該軟件主要用於遠程監控,具體功能包括:
1.自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時,監控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網適用);
2.記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絶大多數在對話框中出現過的口令信息;
3.獲取係統信息:包括計算機名、註册公司、當前用戶、係統路徑、操作係統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項係統數據;
4.限製係統功能:包括遠程關機、遠程重啓計算機、鎖定鼠標、鎖定係統熱鍵及鎖定註册表等多項功能限製;
5.遠程文件操作:包括創建、上傳、下載、復製、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;
6.註册表操作:包括對主鍵的瀏覽、增刪、復製、重命名和對鍵值的讀寫等所有註册表操作功能;
7.發送信息:以四種常用圖標嚮被控端發送簡短信息;
8.點對點通訊:以聊天室形式同被控端進行在綫交談。
從一定程度上可以說冰河是最有名的木馬了,就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它,但國內仍有幾十萬中冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇跡!現在網上又出現了許多的冰河變種程序,我們這裏介紹的是其標準版,掌握了如何清除標準版,再來對付變種冰河就很容易了。
冰河的服務器端程序為g-server.exe,客戶端程序為g-client.exe,默認連接端口為7626。一旦運行g-server,那麽該程序就會在c:/windows/system目錄下生成kernel32.exe和sysexplr.exe,並刪除自身。 kernel32.exe在係統啓動時自動加載運行,sysexplr.exe和txt文件關聯。即使你刪除了kernel32.exe,但衹要你打開 txt文件,sysexplr.exe就會被激活,它將再次生成kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。
清除方法:
1、刪除c:windowssystem下的kernel32.exe和sysexplr.exe文件。
2、冰河會在註册表hkey_local_machine/software/microsoft/windows/ currentversion
run下紮根,鍵值為c:/windows/system/kernel32.exe,刪除它。
3、在註册表的hkey_local_machine/software/microsoft/windows/ currentversion/runservices下,還有鍵值為c:/windows/system/kernel32.exe的,也要刪除。
4、最後,改註册表hkey_classes_root/txtfile/shell/open/command下的默認值,由中木馬後的c: /windows/system/sysexplr.exe %1改為正常情況下的c:/windows/notepad.exe %1,即可恢復txt文件關聯功能。
如何識別木馬
先來說一下木馬是如何通過網頁進入你的電腦的,相信大傢都知道,現在有很多圖片木馬,eml和exe木馬,其中的圖片木馬其實很簡單,就是把木馬 exe文件的文件頭換成bmp文件的文件頭,然後欺騙ie瀏覽器自動打開該文件,然後利用網頁裏的一段javascript小程序調用debug把臨時文件裏的bmp文件還原成木馬exe文件並拷貝到啓動項裏,接下來的事情很簡單,你下次啓動電腦的時候就是你噩夢的開始了,eml木馬更是傳播方便,把木馬文件偽裝成audio/x-wav聲音文件,這樣你接收到這封郵件的時候衹要瀏覽一下,不需要你點任何連接,windows就會為你代勞自動播放這個他認為是wav的音樂文件,木馬就這樣輕鬆的進入你的電腦,這種木馬還可以frame到網頁裏,衹要打開網頁,木馬就會自動運行,另外還有一種方法,就是把木馬exe編譯到.js文件裏,然後在網頁裏調用,同樣也可以無聲無息的入侵你的電腦,這衹是些簡單的辦法,還有遠程控製和共享等等漏洞可以鑽,知道這些,相信你已經對網頁木馬已經有了大概瞭解,
簡單防治的方法:
開始-設置-控製面版-添加刪除程序-windows安裝程序-把附件裏的windows scripting host去掉,然後打開internet explorer瀏覽器,點工具-internet選項-安全-自定義級別,把裏面的腳本的3個選項全部禁用,然後把“在中加載程序和文件”禁用,當然這衹是簡單的防治方法,不過可能影響一些網頁的動態java效果,不過為了安全就犧牲一點啦,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可以加裝防火墻,再到微軟的網站打些補丁,反正我所知道的網吧用的都是原始安裝的windows,很不安全哦,還有盡量少在一些小網站下載一些程序,尤其是一些號稱黑客工具的軟件,小心盜不着別人自己先被盜了,當然,如果你執意要用的話,號被盜了也應該付出這個代價吧。還有,不要以為裝了還原精靈就很安全,據我所知,一般網吧的還原精靈都衹還原c:盤即係統區,所以衹要木馬直接感染你安裝在別的盤裏的遊戲執行文件,你照樣逃不掉的。
冰河木馬原理
木馬冰河是用c++builder寫的,為了便於大傢理解,我將用相對比較簡單的vb來說明它,其中涉及到一些winsock編程和windows api的知識,如果你不是很瞭解的話,請去查閱相關的資料。
一、基礎篇(揭開木馬的神秘面紗)
無論大傢把木馬看得多神秘,也無論木馬能實現多麽強大的功能,木馬,其實質衹是一個網絡客戶/服務程序。那麽,就讓我們從網絡客戶/服務程序的編寫開始。
1.基本概念:
網絡客戶/服務模式的原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機一般會打開一個默認的端口並進行監聽 (listen), 如果有客戶機嚮服務器的這一端口提出連接請求(connect request), 服務器上的相應程序就會自動運行,來應答客戶機的請求,這個程序我們稱為守護進程(unix的術語,不過已經被移植到了ms係統上)。對於冰河,被控製端就成為一臺服務器,控製端則是一臺客戶機,g_server.exe是守護進程, g_client是客戶端應用程序。(這一點經常有人混淆,而且往往會給自己種了木馬!)
2.程序實現:
在vb中,可以使用winsock控件來編寫網絡客戶/服務程序,實現方法如下(其中,g_server和g_client均為winsock控件):
服務端:
g_server.localport=7626(冰河的默認端口,可以改為別的值)
g_server.listen(等待連接)
客戶端:
g_client.remotehost=serverip(設遠端地址為服務器地址)
g_client.remoteport=7626 (設遠程端口為冰河的默認端口,呵呵,知道嗎?這是冰河的生日哦)
(在這裏可以分配一個本地端口給g_client, 如果不分配, 計算機將會自動分配一個, 建議讓計算機自動分配)
g_client.connect (調用winsock控件的連接方法)
一旦服務端接到客戶端的連接請求connectionrequest,就接受連接
private sub g_server_connectionrequest(byval requestid as long)
g_server.accept requestid
end sub
客戶機端用g_client.senddata發送命令,而服務器在g_server_datearrive事件中接受並執行命令(幾乎所有的木馬功能都在這個事件處理程序中實現)
如果客戶斷開連接,則關閉連接並重新監聽端口
private sub g_server_close()
g_server.close (關閉連接)
g_server.listen (再次監聽)
end sub
其他的部分可以用命令傳遞來進行,客戶端上傳一個命令,服務端解釋並執行命令......
二、控製篇(木馬控製了這個世界!)
由於win98開放了所有的權限給用戶,因此,以用戶權限運行的木馬程序幾乎可以控製一切,讓我們來看看冰河究竟能做些什麽(看了後,你會認同我的觀點:稱冰河為木馬是不恰當的,冰河實現的功能之多,足以成為一個成功的遠程控製軟件)
因為冰河實現的功能實在太多,我不可能在這裏一一詳細地說明,所以下面僅對冰河的主要功能進行簡單的概述,主要是使用windows api函數, 如果你想知道這些函數的具體定義和參數,請查詢winapi手册。
1.遠程監控(控製對方鼠標、鍵盤,並監視對方屏幕)
keybd_event 模擬一個鍵盤動作(這個函數支持屏幕截圖哦)。
mouse_event 模擬一次鼠標事件(這個函數的參數太復雜,我要全寫在這裏會被編輯駡死的,衹能寫一點主要的,其他的自己查winapi吧)
mouse_event(dwflags,dx,dy,cbuttons,dwextrainfo)
dwflags:
mouseeventf_absolute 指定鼠標坐標係統中的一個絶對位置。
mouseeventf_move 移動鼠標
mouseeventf_leftdown 模擬鼠標左鍵按下
mouseeventf_leftup 模擬鼠標左鍵擡起
mouseeventf_rightdown 模擬鼠標右鍵按下
mouseeventf_rightup 模擬鼠標右鍵按下
mouseeventf_middledown 模擬鼠標中鍵按下
mouseeventf_middleup 模擬鼠標中鍵按下
dx,dy: mouseeventf_absolute中的鼠標坐標
2.記錄各種口令信息
(作者註:出於安全角度考慮,本文不探討這方面的問題,也請不要給我來信詢問)
3.獲取係統信息
a.取得計算機名 getcomputername
b.更改計算機名 setcomputername
c.當前用戶 getusername函數
d.係統路徑
set filesystem0bject = createobject("scripting.filesystemobject") (建立文件係統對象)
set systemdir = filesystem0bject.getspecialfolder(1)
(取係統目錄)
set systemdir = filesystem0bject.getspecialfolder(0)
(取windows安裝目錄)
(友情提醒: filesystemobject是一個很有用的對象,你可以用它來完成很多有用的文件操作)
e.取得係統版本 getversionex(還有一個getversion,不過在32位windows下可能會有問題,所以建議用getversionex
f.當前顯示分辨率
width = screen.width screen.twipsperpixelx
height= screen.height screen.twipsperpixely
其實如果不用windows api我們也能很容易的取到係統的各類信息,那就是winodws的"垃圾站"-註册表
比如計算機名和計算機標識吧:hkey_local_machinesystemcurrentcontrolsetservicesvxdvnetsup中的comment,computername和workgroup
註册公司和用戶名:hkey_users.defaultsoftwaremicrosoftms setup (acme)userinfo至於如何取得註册表鍵值請看第6部分。
4.限製係統功能
a.遠程關機或重啓計算機,使用winapi中的如下函數可以實現:
exitwindowsex(byval uflags,0)
當uflags=0 ewx_logoff 中止進程,然後註銷
當uflags=1 ewx_shutdown 關掉係統電源
當uflags=2 ewx_reboot 重新引導係統
當uflags=4 ewx_force 強迫中止沒有響應的進程
b.鎖定鼠標
clipcursor(lprect as rect)可以將指針限製到指定區域,或者用showcursor(false)把鼠標隱藏起來也可以
註:rect是一個矩形,定義如下:
type rect
left as long
top as long
right as long
bottom as long
end type
c.鎖定係統 這個有太多的辦法了,嘿嘿,想windows不死機都睏難呀,比如,搞個死循環吧,當然,要想係統徹底崩潰還需要一點技巧,比如設備漏洞或者耗盡資源什麽的......
d.讓對方掉綫 rashangup......
e.終止進程 exitprocess......
f.關閉窗口 利用findwindow函數找到窗口並利用sendmessage函數關閉窗口
5.遠程文件操作
無論在哪種編程語言裏,文件操作功能都是比較簡單的,在此就不贅述了,你也可以用上面提到的filesystemobject對象來實現
6.註册表操作
在vb中衹要set regedit=createobject("wscript.shell")
就可以使用以下的註册表功能:
刪除鍵值:regedit.reg_delete_ regkey
增加鍵值:regedit.write regkey,regvalue
獲取鍵值:regedit.regread (value)
記住,註册表的鍵值要寫全路徑,否則會出錯的。
7.發送信息
很簡單,衹是一個彈出式消息框而已,vb中用msgbox("")就可以實現,其他程序也不太難的。
8.點對點通訊
呵呵,這個嘛隨便去看看什麽聊天軟件就行了(因為比較簡單但是比較煩,所以我就不寫了,呵呵。又:我始終沒有搞懂冰河為什麽要在木馬裏搞這個東東,睏惑......)
9.換墻紙
callsystemparametersinfo(20,0,"bmp路徑名稱",&h1)
值得註意的是,如果使用了activedesktop,換墻紙有可能會失敗,遇到這種問題,請不要找冰河和我,去找bill吧。
三、潛行篇(windows,一個捉迷藏的大森林)
木馬並不是合法的網絡服務程序,因此,它必須想盡一切辦法隱藏自己,好在,windows是一個捉迷藏的大森林!
1、在任務欄中隱藏自己:
這是最基本的了,如果連這個都做不到......(想象一下,如果windows的任務欄裏出現一個國際象棋中木馬的圖標...@#!#@...也太囂張了吧!)
在vb中,衹要把form的visible屬性設為false, showintaskbar設為false, 程序就不會出現在任務欄中了。
2、在任務管理器中隱形:
在任務管理器中隱形,就是按下ctrl+alt+del時看不見那個名字叫做“木馬”的進程,這個有點難度,不過還是難不倒我們,將程序設為“係統服務”可以很輕鬆的偽裝成比爾蓋子的嫡係部隊(windows,我們和你是一傢的,不要告訴別人我藏在哪兒...)。
在vb中如下的代碼可以實現這一功能:
public declare function registerserviceprocess lib "kernel32" (byval processid as long, byval serviceflags as long) as long
public declare function getcurrentprocessid lib "kernel32" () as long
(以上為聲明)
private sub form_load()
registerserviceprocess getcurrentprocessid, 1 (註册係統服務)
end sub
private sub form_unload()
registerserviceprocess getcurrentprocessid, 0 (取消係統服務)
end sub
3、如何悄沒聲息地啓動:
你當然不會指望用戶每次啓動後點擊木馬圖標來運行服務端,木馬要做到的第二重要的事就是如何在每次用戶啓動時自動裝載服務端(第一重要的是如何讓對方中木馬,嘿嘿,這部分的內容將在後面提到)
windows支持多種在係統啓動時自動加載應用程序的方法(簡直就像是為木馬特別定做的)啓動組、win.ini、system.ini、註册表等等都是木馬藏身的好地方。冰河采用了多種方法確保你不能擺脫它。首先,冰河會在註册表的hkey_local_machinesoftware microsoftwindowscurrentversion
un和runservice鍵值中加上了kernl32.exe(是係統目錄),其次如果你刪除了這個鍵值,自以為得意地喝著茶的時候,冰河又陰魂不散地出現了...怎麽回事?原來冰河的服務端會在c:windows(這個會隨你windows的安裝目錄變化而變化)下生成一個叫sysexplr.exe文件(太象超級解霸了,好毒呀,冰河!),這個文件是與文本文件相關聯的,衹要你打開文本(哪天不打開幾次文本?),sysexplr.exe文件就會重新生成krnel32.exe, 然後你還是被冰河控製著。(冰河就是這樣長期霸占著窮苦勞動人民寶貴的係統資源的,555555)
4、端口
木馬都會很註意自己的端口(你呢?你關心你的6萬多個端口嗎?),如果你留意的話,你就會發現,木馬端口一般都在1000以上,而且呈越來越大的趨勢 (netspy是1243....)這是因為,1000以下的端口是常用端口,占用這些端口可能會造成係統不正常,這樣木馬就會很容易暴露;而由於端口掃描是需要時間的(一個很快的端口掃描器在遠程也需要大約二十分鐘才能掃完所有的端口),故而使用諸如54321的端口會讓你很難發現它。在文章的末尾我給大傢轉貼了一個常見木馬的端口表,你就對著這個表去查吧(不過,值得提醒的是,冰河及很多比較新的木馬都提供端口修改功能,所以,實際上木馬能以任意端口出現)
5.最新的隱身技術
目前,除了冰河使用的隱身技術外,更新、更隱蔽的方法已經出現,那就是-驅動程序及動態鏈接庫技術(冰河3.0會采用這種方法嗎?)。
驅動程序及動態鏈接庫技術和一般的木馬不同,它基本上擺脫了原有的木馬模式-監聽端口,而采用替代係統功能的方法(改寫驅動程序或動態鏈接庫)。這樣做的結果是:係統中沒有增加新的文件(所以不能用掃描的方法查殺)、不需要打開新的端口(所以不能用端口監視的方法查殺)、沒有新的進程(所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行)。在正常運行時木馬幾乎沒有任何的癥狀,而一旦木馬的控製端嚮被控端發出特定的信息後,隱藏的程序就立即開始運作......
事實上,我已經看到過幾個這樣類型的木馬,其中就有通過改寫vxd文件建立隱藏共享的木馬...(江湖上又將掀起新的波浪)
四、破解篇(魔高一尺、道高一丈)
本文主要是探討木馬的基本原理,木馬的破解並非是本文的重點(也不是我的長處),具體的破解請大傢期待yagami的《特洛伊木馬看過來》(我都期待一年了,大傢和我一起繼續期待吧,嘿嘿),本文衹是對通用的木馬防禦、卸載方法做一個小小的總結:
1.端口掃描
端口掃描是檢查遠程機器有無木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口, 如果成功, 則說明端口開放, 如果失敗或超過某個特定的時間(超時), 則說明端口關閉。(關於端口掃描,oliver有一篇關於“半連接掃描”的文章,很精彩,那種掃描的原理不太一樣,不過不在本文討論的範圍之中)
但是值得說明的是, 對於驅動程序/動態鏈接木馬, 掃描端口是不起作用的。
2.查看連接
查看連接和端口掃描的原理基本相同,不過是在本地機上通過netstat-a(或某個第三方的程序)查看所有的tcp/udp連接,查看連接要比端口掃描快,缺點同樣是無法查出驅動程序/動態鏈接木馬,而且僅僅能在本地使用。
3.檢查註册表
上面在討論木馬的啓動方式時已經提到,木馬可以通過註册表啓動(好像現在大部分的木馬都是通過註册表啓動的,至少也把註册表作為一個自我保護的方式),那麽,我們同樣可以通過檢查註册表來發現"馬蹄印",冰河在註册表裏留下的痕跡請參照《潛行篇》。
4.查找文件
查找木馬特定的文件也是一個常用的方法(這個我知道,冰河的特徵文件是g_server.exe吧? 笨蛋!哪會這麽簡單,冰河是狡猾狡猾的......)冰河的一個特徵文件是kernl32.exe(靠,偽裝成windows的內核呀),另一個更隱蔽, 是sysexlpr.exe(什麽什麽,不是超級解霸嗎?)對!冰河之所以給這兩個文件取這樣的名字就是為了更好的偽裝自己, 衹要刪除了這兩個文件,冰河就已經不起作用了。其他的木馬也是一樣(廢話,server端程序都沒了,還能幹嘛?)
如果你衹是刪除了sysexlpr.exe而沒有做掃尾工作的話,可能會遇到一些麻煩-就是你的文本文件打不開了,因為前面說了,sysexplr.exe是和文本文件關聯的,你還必須把文本文件跟notepad關聯上,方法有三種:
a.更改註册表(我就不說了,有能力自己改的想來也不要我說,否則還是不要亂動的好)
b.在<我的電腦>-查看-文件夾選項-文件類型中編輯
c.按住shift鍵的同時鼠標右擊任何一個txt文件,選擇打開方式,選中<始終用該程序打開......>,然後找到notepad,點一下就ok了。(這個最簡單,推薦使用)
提醒一下,對於木馬這種狡猾的東西,一定要小心又小心,冰河是和txt文件關聯的,txt打不開沒什麽大不了,如果木馬是和exe文件關聯而你貿然地刪了它......你苦了!連regedit都不能運行了!
5.殺病毒軟件
之所以把殺病毒軟件放在最後是因為它實在沒有太大的用,包括一些號稱專殺木馬的軟件也同樣是如此,不過對於過時的木馬以及菜鳥安裝的木馬(沒有配置服務端)還是有點用處的, 值得一提的是最近新出來的ip armor在這一方面可以稱得上是比較領先的,它采用了監視動態鏈接庫的技術,可以監視所有調用winsock的程序,並可以動態殺除進程,是一個個人防禦的好工具(雖然我對傳說中“該軟件可以查殺未來十年木馬”的說法表示懷疑,嘿嘿,兩年後的事都說不清,誰知道十年後木馬會“進化”到什麽程度?甚至十年後的操作係統是什麽樣的我都想象不出來)
另外,對於驅動程序/動態鏈接庫木馬,有一種方法可以試試,使用windows的"係統文件檢查器",通過"開始菜單"-"程序"-"附件"-"係統工具 "-"係統信息"-"工具"可以運行"係統文件檢查器"(這麽詳細,不會找不到吧? 什麽,你找不到! 吐血! 找一張98安裝盤補裝一下吧), 用“係統文件檢查器”可檢測操作係統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件(如驅動程序)。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是木馬(或者損壞了),提取改動過的文件可以保證你的係統安全和穩定。(註意,這個操作需要熟悉係統的操作者完成,由於安裝某些程序可能會自動升級驅動程序或動態鏈接庫,在這種情況下恢復"損壞的"文件可能會導致係統崩潰或程序不可用!)
五、狡詐篇(衹要你的一點點疏忽......)
衹要你有一點點的疏忽,就有可能被人安裝了木馬,知道一些給人種植木馬的常見伎倆對於保證自己的安全不無裨益。
1. 木馬種植伎倆
網上“幫”人種植木馬的伎倆主要有以下的幾條
a.軟哄硬騙法
這個方法很多啦, 而且跟技術無關的, 有的是裝成大蝦, 有的是裝成plmm, 有的態度謙恭,有的......反正目的都一樣,就是讓你去運行一個木馬的服務端。
b.組裝合成法
就是所謂的221(two to one二合一)把一個合法的程序和一個木馬綁定,合法程序的功能不受影響,但當你運行合法程序時,木馬就自動加載了,同時,由於綁定後程序的代碼發生了變化,根據特徵碼掃描的殺毒軟件很難查找出來。
c.改名換姓法
這個方法出現的比較晚,不過現在很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖標改成windows的默認圖片圖標, 再把文件名改為*.jpg *.exe, 由於win98默認設置是"不顯示已知的文件後綴名",文件將會顯示為*.jpg, 不註意的人一點這個圖標就中木馬了(如果你在程序中嵌一張圖片就更完美了)
d.願者上鈎法
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜;奉勸:不要隨便點擊網頁上的鏈接,除非你瞭解它,信任它,為它死了也願意...
2. 幾點註意(一些陳詞濫調)
a.不要隨便從網站上下載軟件,要下也要到比較有名、比較有信譽的站點,這些站點一般都有專人殺馬殺毒;
b.不要過於相信別人,不能隨便運行別人給的軟件;
(特別是認識的,不要以為認識了就安全了,就是認識的人才會給你裝木馬,哈哈,挑撥離間......)
c.經常檢查自己的係統文件、註册表、端口什麽的,經常去安全站點查看最新的木馬公告;
d.改掉windows關於隱藏文件後綴名的默認設置(我是衹有看見文件的後綴名纔會放心地點它的)
e.如果上網時發現莫名奇妙地硬盤亂響或貓上的數據燈亂閃,要小心;
參考資料:http://baike.baidu.com/view/406182
木馬冰河的破解之法
不用我說了,大傢都知道冰河2.2最新版吧!它的強大的功能大傢也一定十分的瞭解吧!他的操作界面清晰簡潔,控製類功能強大,一些功能如果應用與遠程控製管理,那麽它將是非常理想的軟件,可要是被他人用語黑客木馬,那麽它的危害比起bo2000,netspy真是有過之而無不及.事實上,把它定位與黑客木馬並不過分,因為它的服務器端程序具有隱藏,自我復製保護,盜取密碼帳號等功能,這不是一個正常的軟件所應具備的.他甚至還可以在客戶端將木馬設置成任意文件名,服務器端程序在上網後,還會自動將該機當前的ip通過e-mail方式發送到客戶端.拷貝,刪除文件,關閉進程,強製關機,跟蹤鍵盤鎖定鼠標等更不在話下,目前,還沒有一個放病毒産品可對其防,殺.
所以我在此給大傢介紹解除冰河服務端的方法,從此就不必再擔心自己的機子會被人控製了!
那麽如何防範與消除冰河呢?
首先,不要執行來路不明的軟件程序,這是千古不變的真理.任何黑客程序再高明,功能再強大,都需要利用係統漏洞才能達到入侵的目的.假如沒有服務器端的木馬程序運行,就可以使掌握着客戶端程序的這類黑客不能得逞.其次,應養成良好的電腦使用習慣,如不把撥號上網的密碼保存等等!
瞭解冰河黑客軟件的攻擊機製,就沒有什麽可懼怕的了。一旦感染了"冰河",可以使用以下的方法,將其殲滅在你的電腦裏:
1.檢查註册表啓動組,具體為:開始-->運行-->regedit,值:hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un和hkey_local_machinesogtwaremicrosoftwindowscurrentversion
unserver,查找kernel32.exe的執行項目,如有則將兩個鍵值刪除.值得註意的是,因為"冰河"可以隨意配置服務器程序的參數,如服務器文件名,斷口號,密碼等,因此服務器端的程序可以是隨意名稱,即不局限是kernel32.exe,所以在這裏需要具備一定的windows知識,準確的找出可疑的啓動文件,如哪不定主意的話可以與另一臺電腦進行對照.
2.刪除硬盤上與“冰河”有關的文件.可以按上述文件名將可疑文件找出後刪除.kernel32.exe(或更改為新名稱)默認在windowssytem目錄下,但同樣因配置的不同可以寄存與windows或 emp目錄下.
3.“冰河”的自我保護措施是很強的,它可以利用註册表的文件關聯項目,在你毫不知覺的情況下復製自己重新安裝.在做完上述工作後,雖然表面上“冰河”不復存在了,但當你點擊打開有關文件時(如*.txt,*exe),“冰河”又復活了!因此為斬草除根,在上述1.2步的基礎上,還應以可疑文件名為綫索,全面掃描查找一遍註册表,可以發現可疑鍵值一一刪除.
4.上述的操作因需要在係統的心髒--註册表上做手術,有一定的危險性.其實最簡便有效的辦法就是格式化你的硬盤,重裝windows係統,當然,你要為此付出一定的時間了!
以下是補充上述方法的新文章:
一. 按照上述方法殺掉冰河後,還應該對註册表中hkey_class_root xtfileshellpoencommand下的鍵值c:windows
otepad.exe%1 進行修正,改為:c:windowssystemexe%1,否則大傢會發現打不開文本文件,當打開文本文件時,大傢會看到'未找到程序'的提示.
二.是上述介紹殺掉木馬的方法是,衹是針對客戶端配置的確省模式,當客戶端在配置服務器程序是更換了文件名,廣大網友可能就找不到了.具體的判斷解决方法是"首先還是查看註册表中hkey_class_toot xtfileshellpoencommand的鍵值是什麽,如c:windowssystemcy.exe%1(這裏也可能是其它文件名和路徑),記下來cy.exe;查註册表中hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un和 hkey_local_machinesoftwaremicrosoftwindowscurrentversion
unserver的鍵值,如也有cy.exe,則基本上判斷他就是冰河木馬,最好還要再核對文件的字節數(2.0版本冰河木馬字節熟為495,733字節),將以上的兩個鍵值刪除c:windowssystemcy.exe即可(在win98下是刪不掉的).需要註意的是在修正註册表之前,要做好備份;要對與cy.exe字節熟相同的文件引其高度註意,以防客戶端在此前給你配置了幾套冰河木馬. |
|
|