|
|
普通用戶對一般木馬的防范方法
一些最新流行的木馬 最有效果的防御就是修改名字
現(xiàn)在我們來說防范的方法
那就是把 windows|system|mshta.exe文件改名,,
改成什么自己隨便
比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 這個是其中一種木馬的主體 潛伏在 98/winme/xp c:|windows目錄下 2000 c:|winnt .....假如你中了這個木馬 首先我們用進(jìn)程管理器結(jié)束 正在運(yùn)行的木馬smss.exe 然后在C:|windows 或 c:|winnt|目錄下 創(chuàng)建一個假的 smss.exe 并設(shè)置為只讀屬性~ (2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全設(shè)置” 設(shè)置為讀取) 這樣木馬沒了~ 以后也不會在感染了這個辦法本人測試過對很多木馬 都很有效果的經(jīng)過這樣的修改后,,我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測試,,實(shí)驗(yàn)結(jié)果是上了大概20個木馬網(wǎng)站,有大概15個瑞星會報(bào)警,,另外5個瑞星沒有反映,,而我的機(jī)器沒有添加出來新的EXE文件,也沒有新的進(jìn)程出現(xiàn),,只不過有些木馬的殘骸留在了IE的臨時文件夾里,,他們沒有被執(zhí)行起來,沒有危險(xiǎn)性,,所以建議大家經(jīng)常清理 臨時文件夾和IE 隨著病毒編寫技術(shù)的發(fā)展,,木馬程序?qū)τ脩舻耐{越來越大,尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己,,使普通用戶很難在中毒后發(fā)覺,。
防治木馬的危害,應(yīng)該采取以下措施:
第一,,安裝殺毒軟件和個人防火墻,,并及時升級。第二,,把個人防火墻設(shè)置好安全等級,,防止未知程序向外傳送數(shù)據(jù)。第三,,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具,。第四,如果使用IE瀏覽器,,應(yīng)該安裝卡卡安全助手,,防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機(jī)侵入,�,! ∵h(yuǎn)程控制的木馬有:冰河(國人的驕傲,中國第一款木馬),灰鴿子,,上興,PCshare,網(wǎng)絡(luò)神偷,,F(xiàn)LUX等,,現(xiàn)在通過線程插入技術(shù)的木馬也有很多.現(xiàn)在的木馬程序常常和和DLL文件息息相關(guān),被很多人稱之為“DLL木馬”,。DLL木馬的最高境界是線程插入技術(shù),,線程插入技術(shù)指的是將自己的代碼嵌入正在運(yùn)行的進(jìn)程中的技術(shù)。理論上說,,在Windows中的每個進(jìn)程都有自己的私有內(nèi)存空間,,別的進(jìn)程是不允許對這個私有空間進(jìn)行操作的,但是實(shí)際上,,我們?nèi)匀豢梢岳梅N種方法進(jìn)入并操作進(jìn)程的私有內(nèi)存,,因此也就擁有了那個遠(yuǎn)程進(jìn)程相當(dāng)?shù)臋?quán)限。無論怎樣,,都是讓木馬的核心代碼運(yùn)行于別的進(jìn)程的內(nèi)存空間,,這樣不僅能很好地隱藏自己,也能更好地保護(hù)自己,。 DLL不能獨(dú)立運(yùn)行,,所以要想讓木馬跑起來,就需要一個EXE文件使用動態(tài)嵌入技術(shù)讓DLL搭上其他正常進(jìn)程的車,,讓被嵌入的進(jìn)程調(diào)用這個DLL的 DllMain函數(shù),,激發(fā)木馬運(yùn)行,最后啟動木馬的EXE結(jié)束運(yùn)行,,木馬啟動完畢,。啟動DLL木馬的EXE是個重要角色,它被稱為Loader,, Loader可以是多種多樣的,,Windows的Rundll32.exe也被一些DLL木馬用來作為Loader,這種木馬一般不帶動態(tài)嵌入技術(shù),,它直接注入Rundll32進(jìn)程運(yùn)行,,即使你殺了Rundll32進(jìn)程,木馬本體還是存在的,。利用這種方法除了可以啟動木馬之外,,不少應(yīng)用程序也采用了這種啟動方式,一個最常見的例子是“3721網(wǎng)絡(luò)實(shí)名”,。 “3721網(wǎng)絡(luò)實(shí)名”就是通過Rundll32調(diào)用“網(wǎng)絡(luò)實(shí)名”的DLL文件實(shí)現(xiàn)的,。在一臺安裝了網(wǎng)絡(luò)實(shí)名的計(jì)算機(jī)中運(yùn)行注冊表編輯器,依次展開 “HKEY_LOCAL_MACHINE|SOFTWARE|Microsoft|Windows|CurrentVersion|Run”,,發(fā)現(xiàn)一個名為“sMin”的啟動項(xiàng),,其鍵值為“Rundll32 C:|WINDOWS|Downlo~1|sMin.dll,Rundll32”,,sMin.dll是網(wǎng)絡(luò)實(shí)名的DLL文件,這樣就通過 Rundll32命令實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)名的功能,。 簡單防御方法 DLL木馬的查殺比一般病毒和木馬的查殺要更加困難,,建議用戶經(jīng)常看看系統(tǒng)的啟動項(xiàng)中有沒有多出莫名其妙的項(xiàng)目,,這是DLL木馬Loader可能存在的場所之一,。如果用戶有一定的編程知識和分析能力,還可以在Loader里查找DLL名稱,,或者從進(jìn)程里看多掛接了什么陌生的DLL,。對普通用戶來說,最簡單有效的方法還是用殺毒軟件和防火墻來保護(hù)自己的計(jì)算機(jī)安全�,,F(xiàn)在有一些國外的防火墻軟件會在DLL文件加載時提醒用戶,,比如Tiny、SSM等,,這樣我們就可以有效地防范惡意的DLL木馬了 |
-
| 評分記錄 | 開水票 |
收起
理由
|
 土匪
| + 5 |
|
|
提升卡
置頂卡
關(guān)貼卡
開貼卡
顯身卡
