下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

系统安全知多点之木马的运行原理

作者:课课家     来源: http://www.kokojia.com点击数:818发布时间: 2016-12-17 16:35:33

标签: 系统/运维系统安全木马防护

  众所周知木马病毒是指通过特定的程序来控制另一台计算机,通常木马有两个可执行程序:一个是控制端,另一个是被控制端。和一般的病毒不同的是它不会自我繁殖也不会刻意地去感染其他文件,而是通过将伪装从而吸引用户下载并执行,最终向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。那么木马到底是怎样在我们的计算机中运行工作的呢?为此本次的讲解课课家笔者就为大家简单介绍木马的运行原理以及简单的提防技巧。

系统安全知多点之木马的运行原理_系统/运维_系统安全_木马防护_课课家

  我们知道虽然现在市面上有很多新版杀毒软件都可以自动清除木马,但道高一尺魔高一丈,新出现的木马永远走在杀毒软件之前,因此最关键的我们还是要知道木马的工作原理,如此一来我们就能比较容易发现木马并进行相关的防护清除工作。

  通常木马程序会想尽一切办法隐藏自己,其主要途径有:

  ①在任务栏中隐藏自己:具体为把Form的Visible属性设为False、Show In Task Bar设为False,这样木马程序运行时就不会出现在任务栏中了。

  ②在任务管理器中隐形:将程序设为“系统服务”可来伪装自己。

  木马程序会在每次用户启动时自动装载服务端,比如Windows系统启动时自动加载木马应用程序。另外系统中的“启动组、win.ini、system.ini、注册表”等等都是木马程序入侵的主要地方。下面笔者给大家简单介绍木马自动加载原理方法,分别对应入侵的地方是win.ini、system.ini以及注册表:

  ①win.ini

  在[Windows]下面,“run=”和“load=”是可能加载木马程序的途径。一般情况下它们的等号后面不添加任何文字,如果我们发现后面跟有路径与文件名不是我们熟悉的启动文件,此时计算机就可能中木马了。另外好多木马程序比如“AOLTrojan木马”,它把把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

  ②system.ini

  在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是木马程序。

  ③注册表

  检查注册表中有没有木马程序,我们可以通过regedit命令打开注册表编辑器,通过鼠标点击到:“HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run”的目录下,查看键值中有没有不熟悉的自动启动文件且扩展名为EXE。这里需要大家注意的地方是有的木马程序生成的文件很像系统自身文件,比如“Acid Battery v1.0木马”,它会将注册表“HKEY-LOCAL-MACHINE\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run”下的Explorer键值改为Explorer=“C:\\WINDOWS\\expiorer.exe”,木马程序和真正的Explorer之间只有“i”与“l”的差别。事实上在注册表其他地方中还有很多地方都可以隐藏木马程序,比如:“HKEY-CURRENT-USER\\Software\\Microsoft\\Windows\\Current Version\\Run”、“HKEY-USERS\\****\\Software\\Microsoft\\Windows\\Current Version\\Run”的目录下都有可能,查找的最好的办法就是在“HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run”下找到木马程序的文件名,然后在整个注册表中搜索就可以了。

  通常如果我们发现有木马存在,最行之有效的方法如下几步:

  ①将计算机和网络断开以达到防止黑客通过网络对我们展开攻击。

  ②编辑win.ini文件,将[Windows]下面的“run=木马程序”或者“load=木马程序”更改为“run=”和“load=”。

  ③编辑system.ini文件,将[BOOT]下面的“shell=木马文件”更改为:“shell=explorer.exe”。

  ④在注册表中用regedit对注册表进行编辑,我们先在“HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run”下找到木马程序的文件名,然后在整个注册表中搜索并替换掉木马程序。另外我们还需要注意的地方是:部分木马程序并不是直接将“HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run”下的木马键值删除就行了,比如“BladeRunner木马”,如果我们删除它木马会立即自动加上,此时我们需要做的是记下木马的名字与目录,然后退回到MS-DOS下找到此木马文件并删除掉。

  ⑤重新启动计算机,然后再到注册表中将所有木马文件的键值删除。

  以上就是木马的运行原理以及简单的防护技巧。

  本次的系统安全知多点之木马的运行原理的讲解到此就暂告一段落,如果以后有什么相关的内容继续进行补充或者修改的话,笔者会在此继续进行相关的内容的补充或者修改的工作,同时也欢迎大家对本次的讲解提出自己的建议和补充。最后笔者希望本次的讲解对大家学习系统运维能够起到一定的帮助作用!

赞(0)
踩(0)
分享到:
华为认证网络工程师 HCIE直播课视频教程