木马的检测、清除及其预防(一)启动

合集下载

实验一木马攻击与防范

实验1 木马攻击与防范一、实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理木马的全称为特洛伊木马，源自古希腊神话。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。

它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1．木马的特性木马程序为了实现其特殊功能，一般应该具有以下性质：(1)伪装性：程序将自己的服务器端伪装成合法程序，并且诱惑被攻击者执行，使木马代码会在未经授权的情况下装载到系统中并开始运行。

(2)隐藏性：木马程序同病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其它程序进行的，因此在一般情况下使用者很难发现系统中有木马的存在。

(3)破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。

(4)窃密性：木马程序最大的特点就是可以窥视被入侵计算机上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

2．木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。

木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script 脚本上存在一些漏洞，攻击者可以利用这些漏洞诱导上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。

木马还可以利用系统的一些漏洞入侵，如微软的IIS服务器存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务器溢出，获得控制权限，然后在被攻击的服务器上安装并运行木马。

毕业综合实践报告-计算机木马病毒及防治(防治版)

GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目：计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别：班级：学生姓名：学号：指导老师：完成日期：目录一、计算机木马病毒的概述及现状 (1)（一）计算机木马病毒的概念 (1)（二）木马病毒的原理 (1)（三）木马病毒的特征 (3)（四）木马病毒的危害 (3)（五）计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)（一）修改图标 (5)（二）捆绑文件 (5)（三）出错显示 (5)（四）定制端口 (5)（五）自我销毁 (5)（六）木马更名 (6)三、计算机木马病毒的防治 (6)（一）如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)（二）如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)（三）如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)（一）冰刃 (9)（二）Windows清理助手 (9)（三）恶意软件清理助手 (9)（四）Atool软件 (9)（五）Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。

因特网使得全世界都联系到了一起。

极大的促进了全球一体化的发展。

但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。

木马病毒分析与安全防范的措施

I T 技术木马的入侵手段越来越复杂,呈现出综合的多元化特征。

现有的杀毒软件和防火墙往往挡不住它们的入侵和攻击。

要使网络安全,最好的办法就是熟悉木马的工作原理,这样才能更好地掌握如何预防木马病毒或消除木马病毒。

1 木马病毒木马也是电脑“病毒”的一种,它的特点是:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,在你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。

1.1木马病毒的危害木马和病毒、蠕虫之类的恶意程序一样,它能删除或修改文件、格式化硬盘、上传和下载文件等恶意功能。

木马还具有远程控制计算机系统,窃取用户的密码、获取目录路径或用户信用卡等信息。

假若你的计算机上连接有摄像头,木马可以把它打开,捕获你在电脑前的视频内容。

目前木马病毒是最具有威胁用户隐私的病毒。

1.2病毒疫情呈现特点①木马病毒速猛增长;②变种层出不穷;③网页挂马与ARP欺骗危害加剧等。

2 木马特性2.1木马的基本特征木马是病毒的一种,木马程序有不同的种类,但它们之间都有一些共同的特性,综合现在所流行的恶意木马程序,其基本特征:(1)隐蔽性。

包含于正常程序中,当用户执行正常程序时,启动自身,并在且在难以察觉的情况下,完成危害用户的操作,具有隐蔽性,它的隐蔽性主要体现在以下几个方面:①不产生图标;②文件隐藏;③在专用文件夹中隐藏;④自动在任务管理器中隐型;⑤伪装成驱动程序及动态连接库。

(2)自动运行。

木马为了控制服务端,它必须在系统启动时跟随启动,所以它必须潜入在你的启动配置文件中。

(3)欺骗性。

捆绑欺骗,用包含具有末公开并且可能产生危险后果的功能的程序与正常程序合并成一个文件。

使你很难发现它的存在位置。

2.2自动恢复使用多重备份功能模块,木马病毒能相互恢复;自动打开端口并利用TCP/IP协议不常用端口自动进行连接。

“木马”病毒的分析、检测与防治

的 “ 木马” 有很多种类，它的基本构成却是一样的，但即由服务器和控翻器组成。一旦用户电脑植人了木马”在用户上网的时候，，黑客就可以使用控制器进人并控制用户的电脑。通过“ 木马”黑客可以从远程“ 视” ，窥到用户电脑中所有的文件，看系统信息，查盗取电脑中的各种口令，偷走所有他认为有价值的文件，除所有文件，删甚至将整个硬盘格式化，还可以将其他的电脑病毒传染到电脑上来，可以远程控制电脑鼠标，盘，看到用户的一举键查
“ 马＂木病毒的分析、测与防治检
屈蕴茜，陆建德
（ｆ苏，大学信息工程学院，Ｉ江苏苏州２￣ｏ）１６０
摘要：讨论时计算机安全危害极大的“ 木马” 病毒的工作原理。从启动方式、通信方式和传播方式多方面进行了探讨，并对检刹、清除和预防“ 木马” 病毒提出了可行
一
般的程序需要我们点击该程序才会启动， “ 马” 了隐蔽起见，而木为往往在电脑开机时
自启动，或者捆绑在其它程序中，当用户运行那个程序时，木马” 随之悄悄地启动。系统 “ 也启动时自动加载应用程序的方法，木马” “ 都会用上，：动组、ｉ．ｉｓｓｍ．ｉ注册表等如启ｗｎｉ、ｔｉ、ｎｙｅｎ等都是“ 木马” 自启动的好地方，而捆绑在其它程序中的木马” 以由黑客自己确定捆绑方可式、捆绑位置、捆绑程序等。
维普资讯
第２卷期２第１
２０年２Ｏ２月
苏
州大学学报
工学版
ｖｄ．Ｈｏ１２．

木马的入侵检测技术和清除方法

１木马的分类和入侵方法
Ｐｋｌ．可以根据进程ｆＰＤ（ｓｉ命令ｌｌＩ进程号１￣来强行结束进程使用方法是：ｐｋｌＰＤｓｉＩｌ
２２端口捡测．
下ｌ淡谈如何通过ｆＩｉ
我仃知道，当服务器端运行后，会打）一个ｔ或ｕｐｕ进行ＪＦｃｐｄ端监听．这个端ｕ的值通常是１２以上．因为１２以下的端［已经被０４０３Ｊ些公崩的服务ｊ用，例如ｔｎｔ崩ｔ３端ｕ、这与电活码ｒ，ｅｅｃ２ｌＩＤ
维普资讯
网络纵横
南肛科技２０年第７０６期
木马的入侵检测技术和清除方法
庄小妹
Ｉ广东培正学院）摘要在互联网上，新的木马总是层出不穷，许多计算机用户深受其害本文根据木马入侵的原理，研究了传统木马和
ＨＫＥＹＬＯＣＡＬＭＡＣＨＩ￣ＯＦｎⅣＡＲＥＭｉｒｓｆＷｉｄｗｓｒｅｔｅｓＮＥ￣；Ｘｃｏｏｔｎｏ＼＼ＣｕｒｎＶｒ
ＷＡＴＩ．说明其它汁算机正在关闭与本机的连接凼此，要注意是否存在ＥＴＢｌＨＤｓＡｓＥ的情况，特别是对于反弹端口的木马，尤其Ｌ
是这样，ｅｔ命令不仅可以在ｗｎｏｓＮ￣ｍｉｗ下使用．在ＬＮＸｄＩＵ操作系统下也可以使用如果要知道是那一个程序打开了某—个端ｕ，则可以使用一些工具进行检查ＦＯＴＰＲ是一个检查端ｆ与相关文件不错的工具Ｉ使用方法也简单在命令行状态下．输入ｆ０可以了，例如．输ｐ僦入ｆｏ后．可以看到７２为ｃｗｎｔｙｔｅ￣ｍｅｅｅ个文件打ｐｒｔ６６：ｉｋｓ２ｅ１ｘ这＼ｎｓｍｋ．开的，也就是能够把打Ｊ端［的木马文件揪了出来，根据这个结ＦＪ果．可以先把相关的进程清除，然后就能够把木马文件清除了。有时在正常的模式下不能删除木马文件，这时可以先进入安全模式，然后就能顺利删除木马文件

六招教你检测是否中病毒木马介绍

六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍：六招教你检测病毒木马一、进程首先排查的就是进程了，方法简单，开机后，什么都不要启动!第一步：直接打开任务管理器计算机爱好者，学习计算机基础，电脑入门，请到本站PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒;如果提示已经被管理员禁用，则要引起警惕!第二步：打开冰刃等软件，先查看有没有隐藏进程冰刃中以红色标出，然后查看系统进程的路径是否正确。

PS：如果冰刃无法正常使用，可以判定已经中毒;如果有红色的进程，基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。

第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。

PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。

六招教你检测病毒木马二、自启动项目进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有 Microsoft 服务”复选框，然后逐一确认剩下的服务是否正常可以凭经验识别，也可以利用搜索引擎。

PS：如果发现异常，可以判定已经中毒;如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。

第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

第三步，用Autoruns等，查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。

PS：这个需要有一定的经验。

六招教你检测病毒木马三、网络连接ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。

然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP地址，可以到相关网站查询，对应的进程和端口等信息可以到Google或百度查询。

第5章b3 特洛伊木马检测、清除与防范

字段类型字段名称 nPort TroName nKillno pnext 数字字符串数字指针该木马所使用的端口号。该木马的名称。该木马的查杀号，杀除函数调用。用于构成链表结构指针字段说明
在Trojan.txt中，每行为一个木马项，格式为
木马名称木马使用特征ቤተ መጻሕፍቲ ባይዱ口号查杀号
信息安全工程学院
程序的设计思路参考下载文件(文档位置：解压缩目录\Experiment\Antitrojan\doc\设计文档.doc)。
信息安全工程学院
实验结果
信息安全工程学院
木马防治实用工具
个人防火墙
• Windows自带个人防火墙 • 第三方个人防火墙工具 • 天网 • Zone Alarm Pro
信息安全工程学院
信息安全工程学院
三、Happy99 此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到 Windows主文件夹的System目录下并更名为Ska.exe，同时创建文件Ska.dll，修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册［HEKY_LOCAL_MACHINE\Softwre\Microsoft\Window s\CurrentVersion\RunOnce］中有无键值Ska.exe。有则将其删除，并删除\Windows\System中的Ska.exe和 Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。
使用端口扫描方法查看有那些端口开放
该方法存在问题：
• 无法应对隐藏端口 • 没采用多线程扫描
信息安全工程学院
消除木马进程的步骤

检测和删除系统中的木马(Trojan Horse)教程

检测和删除系统中的木马（Trojan Horse）教程一、木马（Trojan Horse）介绍木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。

此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。

后来想出了一个木马计，让士兵藏匿于巨大的木马中。

大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。

木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。

在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。

虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。

而且实际的使用效果也并不理想。

比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。

本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。

因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。

用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。

当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

木马的检测、清除及其预防（一）启动在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计算机中了木马病毒。

木马的全称是“特洛依木马”，它们一般以寻找后门、窃取密码为主。

统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在去年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。

木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

著名的“红色代码”和“坏透了”病毒都属于木马病毒。

木马是一种破坏力十分强的黑客工具，那么如何检测木马的存在，并彻底清除它们呢？下面介绍几种防范和清除手段。

方法通过启动方式由于木马的隐蔽性非常强，在电脑开机的时候一般都会自动加载，在启动之后大部分还会更改文件名，因此从Windows系统自动加载文件的方式入手来分析木马的存在并清除就很有意义。

木马自动加载的方法和存放的位置比较多，下面结合具体的实例来分析木马的启动并提出常见的木马清除方法。

1、从菜单中加载。

如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的位置是“C:windowsstart menuprograms 启动”处。

通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：indowsCurrentVersionexplorerUser Shell Folders通过这种方式实现木马自动加载时，如果是在Win98系统下还可以直接运行Msconfig命令在“启动”处查看，下边将要涉及的system.ini、win.ini、autoexec.bat等文件也都可以用这个命令来查看。

通过菜单启动最典型的木马例子是“求职信”（W97M_Resume.A）病毒，这种新病毒除了试图自动发出邮件实现连环感染之外，还会删除磁盘中的全部文件，带这种病毒的信件标题为：Resume-Janet S imons，带有附件Explorer.doc，用户一旦执行附加文件，即会遭到病毒传染。

如果将其手工清除，除了需要删除该病毒文件之外，还需要做以下工作：（1）检查DATAnormal.dot，直接删除该文件。

（2）如果C:windowsstartmenuprograms目录下有explorer.doc这个文件，删除它。

、通过win.ini和system.ini来加载木马。

在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。

可以通过修改win.ini文件中wind ows节的“load=file.exe ，run=file.exe”语句来达到木马自动加载的目的。

此外在system.ini中的b oot节，正常的情况下是“Shell=Explorer.exe”（Windows系统的图形界面命令解释器）。

如果此处修改成其他的可执行文件就可以实现木马的加载，例如“妖之吻”病毒，电脑每次启动后就自动运行程序yzw. exe，修改的方法是编辑system.ini，将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

前不久发生的TROJ_BADTRANS.A病毒，也是通过E-mail传递的，它能将木马种到用户的计算机中以窃取用户的资料，会更新win.ini以便在下一次重新开机时执行。

执行清除的步骤如下：（1）在DOS命令行中输入win.ini并运行。

（2）将win.ini文本文件中：RUN=“C:%WINDIR%INETD.EXE”这行删除，仅保留“run=”。

（3）启动病毒查杀软件，将查找出的带有TROJ_BADTRANS.A病毒的文件删除。

、通过在注册表中实现。

木马只要被加载，尽管有可能会隐藏得比较好，但一般都会在注册表中留下痕迹。

一般来说，木马在注册表中自动加载的实现是在HKEY_LOCAL_MACHINESoftware下的RunServices、RunServicesOnce、Run、RunOnce 等子键，以及HKEY_CURRENT_USERSoftwareVersion下的Run、RunOnce、RunServices等子键处。

此外在注册表中的HKEY_CLASSES_ROOT处，如果其中的“%1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

TROJ_NAVIDAD.A就是通过上述方式启动的，它以E-mail夹带附件“NAVIDAD.EXE”进行散播。

如果执行该附件，电脑就会中毒，该病毒会将自己转发给电脑通讯录里所有的好友名单，并修改Window s的注册表。

这种方式的木马如果手工清除，步骤如下：（1）键入DOS命令以重新命名regedit.exe为(本步骤可选)。

（2）运行注册表程序，找到下列键值：HKEY_CLASSES_ROOT exefileshellopencommand。

（3）在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”%*” where %w indir%”中““%1”%*”以外部分删除。

（4）同步骤2，进入以下注册表的值：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun。

（5）选择Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ，并删除。

（6）进入DOS模式，重新命名为regedit.exe。

（7）用查毒软件在硬盘上查找所有含TROJ_病毒的文件，不管是否为隐含文件，一律删除。

、通过windowswininit.ini文件。

很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=windowspicture.exe，该语句将windowspicture.exe发往NUL, 这就意味着原来的文件p ictrue.exe已经被删除，因此它运行起来就格外隐蔽。

、Autoexec.bat。

这是木马在DOS模式下每次自动加载的方法，例如恋爱配对病毒转寄的邮件主题为“Matcher”，而附件文件名则为“matcher.EXE”。

手工清除该木马可以按照如下步骤进行：（1）执行regedit命令并将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun的值“C:%winsys%matcher.exe”删除。

（2）打开autoexec.bat文件，将下列内容删除并存盘：echo offecho from: Buggerpause（3）在电脑上用查毒软件查找带有troj_macher.a病毒的文件并将其删除。

6、利用Explorer来加载文件。

在Windows 95/98和Windows ME系统中，Explorer作为Window s图形界面的命令解释器，每次在系统启动时加载，Explorer.exe的加载是通过system.ini文件来进行的。

system.ini文件在配置中本身没有提供路径信息，因此如果explorer.exe存在，那么将直接运行它，否则就会去执行$winpathexplorer.exe。

而对于Windows NT/2000系统来说，首先要“请示”Windo ws的注册表\HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NT\CurrentVersion\Winl ogonShell来决定Windows管理系统必须加载的文件名，在缺省情况下，这个加载的文件就是Explor er.exe。

一般情况下，如果木马安装在explorer下，就不需要任何的键值和开始程序。

如果explorer.exe是一个被绑定或者异常的文件，由于系统开始就会首先加载这个文件，因此用户就可能被感染。

、隐藏文件后缀名。

在Windows系统注册表中的HKEY_LOCAL_MACHINESoftwareCLASSESShellScrap下有一个键的名称是“NeverShowExt”，此处NeverShowExt键的主要功能就是隐藏真正的文件后缀名。

一个文件名为“Girl.jpg.shs”的文件，很可能在所有的程序中显示为“Girl.jp g”，甚至包括在explorer中。

如果注册表中包含NeverShowExt这样的键值，简单的方法就是删除这个键值以便显示所有真正的文件后缀名，这样就防止了木马改名的可能性。

需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。