教你如何一次性的幹掉牛皮癬般的木馬

[psac]

教你如何一次性的幹掉牛皮癬般的木馬

問:現在的木馬種類繁多，而且有些木馬十分頑固，根本沒法殺乾淨。有什麼方法能有效的防止木馬和清除它們的方法嗎?


　　答:
　　什麼是木馬
　　你所說的木馬，也就是一種能潛伏在受害者電腦裡，並且秘密開放一個甚至多個資料傳輸通道的遠端控制程序，一般由兩部分組成:客戶端(Client)和伺服器端(Server)，客戶端也稱為控制端。



　　木馬的傳播感染其實指的就是伺服器端，入侵者必須通過各種手段把伺服器端程序傳送給受害者執行，才能達到木馬傳播的目的。當伺服器端被受害者電腦執行時，便將自身複製到系統目錄，並把執行程式碼加入系統啟動時會自動使用的區域裡，藉以達到跟隨系統啟動而執行，這一區域通常稱為「啟動項」。當木馬完成這部分操作後，便進入潛伏期——偷偷開放系統連接阜，等待入侵者連接。



　　 阻止木馬執行——查殺更徹底
　　 任何操作系統都會在啟動時自動執行一些程序，用以啟始化系統環境或額外功能等，這些被允許跟隨系統啟動而執行的程序被放置在專門的區域裡供系統啟動時載入執行，這些區域就是「啟動項」，不同的系統提供的「啟動項」數量也不同，對於Win9x來說，它提供了至少5個「啟動項」OS環境下的Autoexec.bat、Config.sys，Windows環境下的「啟動」程序組、註冊表的2個Run項和1個RunServices項，分別是:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　 到了2000/XP系統時代，DOS環境被取消，卻新增了一種稱之為「服務」的啟動區域，註冊表也在保持原項目不變的基礎上增加了2個「啟動項」:
　　項目 鍵名


　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run 　
　　這麼多的啟動入口，木馬自然不會放過，於是我們經常在一些電腦的啟動項裡發現陌生的程式名稱，這時候就只能交由你或者病毒防火牆來判斷了，畢竟系統自身會在這裡放置一些必要的啟始化程序，還有一些正常工具，包括病毒防火牆和網路防火牆，它們也必須通過啟動項來實現跟隨系統啟動。


　　此外還有一種不需要通過啟動項也能達到跟隨系統啟動的卑劣手法，那就是「系統路徑遍歷優先等級欺騙」，Windows系統搜尋一個不帶路徑訊息的文件時遵循一種「從外到裡」的規則，它會由系統所在磁碟代號的根目錄開始向系統目錄深處遞進搜尋，而不是精確定位的，這就意味著，如果有兩個同樣名稱的文件分別放在C:\和C:\Windows下，Windows會執行C:\下的程序，而不是C:\Windows下的。



這樣的搜尋邏輯就給入侵者提供了一個機會，木馬可以把自己改為系統啟動時必定會使用的某個檔案名，並複製到比原文件要淺一級以上的目錄裡，Windows就會想當然的執行了木馬程序，系統的噩夢就此拉開序幕。這種手法常被用於「internat.exe」，因為無論哪個Windows版本的啟動項裡，它都是沒有設定路徑的。



　　要提防這種佔用啟動項而做到自動執行的木馬，用戶必須瞭解自己機器裡所有正常的啟動項訊息，才能知道木馬有沒有混進來。至於利用系統路徑漏洞的木馬，則只能靠用戶自己的細心了。




　　根除木馬——文件並聯型木馬的查殺
　　某些用戶經常會很鬱悶，自己明明已經移除了木馬文件和相應的啟動項，可是不知道什麼時候它自己又原封不動的回來了，這還不算，更悲慘的是有時候殺掉某個木馬後，系統也出了故障:所有應用程式都打不開了。


這時候，如果用戶對電腦技術的瞭解僅限於使用殺毒軟體，那可只能哭哭啼啼的重裝系統了!
　　為什麼會這樣?難道這種木馬還惡意修改了系統核心?其實答案很簡單，因為這種木馬修改了應用程式(EXE文件)的並聯方式。
什麼是「並聯方式」呢?在Windows系統裡，文件的開啟操作是通過註冊表內相應鍵值指定的應用程式來執行的，這個部分位於註冊表的「HKEY_CLASSES_ROOT」主鍵內，當系統收到一個檔案名請求時，會以它的後面名為依據在這裡識別檔案類型，進而使用相應的程序開啟。


而應用程式自身也被視為一個文件，它也屬於一種檔案類型，同樣可以用其他方式開啟，只不過Windows設定它的使用程序為「"%1" %*」，讓系統內核理解為「可執行請求」，它就會為使用這種開啟方式的文件新增工作，最終文件就被載入執行了，如果有另外的程序更改了這個鍵值，Windows就會使用那個指定的文件來開啟它。


一些木馬程序把EXE後面名對應的exefile檔案類型的「開啟方式」改成了「木馬程序 "%1" %*」，執行程序時系統就會先為「木馬程序」新增工作，把緊跟著的檔案名作為參數傳送給它執行，於是在我們看來程序被正常啟動了。


因為木馬程序被作為所有EXE文件的使用程序，使得它可以長期駐停留記憶體，每次都能恢復自身文件，所以在一般用戶看來，這個木馬就做到了「永生不死」。然而一旦木馬程序被移除，Windows就會找不到相應的使用程序，於是正常程序就無法執行了，這就是所謂的「所有程式都無法執行」的情況來源，並不是木馬更改了系統核心，更沒必要因此重裝整個系統。




　　根除這種木馬的最簡單方法只需要檢視EXE文件的開啟方式被指向了什麼程序，立即停止這個程序的工作，如果它還產生了其他木馬文件的話，也一起停止，然後在保持註冊表編輯器開啟著的情況下(否則你的所有程式都會打不開了)移除掉所有木馬文件，把exefile的「開啟方式」項(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原來的「」%1」 %*」即可。


　
　　如果移除木馬前忘記把並聯方式改回來，就會發現程序打不開了，這時候不要著急，如果你是Win9x用戶，請使用「外殼取代大法」:重啟後按F8進入啟動表單選項MS-DOS模式，把Explorer.exe隨便改個名字，再把REGEDIT.EXE改名為Explorer.exe，再次重啟後會發現進入Windows只剩下一個註冊表編輯器了，趕快把並聯方式改回來吧!重啟後別忘記恢復以前的Explorer.exe。



　　對於Win2000/XP用戶而言，這個操作更簡單了，只要在開機時按F8進入啟動表單，選「命令提示字元的安全模式」，系統就會自動使用命令提示字元界面作為外殼，直接在裡面輸入REGEDIT即可開啟註冊表編輯器!XP用戶甚至不需要重啟，直接在「開啟方式」裡瀏覽到CMD.EXE就能開啟「命令提示字元」界面執行註冊表編輯器REGEDIT.EXE了。 　


　　追回被盜的系統檔案
　　除了增加自己到啟動項、路徑欺騙和更改文件並聯以外，一般的木馬還有一種伎倆可以使用，那就是取代系統檔案。由於如今的操作系統都是由許多文件共同構造的，並不是所有用戶都能明白系統檔案夾裡每個文件的作用，這就給了木馬可乘之機，它們盯上了系統裡那些不會危害到系統正常執行而又經常會被使用的程式文件，像輸入法指示程序internat.exe、讓動態連接庫可以像程序一樣執行的rundll32.exe等。



木馬先把系統原來的文件改名成只有它們自己知道的一個偏僻檔案名，再把自己改名成那個被取代的文件，這樣就完成了隱藏極深的感染工作，從此只要系統需要使用那個被取代的程序進行工作，木馬就能繼續駐停留記憶體了。



那麼文件被取代會不會導致系統異常呢?只要木馬沒有被移除，就不會造成系統異常，因為木馬在作為原來的程序而被系統啟動時，會獲得一個由系統傳送來的執行參數，這就是系統要求該程序工作的關鍵所在，木馬會直接把這個參數傳送給被改名的程序執行，像接力比賽那樣完成資料操作，這樣在系統看來就是指令被正常執行了，自然不會出現異常。但是也因為這樣的特性導致木馬被查殺後，系統的某些指令無法傳送到本該執行操作的程序中，反而讓系統出現錯誤了。


要修復它其實很簡單，只要記住這個木馬的檔案名，在移除它之後再從系統光碟複製一個「原配」文件就可以了，如果沒有系統光碟，就必須通過工具追蹤木馬傳送參數的目標程式名稱，再把它改回來。