比较常见的木马病毒在XP系统中的几种启动方
关于木马病毒的六种启动方式
关于木马病毒的六种启动方式木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。
其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
一、通过"开始\程序\启动"隐蔽性:2星应用程度:较低这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动的,但木马却很少用它。
因为启动组的每人会会出现在“系统配置实用程序”(msconfig.exe,以下简称msconfig)中。
事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件隐蔽性:3星应用程度:较低同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Win16遗传到Win32的。
在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在msconfig中。
而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServi ces隐蔽性:3.5星应用程度:极高应用案例:BO2000,GOP,NetSpy,IEthief,冰河……这是很多Windows程序都采用的方法,也是木马最常用的。
windows xp 常见漏洞
开放分类:操作系统、计算机安全、补丁系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取您电脑中的重要资料和信息,甚至破坏您的系统。
Windows XP默认启动的UPNP服务存在严重安全漏洞。
UPNP(Universal Plug and Play)体系面向无线设备、PC机和智能应用,提供普遍的对等网络连接,在家用信息设备、办公用网络设备间提供TCP/IP连接和Web访问功能,该服务可用于检测和集成UPNP 硬件。
UPNP 协议存在安全漏洞,使攻击者可非法获取任何Windows XP 的系统级访问、进行攻击,还可通过控制多台XP 机器发起分布式的攻击。
对策(1)建议禁用UPNP服务。
(2)下载补丁程序,网址如下所述:/technet/treeview/default.asp?url=/technet/security/b ulletin/MS01-059.asp2.升级程序漏洞漏洞描述如将Windows XP升级至Windows XP Pro,IE 6.0即会重新安装,以前的补丁程序将被全部清除。
解释Windows XP的升级程序不仅会删除IE的补丁文件,还会导致微软的升级服务器无法正确识别IE是否存在缺陷,即Windows XP Pro系统存在两个潜在威胁,如下所述:(1)某些网页或HTML邮件的脚本可自动调用Windows的程序。
(2)可通过IE漏洞窥视用户的计算机文件。
对策如IE浏览器未下载升级补丁可至微软网站下载最新补丁程序。
3.帮助和支持中心漏洞删除用户系统的文件。
解释帮助和支持中心提供集成工具,用户通过该工具获取针对各种主题的帮助和支持。
在目前版本的Windows XP 帮助和支持中心存在漏洞,该漏洞使攻击者可跳过特殊的网页(在打开该网页时,调用错误的函数,并将存在的文件或文件夹的名字作为参数传送)来使上传文件或文件夹的操作失败,随后该网页可在网站上公布,以攻击访问该网站的用户或被作为邮件传播来攻击。
电脑常见病毒及解决方案演示文稿
日常该如何预防电脑病毒
教你如何预防电脑中毒 一 在浏览网页要注意预防一些虚假的欺骗信息,比如带挑逗性的图片文字、中奖信息、以 及虚假的警告(系统中毒、系统危险)等欺骗你的点击,一但点击这些信息,可能将你的电 脑链接到一些危险的站点。只要链接到这些站点,你的电脑有很可能感染上病毒!木马以及 其它恶意软件!(特别要注意:一些虚假的信息窗口和QQ的窗口很相似,要注意区分)对于 这些虚假的欺骗性的信息我们不要点击。也不要点击关闭的红叉按钮,因为关闭的叉按钮一 般也是虚假的。 二 在QQ聊天时要注意不要随意点击对方发送来的各种链接,比如网址、图片链接、以及其 它的文件附件;打开之前一定要确认是本人发送的安全链接。特别是陌生人发来的更要注意。 不要轻易打开!因为如果好友的计算机中了某些病毒的话,有可能自动向QQ好友名单发送病 毒以及木马信息。 三平时的积极预防,定期的查毒,杀毒。 在病毒和反病毒技术的较量过程中,病毒总是 领先一步,先有病毒,然后有反病毒。新的病毒层出不穷,而老的,旧的杀毒软件在新的病 毒面前可能束手无策。想要知道自己的计算机中是否染有病毒,最简单的方法是用最新的反 病毒软件对磁盘进行全面的检测。 四还要对自己的优盘定期查杀,以防有电脑病毒损害你的电脑。
为什么电脑病毒会删不掉
●系统还原文件 _restore文件夹是Windows Me/XP系统特有的系统还原文件夹,隐藏在该文件夹中的病 毒是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒,可以关闭 Windows系统的"系统还原"功能,清理系统还原点,或者直接删除_restore文件夹的内容。 ●疑似电脑病毒 有时杀毒软件会出现提示:.tsr.virus。该提示中,unknown是"不明的"意 思,tsr是内存驻留的意思,本信息一般提示的是纯DOS环境下的可执行文件,表明杀毒软件 在该文件中发现了可疑代码,类似病毒,但是没有确定是什么病毒。 如果疑似病毒提示涉及Type-Win32代码,则表示可疑的32位代码的意思,是指 Windows环境下可疑的可执行代码。对于疑似病毒,可以直接删除该文件,或者将这些"疑 似"的病毒文件发送给反病毒软件公司,请求帮助。 ●ex_文件感染病毒 以.ex_为扩展名称的文件是软件安装程序的部分文件,其中的病毒不能直接清除。只有 在软件完全安装成功后,方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。 ●在DOS下清除病毒 对于在引导区发现的病毒,如POLYBOOT/WYX.b病毒,请使用干净的系统盘启动系统到 DOS,然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中,可以直接删除 该文
XP系统八种启动模式
3.命令行提示符的安全模式:使用基本的文件和驱动程序启动Windows ,启动后进入命令提示窗口。注意该模式下将不会出现桌面和开始菜单,如果不小心关闭了该DOS窗口,则关机只能通过按"Ctrl+Alt+DEL"来打开"Windows 任务管理器",然后从它的"关机"菜单下选择;或者在任务管理器中加载新任务explorer.exe可以出现桌面和开始菜单,然后可以像正常模式一样关机。
4.启用启动日志:引导Windows 并将系统正常加载和没有正常加载的程序记录到文件中(文件的名称是ntbtlog.txt,位于Windows XP的安装目录winnt下),通过这个日志文件可以分析系统启动时出现问题的根本原因。
5.启用VGA模式:使用标准VGA驱动程序来引导Windows ,如果在安装了新的显示驱动程序后导致Windows 出现错误,则可以进入该模式,然后将错误的驱动程序删除后再安装其它驱动程序。该模式常用于解决因显卡驱动错误造成系统启动异常的问题。
XP系统八种启动模式
1.安全模式:选用安全模式启动Windows XP时,系统只调用一些最基本的文件和驱动程序,只使用少量设备,且不加载启动组中的任何内容;启动后不能与网络接通,许多设备也不能正常使用(Windows XP的安全模式下可以使用光驱)。这种模式有助于诊断系统产生的问题所在,如果新添加的设备或对驱动程序进行更改后系统有问题就可以进入安全模式,将出现问题的设备删除,然后再安装。如果安全模式下不能解决问题,则多半需要重新使用安装光于还原域控制器上的Sysvol目录和Active Directory(活动目录)服务的。
它实际上也是安全模式的一种。
8.调试模式:如果某些硬件使用了实模式驱动程序(如在config.sys和autoexec.bat中加载的某些驱动程序)并导致系统不能正常启动,就可以用调试模式来检查实模式驱动程序产生的冲突。在该模式下系统会反复测试并确定要使用或取消config.sys或autoexec.bat中的驱动程序,以便发现引起系统配置问题的设备驱动程序。
木马病毒的检测、清除及其预防
推荐 · 金山毒霸2005正式版 杀毒免费立刻下载
方法 通过网络连接或者系统进程
1.通过网络连接
由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。
(1)键入DOS命令以重新命名regedit.exe为 (本步骤可选)。
(2)运行注册表程序,找到下列键值 :
HKEY_CLASSES_ROOT exefileshellopencommand。
(3)在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”%*” where %windir%”中““%1”%*”以外部分删除。
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerShell Folders
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerUser Shell Folders
(3)启动病毒查杀软件,将查找出的带有TROJ_BADTRANS.A病毒的文件删除 。
3. 通过在注册表中实现。木马只要被加载,尽管有可能会隐藏得比较好,但一般都会在注册表中留下痕迹。一般来说,木马在注册表中自动加载的实现是在HKEY_LOCAL_MACHINESoftware
一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat -a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
木马通用的激活方式和清除方法
木马通用的激活方式和清除方法木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。
为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。
这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:run=C:Windows ile.exeload=C:Windows ile.exe则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。
举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。
如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。
当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。
十大常见木马及其查杀方法
十大常见木马及其查杀方法经过媒体的大量宣传,大家对木马有了一定的认识,但大多数人对木马还是陌生和恐惧的感觉。
其实,木马没有什么可神秘的,只要你能掌握以下国内最流行十大木马查杀,那么对付其它木马程序就很容易了——你会骄傲的说:木马查杀?Easy!名词解释木马其实质只是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
控制端对服务端进行远程控制的一方服务端被控制端远程控制的一方控制端程序控制端用以远程控制服务端的程序木马程序潜入服务端内部,获取其操作权限的程序木马端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序十大常见木马及其查杀方法冰河冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。
虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。
一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。
即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
常见木马一览
1kb病毒:硬盘各个分区原有的正常文件夹被隐藏,代之以1KB的同名文件夹.lnk文件。
误点击这些假冒文件夹后,病毒被激活。
av终结者:1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。
即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
为该病毒的下一步破坏打开方便之门。
5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。
假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。
这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8. 病毒程序的最终目的是下载更多木马、后门程序。
用户最后受损失的情况取决于这些木马和后门程序。
9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。
Global病毒:病毒、木马特征:this computer is being attacked文件夹同名exe病毒:顾名思义熊猫烧香:病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案MSN性感相册:病毒运行后,将创建下列文件:%WinDir%\photos.zip, 479382字节%SystemDir%\syshosts.dll, 22016字节在注册表中添加下列启动项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellS erviceObjectDelayLoad]"syshosts" = {71b1b601-4599-40ff-a283-73fc3c7de863}这样,在Windows启动时,病毒就可以自动执行。
常用进程与解毒
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
realsched.exe rnathchk.exe realsched.exe 这两个都是多媒体播放软件RealOnePlayer的在背后运行的程序。
Iexplore.exe 网络浏览器
internat.exe 托盘区的拼音图标
mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
更多其他常用程序的进程应该很好辨认了,比如你打开了记事本,就会多一个notepad.exe等等,这里就不再一一列举,只要你明白是你自己需要的进程即可。
�
下面列出的进程都是windows(XP/2000)常用的,另外随着程序打开的更多,会有更多的进程显示在里面,只要你经常观察,即可了解那些是正常的进程,哪些是可疑的进程,从而在电脑发生异常的时候,做出准确的判断。
--------------------------------------------------------------------------------
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
window xp中十个必须禁止的服务
window xp中十个必须禁止的服务!Meeting Remote Desktop Sharing:允许受权的用户通过NetMeeting在网络上互相访问对方。
这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。
2.Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。
这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。
攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。
另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息,此服务与Windows Messenger无关。
如果服务停止,Alerter消息不会被传输)。
这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。
而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。
4.Terminal Services:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。
如果你不使用Win XP的远程控制功能,可以禁止它。
5.Remote Registry:使远程用户能修改此计算机上的注册表设置。
注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
常见病毒端口列表
病毒名称W32.Nachi.Worm(MyDoom.A,MyDoom.B)W32.Blaster.Worm蠕虫病毒特征系统重启使用端口udp69 tcp135系统自动重启利用几种Windows系统弱口令漏洞tcp44 udp69 tcp135Dvldr32蠕虫病毒在网络上大面积传播的一种破坏力很强的蠕虫病毒针对SQL_SERVER_2000的漏洞,该蠕虫发送了大量针对1434端口的udp协议包,导致网络堵塞,甚至瘫痪病毒也是通过系统漏洞进行传播的,感染了病毒的电脑会出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象。
病毒利用的是系统的RPC漏洞,病毒攻击系统时会使RPC服务崩溃,该服务是Windows操作系统使用的一种远程过程调用协议“Sasser”蠕虫病毒使用多个进程扫描不同范围的互联网地址,试图在445端口上发现“易感的”LSASS组件。
该蠕虫主要攻击系统为NT/2000平台,通过探测445端口方式穷举管理员密码,并殖入一个后门程序使tcp5800 tcp5900 tcp445 tcp6667W32.SQLExp.Worm蠕虫病毒udp1434震荡波(Worm.Sasser)5554冲击波(Worm.Blaster)69 135 44“Sasser”的蠕虫病毒9996 5554139445Worm.DvLdr蠕虫得该机器的安全性降低到0。
一种利用IRC控制后门的病毒(或称bot),未经授权可以进入受感染Win32.Rbot蠕虫的机器。
它也具有类似蠕虫的功能,可以通过弱口令进入共享,并利用系统漏洞进行传播,同时可以利用其它的恶意程序生成的后门进行传播。
是一种通过网络共享并利用系统漏洞进行传播的蠕虫。
tcp139 tcp445Win32.Lioten.KX蠕虫tcp135 tcp139 tcp445如果感染该蠕虫病毒后网络带宽大量被占用,最终导致网络瘫痪。
该Killer2003蠕虫病毒是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击的。
XP系统下常见的被利用的启动项目汇总
[系统随机启动项目]HKEY_CLASSES_ROOT\*file\shell\open\command 值:*(文件关联)HKEY_CLASSES_ROOT\*file\shell\runas\command 值:*(打开方式)*\Software\Microsoft\Windows NT\CurrentVersion\AEDebug 值:Debugger (调试相关)*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 值:Shell (系统shell)*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 值:UserInit*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 值:System*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:Load*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:Run*\Software\Microsoft\Windows*\CurrentVersion\Run* 值:* (Run、Runonce、Runservices)HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors 值:*(打印挂钩)HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* 值:debugger (映像劫持注册项)HKLM\Software\Microsoft\Active Setup\Installed Components\* 值:StubPath(ACtive控件)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\KnownDLLs 值:* (知名Dll)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot 值:* (64位相关的32位重定向注册键)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WOW\NonWindowsApp 值:* (64位相关的32位重定向注册键)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WOW\standard 值:* (64位相关的32位重定向注册键)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers 值:*(驱动相关)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 值:* (驱动相关)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 值:AppInit_DLLs(鼠标挂钩)*\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 值:* (延迟加载)*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler 值:* (预加载程序)*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 值:*(执行挂钩)*\Software\Policies\Microsoft\Windows\System\Scripts\* 值:* (如Startup、Logon键)*\Control Panel\Desktop 值:SCRNSA VE.EXE (屏幕保护)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protoc ol_Catalog9\Catalog_Entries 值:* (LSP相关)HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog _Entries 值:* (LSP相关)*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 值:Taskman*\Software\Microsoft\Windows\CurrentVersion\Policies\System 值:ShellHKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProvidersHKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication PackagesHKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification PackagesHKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security PackagesHKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupProgramsHKLM\SYSTEM\ControlSet???\Control\SafeBoot\Network\*\Parameters 值:ServiceDll*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\* 值:DllName HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost 值:ImagePath HKCU\Software\Mirabilis\ICQ\Agent\Apps 值:*HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ICQ* 值:PathHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 值:* HKLM\SOFTWARE\Microsoft\VBA\Monitors\* 值:CLSID*\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 值:*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved 值:**\Software\Microsoft\Command Processor 值:AutoRunHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe 值:*HKLM\System\CurrentControlSet\Control\MPRServices\* 值:DLLNameHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 值:Common StartupHKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 值:StartupHKLM\SYSTEM\ControlSet???\Control\Session Manager\Environment 值:ComSpec(命令行相关)HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 值:GinaDLLHKLM\SYSTEM\CONTROLSET???\CONTROL\SESSION MANAGER\SUBSYSTEMS 值:windowsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 值:SetupExecuteHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 值:Execute *\SOFTWARE\MICROSOFT\INTERNET EXPLORER\DESKTOP\COMPONENTS 值:**\SOFTWARE\MICROSOFT\INTERNET EXPLORER\EXTENSIONS 值:*(IE扩展按钮)*\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PLUGINS\EXTENSION 值:location *\SYSTEM\CONTROLSET???\CONTROL\TERMINAL SERVER\WDS\RDPWD 值:startupprograms*\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\TERMINAL SERVER\INSTALL 值:*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units 值:**\Software\Microsoft\Windows NT\CurrentVersion\Extensions 值:**\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini 值:load*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini 值:run*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini 值:winlogon*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot 值:shellHKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter 值:*HKEY_CLASSES_ROOT\PROTOCOLS\Filter 值:*(协议)HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler 值:*HKEY_CLASSES_ROOT\PROTOCOLS\Handler 值:*HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers 值:* HKLM\Software\Microsoft\Ctf\LangBarAddin 值:*HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers 值:*[Internet安全相关项目]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\TemplatePolicies\* 值:* *\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\* 值:**\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\* 值:*HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\TemplatePolicies\* 值:*HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\* 值:* HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\* 值:*[IE浏览器设置]*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix 值:**\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes 值:**\SOFTWARE\Microsoft\Internet Explorer\AboutURLs 值:**\SOFTWARE\Microsoft\Internet Explorer\Search 值:SearchAssistant*\SOFTWARE\Microsoft\Internet Explorer\Search 值:CustomizeSearch*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Default_Page_URL*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Default_Search_URL*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Search Page*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Start Page*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Search BarHKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 值:* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl 值:*HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\* 值:*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites 值:**\Software\Microsoft\Internet Explorer\Styles 值:Use My Stylesheet*\Software\Microsoft\Internet Explorer\Styles 值:User Stylesheet*\Software\Policies\Microsoft\Internet Explorer\Control Panel 值:**\SOFTWARE\Microsoft\Internet Explorer\Main 值:Secondary Start Pages*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Window Title*\SOFTWARE\Microsoft\Internet Explorer\Main 值:Local Page*\Software\Microsoft\Internet Explorer\URLSearchHooks 值:**\Software\Microsoft\Internet Explorer\Download 值:*HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments 值:*HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations 值:**\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\* (浏览器栏)[IE浏览器插件]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\* 值:**\SOFTWARE\Microsoft\Internet Explorer\Toolbar\* 值:**\SOFTWARE\Microsoft\Internet Explorer\MenuExt\* 值:* (IE扩展菜单)[系统安全相关项目]*\SOFTWARE\Microsoft\Windows\Currentversion\Policies\Explorer 值:**\Software\Microsoft\Windows\CurrentVersion\Policies\System 值:*HKLM\SYSTEM\ControlSet???\Control\Session Manager\Memory Management 值:EnforceWriteProtectionHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 值:SFCDisable*\Software\Microsoft\Driver Signing 值:PolicyHKLM\SYSTEM\ControlSet???\Services\SharedAccess\Parameters\FirewallPolicy\* 值:**\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced 值:**\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\* 值:*[系统服务]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 值:*HKLM\System\ControlSet???\Services\* 值:ImagePathHKLM\System\ControlSet???\Services\*\Parameters 值:ServiceDllHKLM\System\ControlSet???\Services\VXD\* 值:StaticVxD[Explorer 设置]HKCR\*\shellex\contextmenuhandlers\* 值:*HKCR\AllFileSystemObjects\shellex\contextmenuhandlers\* 值:*HKCR\Folder\shellex\contextmenuhandlers\* 值:*HKCR\Directory\shellex\contextmenuhandlers\* 值:*HKCR\Directory\Background\shellex\ContextMenuHandlers\* 值:*[Hosts文件路径配置]HKLM\SYSTEM\ControlSet???\Services\Tcpip\Parameters 值:DatabasePath基于文件的启动位置:*:\autorun.inf*:\virus.**:\RECYCLER\virus.*%systemroot%\system32\drivers\etc\hosts%systemroot%\Tasks (计划任务)%ProgramFiles%\Internet Explorer\PLUGINS (第三方IE插件)%ALLUSERSPROFILE%\「开始」菜单\程序\启动\virus.* (启动文件夹)%HOMEPATH%\「开始」菜单\程序\启动\virus.* (启动文件夹)感染替换系统文件、随某程序启动而启动(如A V终结者变种随QQ启动而加载。
木马程序的启动方式
木马程序的启动方式木马程序一般的启动方式有:加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run]项中,更高级的木马还会注册为系统的“服务”程序,以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。
另一种鲜为人知的启动方式,是在“开始→运行”中执行“Gpedit.msc”。
打开“组策略”,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中输入要自启动的程序的路径,如图所示,单击“确定”按钮就完成了。
添加需要启动的文件面重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。
因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危险。
通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在我们所熟知的注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run]项和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Run]项内,而是在注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Policies\Explorer\Run]项。
各种常见木马
exe →BF Evolution Mbbmanager.exe →聪明基因_.exe →Tryit Mdm.exe →Doly 1.6-1.7Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者Absr.exe →Backdoor.Autoupder Mmc.exe →尼姆达病毒Aplica32.exe →将死者病毒 Mprdll.exe →BlaAvconsol.exe →将死者病毒 Msabel32.exe →Cain and Abel Avp.exe →将死者病毒 Msblast.exe →冲击波病毒Avp32.exe →将死者病毒 Mschv.exe →ControlAvpcc.exe →将死者病毒 Msgsrv36.exe →ComaAvpm.exe →将死者病毒 Msgsvc.exe →火凤凰Avserve.exe →震荡波病毒 Msgsvr16.exe →Acid Shiver Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe →Canasson Brainspy.exe →BrainSpy vBeta Msstart.exe →Backdoor.livup Cfiadmin.exe →将死者病毒 Mstesk.exe →Doly 1.1-1.5 Cfiaudit.exe →将死者病毒 Netip.exe →Spirit 2000 Beta Cfinet32.exe →将死者病毒 Netspy.exe →网络精灵Checkdll.exe →网络公牛 Notpa.exe →BackdoorCmctl32.exe →Back Construction Odbc.exe →Telecommando Command.exe →AOL Trojan Pcfwallicon.exe →将死者病毒Diagcfg.exe →广外女生 Pcx.exe →XplorerDkbdll.exe →Der Spaeher Pw32.exe →将死者病毒Dllclient.exe →Bobo Recycle - Bin.exe →s**tHeapDvldr32.exe →口令病毒 Regscan.exe →波特后门变种Esafe.exe →将死者病毒 Tftp.exe →尼姆达病毒Expiorer.exe →Acid Battery Thing.exe →ThingFeweb.exe →将死者病毒 User.exe →SchwindlerFlcss.exe →Funlove病毒 Vp32.exe →将死者病毒Frw.exe →将死者病毒 Vpcc.exe →将死者病毒Icload95.exe →将死者病毒 Vpm.exe →将死者病毒Icloadnt.exe →将死者病毒 Vsecomr.exe →将死者病毒Icmon.exe →将死者病毒 Server.exe →Revenger, WinCrash, YAT Icsupp95.exe →将死者病毒 Service.exe →TrinooIexplore.exe →恶邮差病毒 Setup.exe →密码病毒或XanaduRpcsrv.exe →恶邮差病毒 Sockets.exe →VampireRundll.exe →SCKISS爱情森林 Something.exe →BladeRunnerRundll32.exe→狩猎者病毒 Spfw.exe →瑞波变种PXRunouce.exe →中国黑客病毒 Svchost.exe (线程105) →蓝色代码Scanrew.exe →传奇终结者 Sysedit32.exe →SCKISS爱情森林Scvhost.exe →安哥病毒 Sy***plor.exe →wCratServer 1. 2.exe →Spirit 2000 1.2fixed Sy***plr.exe →冰河Intel.exe →传奇叛逆 Syshelp.exe →恶邮差病毒Internet.exe →传奇幽灵 Sysprot.exe →Satans Back Door Internet.exe →网络神偷 Sysrunt.exe →RipperKernel16.exe →Transmission Scount System.exe →s**tHeapKernel32.exe →坏透了或冰河 System32.exe →DeepThroat 1.0Kiss.exe →传奇天使 Systray.exe →DeepThroat 2.0-3.1Krn132.exe →求职信病毒 Syswindow.exe →Trojan Cow Libupdate.exe →BioNet Task_Bar.exe →WebExLoad.exe →尼姆达病毒 Taskbar →密码病毒FrethemLockdown2000.exe →将死者病毒 Taskmon.exe →诺维格蠕虫病毒Taskmon32 →传奇黑眼睛 Tds2-98.exe →将死者病毒Tds2-Nt.exe →将死者病毒 Temp $01.exe →SnidTempinetb00st.exe →The Unexplained Tempserver.exe →Delta Source Vshwin32.exe →将死者病毒 Vsstart.exe →将死者病毒Vw32.exe →将死者病毒 Windown.exe →Spirit 2000 1.2Windows.exe →黑洞2000 Winfunctions.exe →Dark ShadowWingate.exe →恶邮差病毒 Wink????.exe →求职信病毒Winl0g0n.exe →笑哈哈病毒 Winmgm32.exe →巨无霸病毒Winmsg32.exe →Xtcp Winprot.exe →ChupachbraWinprotecte.exe →Stealth Winrpc.exe →恶邮差病毒Winrpcsrv.exe →恶邮差病毒 Winserv.exe →SoftwarstWubsys.exe →传奇猎手 Winupdate.exe →Sckiss爱情森林Winver.exe →Sckiss爱情森林 Winvnc.exe →恶邮差病毒Winzip.exe →ShadowPhyre Wqk.exe →求职信病毒Wscan.exe →AttackFTP Xx.Tmp.exe →尼姆达病毒Zcn32.exe →Ambush Zonealarm.exe →将死者病毒windows进程全解最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行):smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。
Windows XP常见进程简介及病毒查杀
md e e m.x ;英文全称是 Ma h n D b g Ma a e ,用 c ie e u n g r
I co ot f c 中的Mi ootS rp dtr l c sf citE i r o 此 同时 ,越来越 多的病毒入侵我 们的 电脑 ,而杀毒软 件有时也 于调试应用程序¥ Mirsf O ie f f r 不能完全解决 问题 ,这就要 求我们用 户能对系统的一 些常见进 脚 本编辑 器。如果 你在系统 见到 f 开头的 0字节的 wo d文件 , 它 们就是 md .x m e e在排错过程 中产生一些暂存文件 。 程有 一个 初步 的认 识 ,以 便能 尽快 发 现 电脑 中出现 的 可疑 进 ms g .x :是 MS ms s e e N Me sn e se g r网络聊天工具的主程 程 ,避免 病毒 和 黑客 给我 们造 成大 的 损失 。 序 。默认随 W id ws 装 。它 会在 系统托盘显示 图标 ,用于 no 安 快 速访 问。它的功能包 括网络聊 天、文件共享 以及音频 /视频 1进 程 . 为 了提 高计算机资源 的利 用率 , 出了多道程 序谩计 ;为 丁 会 议 。 提 s rie .x :全 名为 W i d ws S r i o tolr evc se e n o evc C n rl ,是 e e 描述程 序的执行或执 行轨迹 , 出了进 程的概念。程序是静态的 提 概念 , 进程 则是 动态的 。一 般我们说进程是执 行中的程序 , 而 是 微 软 Wid ws n o 操作 系统的 …部分 , 用于管理 Wid ws n o 各项服务 可分派给 中央 处理机执 行的实体 。进程是操 作系统中资源 分配 的 启动和停 用 ,也会处 理在计 算机 启动 和关机 时运行 的服务 。 的基本单元 ,拥有进程映像( r c s I g ) 、内存 、I O P o es ma e / s se e ms 、x :全名为 S sin Ma a e S b y t m,是一 eso n g r u s se 个 会话 管理子 系统 ,负责启 动用 户会话 。该进程是 通过系统进 通道 、I O 设备及文件 等资源 。 / 程 初始 化的 ,并且 对许 多活动 ( 包括 已经正在运行的线程 和设 2 Wi o P常见进 程介绍 . n wsX d 定 的系统 变量 )作 出反映 。如果 发生 了什么不 可预料 的事情 , 启动 Wi d ws n o XP后 ,按下组合键 “ tl t C r+Al+De”或 S S. x l( ms e e就会 让系统停 止响应 ( 挂起 ) 者 在任 务 栏上 点 右键 ,在快 捷 菜单 中单 击 “ 务管 理 器 ” , 任 ) so l . e p os e :全名为 P itrS o lrS r i ,用于管 v x r e p oe evc n e 就弹 出 W i dO n ws任 务管理 器。单 击 “ 程”选项 卡 ,再单 理缓冲池 中的打印和传真业务 ,将 Wid ws 进 n o 打印机任务发送给 击 “ 映像名称” ,进程就按进程名的 字母顺序排列出来 。以 本 地 打 印机 。 Wid ws XP p 为例 ,假设机器只安装 Wid ws XP p n o s l n o s l s c o te e v h s.x :全 名为 Ge e i s r c s o n 2 n rc Ho tP o es f r Wi 3 操作 系统( 含系统 自带默 认安装的应 用程序) Mir s A O f e S ri s ,是一个标准的动态链接库 主机处理服务 。Wid ws 及 co o f c ev e i c no 等常 用软 件。那么 ,一般 可以看 到以下一些进程( 图 1 示) 如 所 . 20 0 0一般有 2 s c ot 个 v h s 进程 ,而在 wid ws XP中 ,则一般 no crse e ss 意为客户 /服务 器运行子 系统 ,其英文全 有 4个以上的 s c o te e ss .x :crs v h s.x 服务进程 ,wid ws 20 n o 0 3中则更 多。 名为 C in e v r Ru tme P o es l t S r e n i r c s。它是用 户模 式 Wi3 该 进程 将在 后面 详细 介绍 。 e n2 子系统的一部分 ,必须一直运行 。该进程管理 W id ws n o 图形 s se y t m i l :作为单 线程运行在每 个处理 器上 ,用于统 de 相关任务和维持 W i d ws的控制 ,创建或者 删除线程 ,以及 计 剩余的 C no PU资源情 况。它的 CP 占用率越 大表示 可供 分配 U 些l 6位的虚拟 MS -DOS环境 的 CPU资源越 多 ,数 字越小 贝 表示 CPU 资 源紧张 。 J I c mo e e f n.x :是 Mir sf Ofie产品套装 的一 部分。在 coo t fc ts mg .x :W id ws Tak n g r 即 Wi d ws ak r e e n o s Ma a e , n o 任 桌面右下角显示的 “ 语言栏 ” cf ne e 是 t mo .x 运行的标 志 ,它可 务 管 理 器 。 它 显 示 你 系统 中正 在 运 行 的进 程 。 该程 序 使 用 C r+A t D l 以选择用户文字输入程序。它不是纯粹的系统程序,但是如果 “ tl i+ e ”打开 ,它不是纯 粹的系统程 序 ,但是 如果 终止 它 ,可 能 会导 致不 可 知 的问题 。 终 止 它 ,可 能 会导 致 不可 知 的 问题 。 e p o e .x :它 不是 I tr e E p o e ,且 e po e . x lrr e e n e n t x l rr x lrr wi L g n e e n o o .x :Wid ws NT用户登陆程序。这个进程 no ee x 总是在后 台运行 。 e poe .x 是 Wid ws x lrre e n o 资源 管理 器 , 是 管理用 户登 录和退 出的。 如果 你的 电脑里面 有多个账 户,那 它用于管理 W i d ws图形 壳 ,包括开 始菜 单 、任务 栏 、桌面 么该进程根据 会根据用 户的输入 来核对用 户名和 密码 ,加载对 no 和文 件 管理 。根 据系 统 的字体 、桌面 背景 图 片 、活 动 桌面 等 应 用 户 的设 置 。 情况的 不同 ,通常会消耗 5 8 .MB到 3 MB内存不等 。删除该 6 wu u l . x :全名为 a ct e e W U in d 0 w S Pd ate 程序会导致 Wi d ws图形界面 无法使用 。 no la se e s s .x :用于 本地安 全和登 陆策略 ,管理 I P安全策略 Au o p a e Cle t t U d t i n ,是 以及启动 I P安 全驱动程序等 。这是一 个本地的安全授 权服务 , w i O nd WS自动升 级管理程 并且它会为使用w ro o( i g n后面将介绍) a 服务的授 权用 户生成一个 序 。该进程会不断在线检测 进程。这个进程是通过使用授权 的包 ,例如默认的 ms i a dl 更新 ,删 除该 进 程将 使你 无 gn . l 来执 行的 。如果授 权成功 ,l a s就 会产 生用 户的进入 令牌 。 法 得 到 最新 更新 信 息 。 Ss 在 W i o 2 0 /XP nd ws 0 0 而 wid ws n o 活动 目录远程 堆栈 溢出漏洞 ,正是利 用 L DAP 3 搜 索请求功 能对用户提交 请求时缺少正确 缓冲区边界检 查 ,构 建 中 ,要启动 W i d ws 以下 no , 超过 1 0 个 “ 00 AND” 的请 求 , 发送给服 务器 ,导 致触发堆 进程 是 必 须加 载 的 : 并 s s . x e 、 cs s . x e 、 m s e r s e 栈溢出 ,使 lase e服务崩溃 ,导致 系统在 3 内重新 启动。 ss .x O秒 w i o n. xe、 s r c s nl go e e vi e . 中过 “ 荡波”病毒 的用 户一 定对 la s e e 震 s s .x 不会 感到陌生 。
教你认识木马的所有隐藏启动方式
刚⼊门的新⼿,肯定经常受到病毒和⽊马的侵扰,本⼈也有亲⾝经历,中⽊马后不知所措,经常重装系统。
教新⼿认识⽊马的⾃启动,可以帮助新⼿对付⽊马。
⽊马的的特点之⼀就是它⼀定是要和系统⼀起启动⽽启动,否则它就完全失去了意义 ⽅法⼀:检查注册表启动项 请⼤家注意以下的注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 这⾥只要有“run”敏感字眼的都要仔细) ⽅法⼆:利⽤系统⽂件 可以利⽤的⽂件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 当系统启动的时候,上述这些⽂件的⼀些内容是可以随着系统⼀起加载的,从⽽可以被⽊马利⽤ ⽤⽂本⽅式打开 C:\Windows 下⾯的system.ini⽂件我们会看到 其它的⼏个所述⽂件也是经常被⽤来利⽤,从⽽达到开机启动的⽬的的; ⽅法三:系统启动组 依次点开“开始”------“程序”------“启动” WINXP: C:\Documents and Settings\gillispie\[开始]菜单\程序\启动 WIN98: C:\WINDOWS\Start Menu\Programs\启动 对应的注册表键值: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders ⽅法四:利⽤⽂件关联: 例如:正常情况下txt⽂件的打开⽅式为Notepad.exe⽂件,如果⼀旦中了⽂件关联类的⽊马,这样打开⼀个txt⽂件,原本应该⽤Notepad打开该⽂件的,现在却变成了启动⽊马程序了。
电脑病毒常识:木马病毒的类型
电脑病毒常识:木马病毒的类型木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:一个是控制端,另一个是被控制端。
以下是店铺给大家整理的电脑病毒常识:木马病毒的类型,希望能帮到你!电脑病毒常识:木马病毒的种类1、破坏型惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件。
2、密码发送型可以找到隐藏密码并把它们发送到指定的信箱。
有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS 提供的密码记忆功能,这样就可以不必每次都输入密码了。
许多黑客软件可以寻找到这些文件,把它们送到黑客手中。
也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
在这里提醒一下,不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中,那你就大错特错了。
别有用心的人完全可以用穷举法暴力破译你的密码。
利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口标题查找密码输入和出确认重新输入窗口,通过按钮标题查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。
向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND消息模拟单击。
在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。
此类程序在黑客网站上唾手可得,精通程序设计的人,完全可以自编一个.3、远程访问型最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。
以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的操作。
程序中用的UDP(User Datagram Protocol,用户报文协议)是因特网上广泛采用的通信协议之一。
电脑常见进程及相关木马病毒
【电脑常见进程及相关木马病毒】1、【wscntfy.exe】:Microsoft Windows Security Center---Windows 安全警报2、【Taskmgr.exe】:Windows增强型任务管理器(若超过一个,则是病毒)3、【alg.exe】:Application Layer Gateway Service----alg.exe是微软Windows操作系统自带的程序。
它用于处理微软Windows网络连接共享和网络连接防火墙。
这个程序对你系统的正常运行是非常重要的。
(也可能是病毒)4、【notepad.exe】:记事本(也可能是病毒,notepad.exe可能是一种变种木马,与qq有关)5、【SogouCloud.exe】:搜狗云计算;可能会影响网速。
关闭方式:搜狗拼音新添加的“云计算”进程,负责输出每次打字时的云计算候选项(在候选栏的第二位)。
不喜欢搜狗输入法打字时的云计算欢的话可以自己关掉。
选项在“设置属性”对话框的“高级”选项卡中(智能输入栏--开启云计算候选),勾掉云计算即可了。
sogoucloud.exe的真伪辨别:(1). 搜狗拼音输入法确实有SogouCloud.exe文件,是搜狗输入法云计算代理程序。
不过应该是在搜狗输入法的安装目录下。
不是该路径时应该是伪装的文件。
(2). 正版的SogouCloud.exe有搜狗公司的数字签名,可以看看你的文件并没有签名。
()6、【popwndexe.exe】:瑞星广告弹框程序。
没啥用。
建议禁止。
7、【scardsvr.exe】:Microsoft Smartcard-Ressource server---微软Windows操作系统的一部分,用于认证你本地系统的简单安全卡,建议保留。
8、【SGImeGuard.exe】:搜狗输入法的一个进程,作用不大,删除也不影响你正常使用搜狗输入法。
9、【svchost.exe】:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马病毒,提起来都让人害怕,因为他们的破坏性很大,能窃取你的数据如密码,银行帐号,游戏帐号,破坏你的硬盘,等等。旧的木马杀毒软件可以杀了,但是如果你的电脑中一种新型的木马病毒你能怎么办?特别是一些未知类型的木马病毒,使用一般的杀毒软件或防木马软件是很难将其根除的,这时候我们就需要手动来清除这些病毒文件了。
小提示:
*在Windows 98中,Autoexec.bat还有一个哥们——Winstart.bat文件,winstart.bat位于Windows文件夹,也会在启动时自动执行。
*在Windows Me/2000/XP中,上述两个批处理文件默认都不会被执行。
四、常用的启动——系统配置文件
在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。
3.wininit.ini
wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件,因为该文件在Windows启动时自动执后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令,那么后果与“C盘杀手”无异。
注册表是启动程序藏身之处最多的地方,主要有以下几项:
1.Run键
Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]
和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run],其下的所有程序在每次启动登录时都会按顺序自动执行。
使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”,如果你强行删除“妖之吻”病毒程序yzw.exe,Windows就会提示报错,让你重装Windows,吓人不?也有客气一点的病毒,如将该句变成 “shell=Explorer.exe 其他程序名”,看到这样的情况,后面的其他程序名一定是病毒程序如所示。
三、古老的启动——自动批处理文件
从DOS时代过来的朋友肯定知道autoexec.bat(位于系统盘根目录)这个自动批处理文件,它会在电脑启动时自动运行,早期许多病毒就看中了它,使用deltree、format等危险命令来破坏硬盘数据。如“C盘杀手”就是用一句“deltree /y c:\*.*”命令,让电脑一启动就自动删除C盘所有文件,害人无数。
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]
小提示:
注册表的[HKEY_LOCAL_MACHINE]和[HKEY_CURRENT_USER]键的区别:前者对所有用户有效,后者只对当前用户有效。
还有一些其他键值,经常会有一些程序在这里自动运行,如:
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
5.RunOnceEx键
该键是Windows XP/2003特有的自启动注册表项,位于[HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。
和[HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],注意下面的Notify、Userinit、Shell键值也会有自启动的程序,而且其键值可以用逗号分隔,从而实现登录的时候启动多个程序。
8.其他注册表位置
还有一个不被注意的Run键,位于注册表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run],也要仔细查看。
1.Win.ini文件
使用“记事本”打开Win.ini文件,在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序,只要程序名称及路径写在“=”后面即可。
小提示:
“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。
2.System.ini文件
第二部分:病毒的映象劫持技术
映像劫持的定义
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
6.load键
[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。
7.Winlogon键
该键位于位于注册表[HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows NT\CurrentVersion\Winlogon]
4.RunServices键
RunServices继RunServicesOnce之后启动的程序,位于注册表[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]
和[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersionRunServices]键。
TOP
几万个小游戏,边下边玩两不误
tjzhaozhao
无忧仙人
个人空间 发短消息 加为好友 2# 大 中 小 发表于 2010-7-5 01:04 只看该作者
五、智能的启动——开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→ 系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序。
现在就要我们来认识一下这些木马病毒的启动方式。。
其实我们只要能破坏这些病毒的启动条件,就可以达到清除病毒的目的,为此,就本人在这方面的一些经验提供给大家,以供参考。
病毒的启动主要分为3类,分别是:一、随windows系统启动,二、映像劫持启动,三、捆绑和嵌入正常程序中启动。下面我们主要就第一和第二点进行详细介绍。
六、定时的启动——任务计划
在默认情况下,“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹,并将计划任务设置为“系统启动时”或“登录时”,这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。
第一部分:Windows自启动程序
一、经典的启动——“启动”文件夹
单击“开始→程序”,你会发现一个“启动”菜单,这就是最经典的Windows启动位置,右击“启动”菜单选择“打开”即可将其打开,如所示,其中的程序和快捷方式都会在系统启动时自动运行。最常见的启动位置如下:
当前用户:
所有用户:
二、有名的启动——注册表启动项
十、以windows服务方式启动
这种方式目前已经少有病毒见到,但作为一种行之有效的启动方式,仍被以些病毒采用。这种启动方式的病毒,我们可以通过“开始→控制面板→管理工具→服务” 来查看。一般通过这种方式启动的病毒服务状态都是“自动”和“已启动”状态的,我们可以通过修改其状态为“已停止”和“禁用”来停止病毒服务,并且,在该服务的“属性”中有此病毒程序的路径及名称,我们可以在此路放的位置,按F3键打开“搜索”对话框进行搜索;
*单击“开始→运行”,输入sysedit回车,打开“系统配置编辑程序”,在这里也可以方便的对上述文件进行查看与修改。
UID44859 帖子59397 精华0 积分228839 威望228839 金钱35870 阅读权限30 在线时间2976 小时 注册时间2006-8-27 最后登录2010-7-12 查看详细资料
九、MSConfig