目前網路上最猖獗的病毒估計非木馬程式莫數了,2004年後木馬程式的攻擊性也有了很大的加強,在程序隱藏方面,做了較大的改動,不再採用獨立的EXE可執行檔案形式,而是改為核心嵌入方式、遠端執行緒插入技術、掛接PSAPI等,這些木馬也是目前最難對付的。本期就教你查詢和清除執行緒插入式木馬。
步驟/方法
登錄檔啟動項:
在“開始/執行”中輸入“regedit.exe”開啟登錄檔編輯器,依次展開[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],檢視下面所有以"Run"開頭的項,其下是否有新增的和可疑的鍵值,也可以通過鍵值所指向的檔案路徑來判斷,是新安裝的軟體還是木馬程式。
另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值也可能用來載入木馬,比如把鍵值修改為“X:\windows\system\ABC.exe "%1"%”。
系統服務
有些木馬是通過新增服務項來實現自啟動的,大家可以開啟登錄檔編輯器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查詢可疑鍵值,並在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下檢視的可疑主鍵。
然後禁用或刪除木馬新增的服務項:在“執行”中輸入“Services.msc”開啟服務設定視窗,裡面顯示了系統中所有的服務項及其狀態、啟動型別和登入性質等資訊。找到木馬所啟動的服務,雙擊開啟它,把啟動型別改為“已禁用”,確定後退出。也可以通過登錄檔進行修改,依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服務顯示名稱”鍵,在右邊窗格中找到二進位制值“Start”,修改它的數值數,“2”表示自動,“3”表示手動,而“4”表示已禁用。當然最好直接刪除整個主鍵,平時可以通過登錄檔匯出功能,備份這些鍵值以便隨時對照。
開始選單啟動組
現在的木馬大多不再通過啟動選單進行隨機啟動,但是也不可掉以輕心。如果發現在“開始/程式/啟動”中有新增的項,可以右擊它選擇“查詢目標”到檔案的目錄下檢視一下,如果檔案路徑為系統目錄就要多加小心了。也可以在登錄檔中直接檢視,它的位置為[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],鍵名為Startup。
系統INI檔案Win.ini和System.ini
系統INI檔案Win.ini和System.ini裡也是木馬喜歡隱蔽的場所。選擇“開始/執行”,輸入“msconfig”調出系統配置實用程式,檢查Win.ini的[Windows]小節下的load和run欄位後面有沒有什麼可疑程式,一般情況下“=”後面是空白的;還有在System.ini的[boot]小節中的Shell=Explorer.exe後面也要進行檢查。
批處理檔案
如果你使用的是WIN 9X系統,C盤根目錄下“AUTOEXEC.BAT”和WINDOWS目錄下的“WinStart.bat”兩個批處理檔案也要看一下,裡面的命令一般由安裝的軟體自動生成,在系統預設會將它們自動載入。在批處理檔案語句前加上“echo off”,啟動時就只顯示命令的執行結果,而不顯示命令的本身;如果再在前面加一個“@”字元就不會出現任何提示,以前的很多木馬都通過此方法執行。