為這種木馬修改了應用程序(EXE文件)的并聯方式。
  
  什么是“并聯方式”呢?在Windows系統(tǒng)里,文件的打開操作是通過注冊表內相應鍵值指定的應用程序來執(zhí)行的,這個部分位于注冊表的“HKEY_CLASSES_ROOT”主鍵內,當系統(tǒng)收到一個文件名請求時,會以它的后綴名為依據在這里識別文件類型,進而調用相應的程序打開。而應用程序自身也被視為一個文件,它也屬于一種文件類型,同樣可以用其他方式開啟,只不過Windows設置它的調用程序為“"%1" %*”,讓系統(tǒng)內核理解為“可執(zhí)行請求”,它就會為使用這種打開方式的文件創(chuàng)建進程,最終文件就被加載執(zhí)行了,如果有另外的程序更改了這個鍵值,Windows就會調用那個指定的文件來開啟它。一些木馬程序把EXE后綴名對應的exefile類型的“打開方式”改成了“木馬程序 "%1" %*”,運行程序時系統(tǒng)就會先為“木馬程序”創(chuàng)建進程,把緊跟著的文件名作為參數傳遞給它執(zhí)行,于是在我們看來程序被正常啟動了。因為木馬程序被作為所有EXE文件的調用程序,使得它可以長期駐留內存,每次都能恢復自身文件,所以在一般用戶看來,這個木馬就做到了“永生不死”。然而一旦木馬程序被刪除,Windows就會找不到相應的調用程序,于是正常程序就無法執(zhí)行了,這就是所謂的“所有程序都無法運行”的情況來源,并不是木馬更改了系統(tǒng)核心,更沒必要因此重裝整個系統(tǒng)。
  
  根除這種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序,立即停止這個程序的進程,如果它還產生了其他木馬文件的話,也一起停止,然后在保持注冊表編輯器開啟著的情況下(否則你的所有程序都會打不開了)刪除掉所有木馬文件,把exefile的“打開方式”項(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原來的“”%1” %*”即可。
  
  如果刪除木馬前忘記把并聯方式改回來,就會發(fā)現程序打不開了,這時候不要著急,如果你是Win9x用戶,請使用“外殼替換大法”:重啟后按F8進入啟動菜單選擇MS-DOS模式,把Explorer.exe隨便改個名字,再把REGEDIT.EXE改名為Explorer.exe,再次重啟后會發(fā)現進入Windows只剩下一個注冊表編輯器了,趕快把并聯方式改回來吧!重啟后別忘記恢復以前的Explorer.exe。
  
  對于Win2000/XP用戶而言,這個操作更簡單了,只要在開機時按F8進入啟動菜單,選“命令提示符的安全模式”,系統(tǒng)就會自動調用命令提示符界面作為外殼,直接在里面輸入REGEDIT即可打開注冊表編輯器!XP用戶甚至不需要重啟,直接在“打開方式”里瀏覽到CMD.EXE就能打開“命令提示符”界面運行注冊表編輯器REGEDIT.EXE了。
  
  追回被盜的系統(tǒng)文件
  
  除了添加自己到啟動項、路徑欺騙和更改文件并聯以外,一般的木馬還有一種伎倆可以使用,那就是替換系統(tǒng)文件。由于如今的操作系統(tǒng)都是由許多文件共同構造的,并不是所有用戶都能明白系統(tǒng)文件夾里每個文件的作用,這就給了木馬可乘之機,它們盯上了系統(tǒng)里那些不會危害到系統(tǒng)正常運行而又經常會被調用的程序文件,像輸入法指示程序internat.exe、讓動態(tài)鏈接庫可以像程序一樣運行的rundll32.exe等。木馬先把系統(tǒng)原來的文件改名成只有它們自己知道的一個偏僻文件名,再把自己改名成那個被替換的文件,這樣就完成了隱藏極深的感染工作,從此只要系統(tǒng)需要調用那個被替換的程序進行工作,木馬就能繼續(xù)駐留內存了。那么文件被替換會不會導致系統(tǒng)異常呢?只要木馬沒有被刪除,就不會造成系統(tǒng)異常,因為木馬在作為原來的程序而被系統(tǒng)啟動時,會獲得一個由系統(tǒng)傳遞來的運行參數,這就是系統(tǒng)要求該程序工作的關鍵所在,木馬會直接把這個參數傳遞給被改名的程序執(zhí)行,像接力比賽那樣完成數據操作,這樣在系統(tǒng)看來就是命令被正常執(zhí)行了,自然不會出現異常。但是也因為這樣的特性導致木馬被查殺后,系統(tǒng)的某些命令無法傳遞到本該執(zhí)行操作的程序中,反而讓系統(tǒng)出錯了。
  
  要修復它其實很簡單,只要記住這個木馬的文件名,在刪除它之后再從系統(tǒng)光盤復制一個“原配”文件就可以了,如果沒有系統(tǒng)光盤,就必須通過工具追蹤木馬傳遞參數的目標程序名,再把它改回來。



歡迎光臨 電子科大論壇-非清水河畔 (http://www.hallmarkedu.com/) Powered by Discuz! X3.4