病毒木馬的基本防禦和解決
關於病毒木馬網上的資料實在是太多,怎麼說都很難說是自己原創的文章,所以在此說明,凡是網上已經很詳細的資料就不再多寫了,主要是說明一個思法。是很簡單的東西。
說明:
1.這篇文章說的是不用任何工具的簡單的對病毒木馬的防禦和解決.
2.解決的也是簡單的木馬病毒,中了複雜的病毒木馬乾脆重裝。
3.針對的是Windows XP 專業版本系統。
4.關於網上已經很詳細的一些方法,不再做過多闡述。可自己搜尋。
一.基本防禦思想:制作備份勝於補救。
1.制作備份,裝好機器之後,首先制作備份c碟(系統碟)windows裡面,和C:\WINDOWS\system32下的文件目錄。
執行,cmd指令如下;
dir/a C:\WINDOWS\system32 >c:\1.txt
dir/a c:\windows >c:\2.txt
這樣就制作備份了windows和system32下面的文件列表,如果有一天覺得電腦有問題,同樣指令列出文件,然後cmd下面,fc指令比較一下,格式為,假如你出問題那一天system32列表為3.txt,那麼fc 1.txt 3.txt >c:/4.txt
(說明: dir/a是為了察看隱藏文件,制作備份位置放在c根目錄是為了好找)
因為木馬病毒大多要使用動態連接程式庫,可以對system32進行更詳細的列表制作備份,如下
cd C:\WINDOWS\system32
dir/a >c:\1.txt
dir/a *.dll >c:\>2.txt
dir/a *.exe >c:\>3.txt
然後把這些制作備份儲存在一個地方,除了問題對比一下列表便於察看多出了哪些DLL或者EXE文件,雖然有一些是安裝軟體的時候產生的,並不是病毒木馬,但是還是可以提共很好的參考的。
2.制作備份工作中的DLL, CMD下面指令
tasklist/m >c:/dll.txt
這樣正在執行的工作的DLL列表就會出現在c根目錄下面。以後可以對照一下,比較方法如上不多說,對於DLL木馬,一個一個檢查DLL太麻煩了。直接比較方便一些。
3.制作備份註冊表,
執行REGEDIT,文件——匯出——全部,然後隨便找一個地方儲存。
4.制作備份C碟,(硬碟大的朋友使用)
開始選單,所有程式,附件,系統工具,制作備份,然後按這說明下一步,選項我自己選項制作備份的內容,然後把系統制作備份在一個你選定的位置。
出了問題,同樣開啟,選項還原,然後找到你的制作備份,還原過去就是了。
(這個方法比系統還原好用,而且放心,只制作備份才安裝時候的系統就好,是最終解決方案。)
二,基本防禦思想,防病勝於治病。
1.關閉共享,這個網上說得很多,可以自己搜尋,不再詳細說明。關閉139.445連接阜,終止xp預設值共享。
2.關閉服務server,telnet, Task Scheduler, Remote Registry這四個。防止一般小黑客常用的at指令等等。其他的服務可以搜尋相關資料自己看著辦。(注意關閉以後定時殺毒定時昇級之類的計劃工作就不能執行了。)
3.控制台,系統管理工具,本機安全原則,安全原則,本機原則,安全性選項給管理員和guest用戶從新命名,最好是起一個中文名字的,如果修改了管理員的預設值空指令更好。不過一般改一個名字對於一般遊戲心態的黑客就足夠了對付了。高手一般不對個人電腦感興趣。
4.網路連接內容裡面除了tcp/ip傳輸協定全部其他的全部停用,或者乾脆卸載。
5.關閉遠端連接,桌面,我的電腦,內容,遠端,裡面取消就是了。也可以關閉Terminal Services服務,不過關閉了以後,工作管理器中就看不到用戶名字了。
三,基本解決方法,工作服務註冊表。
1. 首先應該對工作服務註冊表有一個簡單的瞭解,大約需要3個小時看看網上的相關知識應該就會懂得了。
2.檢查啟動項目,不建議使用執行msconfig指令,而要好好察看註冊表的run項目,和文件關聯,還有userinit,還有shell後面的explorer.exe是不是被改動。相關的不在多說,網上資料很多,有詳盡的啟動項目相關的文章。我只是說出思法。以下列出簡單的35個一般的啟動關聯項目:
1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13. HKEY_CURRENT_USER\Control Panel\Desktop
14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21. HKEY_CLASSES_ROOT\exefile\shell\open\command\
22. HKEY_CLASSES_ROOT\comfile\shell\open\command\
23. HKEY_CLASSES_ROOT\batfile\shell\open\command\
24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25. HKEY_CLASSES_ROOT\piffile\shell\open\command\
26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
(凡是木馬,必須要啟動,所以這些簡單的啟動項目還是應該好好看一下的。)
3.檢查服務,說一個簡單的,執行msconfig,服務,把「隱藏所有的microsoft服務」選,然後就看到了不是系統原有的的服務,要看清楚啊,最後在服務裡面找找看看內容,看看關聯的文件。現在一般殺毒都要增加服務,我其實討厭殺毒增加服務,不過好像是為了反病毒。
4.工作,這個網上資料更多,只說明兩點,1.開啟工作管理器,在「檢視」,「選項列」中把「pid」選,這樣可以看到pid,所謂pid簡單理解為就是工作的身份證,這樣便於很多相關的處理。2.點一個工作的時候右鍵有一個選項,「開啟所在目錄」,這個很明顯的,但是很多人都忽略了,這個可以看到工作文件所在的資料夾,便於診斷。
5.cmd下會使用,netstat –ano指令,覺得這一個指令對於簡單的使用就可以了,可以檢視傳輸協定連接阜連接和遠端ip.
6.移除註冊表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{0D43FE01-F093-11CF-8940-00A0C9054228}
兩個項目,搜尋到以後你會看到是兩個和指令碼相關的,制作備份以後移除,主要是防止一下網上的惡意程式碼
(如果對指令碼感興趣,自己準備教學相關知識並且測試的朋友不要移除)
四,舉一個簡單的清除例子。
1.對象是包含在一個流行BT綠色軟體裡面的木馬,殺毒可以殺出,但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和清除,當然任何工具中包括殺毒。
2.中毒判斷:使用時候,忽然硬碟燈無故猛烈閃爍。系統有短暫速度變慢。有程序不正常的反映,懷疑有問題。
2.檢查,服務發現多了一個不明服務,文件指向C:\Program Files\Internet Explorer下面的server.exe文件,明顯的這不是系統原有的的文件,指令行下察看連接阜,有一個平常沒有得連接阜連接。工作發現不明工作。啟動項目增加server.exe.確定是木馬。
4.清除:開啟註冊表,關閉工作,移除啟動項目,註冊表搜尋相關服務名字,移除,移除源文件。同時檢查temp資料夾,發現有一個新的資料夾,裡面有一個「免殺.exe」文件,移除,清理快取。當然最好是安全模式下進行。
5.對照原來制作備份的system32下面的dll列表,發現可疑dll文件,移除,也可以在檢視選項「選項詳細資料」選項上「新增日期」(這個系統預設值是沒有增加的),然後檢視詳細資料,按新增日期顯示,可以發現新新增的文件。這個木馬比較簡單,沒有修改文件日期。
(這是一個簡單的病毒,時間長了,記不住具體病毒開啟的服務的名字和開啟的連接阜了,只是說明一下思法。提醒的就是一定不要忘記了清理快取,因為很多文件安裝或者下載的時候是存在那裡的,有時候忘記了清理,病毒如果關聯在這個文件上,移除後還會出現的。)
特絡伊木馬如何利用文件關聯和設定名ZT
木馬對文件關聯的利用
我們知道,在註冊表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以載入程序,使之開機時自動執行,類似「Run」這樣的子鍵在註冊表中還有幾處,均以「Run」開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改註冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的開啟方式,這樣就可以使程序跟隨您開啟的那種檔案類型一起啟動。舉例來說,開啟註冊表,展開註冊表到HKEY_CLASSES_ROOTexefileshell opencommand,這裡是exe文件的開啟方式,預設值鍵值為:「%1」%*。如果把預設值鍵值改為Trojan.exe「%1」%*,您每次執行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就採用關聯exe文件的開啟方式,而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。
對付這種隱藏方法,主要是經常檢查註冊表,看文件的開啟方式是否發生了變化。如果發生了變化,就將開啟方式改回來。最好能經常制作備份註冊表,發現問題後立即用備份檔案恢復註冊表,既方便、快捷,又安全、省事。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或資料夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾,讓木馬可以躲在那裡而不被發現。
具體方法是:點擊「開始」表單的「執行」,輸入cmd.exe,Enter鍵進入命令提示字元視窗,然後輸入md c:con\指令,可以建立一個名為con的目錄。預設值請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\指令,可以建立aux目錄,輸入md c
rn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: nul\則可以建立一個名為nul的目錄。在檔案總管中依次點擊試試,您會發現當我們試圖開啟以aux或com1命名的資料夾時,explorer.exe失去了回應,而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中,從而達到隱藏、保護木馬程序的目的。
現在,我們可以把文件複製到這個特殊的目錄下,當然,不能直接在Windows中複製,需要採用特殊的方法,在CMD視窗中輸入copy muma.exe \.c:aux\指令,就可以把木馬文件muma.exe複製到C碟下的aux資料夾中,然後點擊「開始」表單中的「執行」,在「執行」中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊資料夾名進入此類特殊目錄,不過,如果您要試圖在檔案總管中移除它,會發現這根本就是徒勞的,Windows會提示找不到該檔案。
由於使用del c:aux\指令可以移除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難移除。具體方法就是在複製木馬文件到aux資料夾時使用指令copy muma.exe \.c:con.exe,就可以把木馬文件muma.exe複製到aux目錄中,並且改名為con.exe,而con.exe文件是無法用普通方法移除的。
可能有的朋友會想,這個con.exe文件在「開始」表單的「執行」中無法執行啊。其實不然,只要在指令行方式下輸入cmd /c \.c:con就可以執行這個程序了。在執行時會有一個cmd視窗一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機指令碼,也可以利用cmd.exe的autorun:在註冊表
HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要執行的.bat文件或.cmd文件的路徑,如c:winnt system32 auto.cmd,如果建立相應的文件,它的內容為@\.c:con,就可以達到隱蔽的效果。
對於這類特殊的資料夾,發現後我們可以採用如下方法來移除它:先用del \.c:con.exe指令移除con.exe文件(該檔案假設就是其中的木馬檔案名),然後再用rd \.c:aux指令移除aux資料夾即可。
木馬對AutoRun的利用
AutoRun不僅能套用於光碟中,同樣也可以套用於硬碟中(要注意的是,AutoRun.inf必須存放在磁牒根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
開啟記事本,新增一個文件,將其命名為AutoRun.inf,在AutoRun.inf中按鍵輸入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=Crogram FilesACDSeeACDSee.exe
其中,「[AutoRun]」是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴系統執行它下面幾行的指令;第二行「Icon=C:WindowsSystemShell32.DLL,21」是給硬碟或光碟設定一個個性化的圖示,「Shell32.DLL」是包含很多Windows圖示的系統檔案,「21」表示顯示編號為21的圖示,無數位則預設值採用文件中的第一個圖示;第三行「Open=Crogram FilesACDSeeACDSee.exe」指出要執行程序的路徑及其檔案名。
如果把Open行換為木馬文件,並將這個AutoRun.inf文件設定為隱藏內容,我們點擊硬碟時就會啟動木馬。
為防止遭到這樣的「埋伏」,可以禁止硬碟AutoRun功能。在「開始」表單的「執行」中輸入Regedit,開啟註冊表編輯器,展開到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主鍵下,在右側視窗中找到「NoDriveTypeAutoRun」,就是它決定了是否執行CDROM或硬碟的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬碟的AutoRun功能,如果改為B5,00,00,00則禁止光碟的AutoRun功能。修改後重新啟動電腦,設定就會生效。