特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马的工作原理
特洛伊木马的工作原理
特洛伊木马是一种常见的恶意软件,它通过伪装成正常的程序或文件来欺骗用户,使其被安装和运行在受感染的系统中。
特洛伊木马的工作原理包括以下几个步骤:
1. 伪装: 特洛伊木马会伪装成一个吸引人的程序、文件或链接,以引起用户的兴趣和点击。
这个伪装可以是一个看似合法的软件安装包、电子邮件附件、社交媒体链接等等。
2. 欺骗: 当用户执行了特洛伊木马的安装或打开操作时,它会
欺骗用户认为它是一个正常的程序或文件,并且可能对用户做出各种误导性的提示或界面交互,让用户相信这是一个可信的应用。
3. 潜伏: 一旦特洛伊木马成功地安装在系统中,它会开始在后
台运行,并潜伏于系统的各个角落,隐藏自己的存在,使用户难以察觉。
4. 攻击: 特洛伊木马会利用系统漏洞或用户权限不足的安全弱点,通过自身的程序代码或网络通信进行攻击。
这可能包括窃取用户的个人信息、密码、银行账号等敏感信息,操控受感染系统进行恶意活动,或者打开后门,为黑客提供远程访问受感染系统的权限。
5. 传播: 一旦特洛伊木马成功感染了一个系统,它还可能通过
网络传播到其他主机,利用电子邮件、即时通信软件、共享文件等方式,将自身复制到其他电脑上,进一步传播。
总之,特洛伊木马通过伪装成正常的程序或文件,欺骗用户安装并潜伏于系统中,然后利用系统漏洞进行攻击和传播。
用户需要提高警惕,并采取安全措施来预防和检测特洛伊木马的存在。
特洛伊木马原理分析
特洛伊木马原理分析特洛伊木马是如何工作的一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序他所做的第一步是要把木马的服务器端。
攻击者要通过木马攻击你的系统,程序植入到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,利用的途径有邮件附件、下载软件中等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这个木马执行文件,是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。
一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。
木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入,由于微软的浏览器在执行Senipt脚本存在一些漏洞。
攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。
前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。
如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制CGI程序在攻击主机上执行木马目录。
此外,木马还可以利用系统的一些漏洞进行植人,如微软著名的US服务器溢出漏洞,通过一个IISHACK攻击程序即可使IIS服务器崩溃,并且同时攻击服务器,执行远程木马执行文件。
当服务端程序在被感染的机器上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被感染的机器。
在客户端和服务端通信协议的选择上,绝大多数木马使用的是TCP/IP协议,但是也有一些木马由于特殊的原因,使用UDP协议进行通讯。
当服务端在被感染机器上运行以后,它一方面尽量把自己隐藏在计算机的某个角落里面,以防被用户发现;同时监听某个特定的端口,等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。
木马程序是如何实现隐藏的
木马程序是如何实现隐藏的木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。
有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。
下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟!1、集成到程序中其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。
当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了,这个file.exe很可能是木马哦。
木马程序隐身技术剖析
木马程序潜入 电脑 中的 目的不只是为 了破坏系统 , 更是为
了获取 系统 中有 用的信息 , 把信 息传递 出去 , 并 以便黑客们 控
木马可以隐藏在系统之 中, 在服务器端运行的时候利用 各 制 电脑 系统 , 或实施更加进一步的入侵 。 种手段 隐藏 自己 , 例如修 改注册表和 ii n 文件 以便机器 在下一 16 功 能 的 特殊 性 . 次启动时能运行 。它不是 自己生成一个启动程 序 , 而是依附在 软件 (x- i e绑定程式 ) ee bn r d 。
BI Xi o d n a—o g
( h n eh ooy Is tt o cn m ,H n zo,Z ea g 3 0 1 ,C ia Z  ̄ag Tcn l ntue f Eo o y a ghu hj n 1 0 8 hn ) g i i
Abtat Wi te o uai o nent s nw cmp tr e r i s rjn os cue moe h r o he o ue s c: t h p p l t f lt e,a a e r h ry r o ue nt k vr Toa h re a ss wo u r am t t cmp tr
i f r a i n e o r e n n t o k n io me t a o h r vi s s n o m to r s u c s i e w r e v r n nt h n t e r e .Th s pa e s u i p r ums p a d r s a c e e t at e h l g s d by u n e e r h s t se l t c no o y u e h h
Toa os rga n e n o p rt g ss m. r n h repormsu drWid wso ea n yt j i e
特洛伊木马攻击技术与防范策略
特洛伊木马攻击技术与防范策略敬晓芳(中国工程物理研究院化工材料研究所,绵阳629100)摘要:特洛伊木马是一种程序,它驻留在目标计算机里,随计算机自动启动并在某一端口进行侦听,对接收的数据识别后,对目标计算机执行特定的操作。
其隐蔽性强,种类数量繁多,危害性很大。
本文介绍了木马的攻击原理、常用攻击技术以及防范策略。
关键词:特洛伊木马;驻留;攻击技术;防范策略1引言特洛伊木马(Trojan Horse),简称木马,是一种程序,这种程序被包含在合法的或表面上无害的程序上的恶意程序。
其实质只是一个通过端口进行通信的网络客户/服务程序。
木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。
木马属于“外来代码”的范畴,它表面上提供一些令人感兴趣的有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。
木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。
对攻击者而言,使用外来代码的关键优势之一就是,通过将非本地代码或二进制代码引入操作系统环境,从而断绝与系统或网络管理员所控制资源的依赖性。
相比较而言,添加或修改系统帐户,或直接操纵其他系统资源,可能被警惕性高的管理员发现,而安装一个“外来代码”则可以在一段时间内不被发现,尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。
随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。
2木马的原理和种类自木马程序诞生至今,己经出现了多种类型,常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。
大多数的木马都不是单一功能的木马,它们往往是很多种功能的集成品,因此,此处也只能给出一个大致的分类。
(1)玩笑型玩笑木马程序不造成损坏,但会从计算机的扬声器中发出惹人讨厌的声音,让计算机屏幕看起来七扭八歪,或在屏幕上显示吓人的信息,如“现在正在格式化硬盘!”虽然这类木马程序非常气人,让人厌烦,但它们是无害的,很容易删除。
特洛伊木马原理介绍
1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。
古希臘有大軍圍攻特洛伊城,逾年無法攻下。
有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。
城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。
到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。
後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。
特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。
而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。
原因是如果有人不當的使用,破壞力可以比病毒更強。
iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。
木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。
e2/基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。
作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。
對於特洛伊木馬,被控制端就成為一台伺服器。
特洛伊木马隐蔽性研究
在 wn x时代 ,注册 为系统进 程就可 以从任务栏中消 i9
失 , 就 实 现 了 隐 藏 。 可 是 在 Widw 00 流行 的 今 天 , n o 20 在 A mns a r 面 ( t+ h D 1 可 以看 到 所 有 正 在运 行 的 d iirt 下 t o Cr A + e) l
候是没有任 何异常 的, 如冰河 、 U S V N等 。这一点和反 SBE E 弹式木马有很大的相似之 处。
中 图 分 类 号 : T 3 95 P 0 .
文献标 识 码 : A 文 章编 号 :0 2 2 2 2 0 0 — 0 4 0 10 — 4 2( 0 7) 5 0 0 - 2
Ree rh o oa re Co caig sa c n Trjn Hos n el n
Me g L i n e Ab t a t s r c:
进程 , 从而发现木马的进程 , 也就意味着可 以删除它。
进程隐藏 是指把木马写入驱动和 内核的级别 ,通过拦 截系统 调用 的服务 , 替代 系统功 能 ( 用 改写驱动程序 或动 态链接库 )或者说是嵌入式 的方法 , 来达到隐蔽 的 目的 , 从
而 逃 过 系 统 对 木 马 的 监 测 。例 如 : 如 果 系 统运 行 wno s idw .
上 的 IMP木 马 会 严 格 地 使 用 IMP协 议 来 进 行 数 据 和 控 C C
制 命令 的传 递 ( 数据放在 I M C P的报 文中 ) 在整个过程中 ,
是 不可 见 的 。
马 的具 体位置 , 因此没有办 法删 掉。 本文重点研究了木 马的
隐 蔽性 。
这 两 种 方法 都 是 被 动 式 的 , 过 察 看 进 程 , 者察 看 注 通 或
特洛伊木马
概述
特洛伊木马(简称木马)是隐藏在系统中的用以完成未授权功能的非法程序,是黑客常用的一种攻击工具,它 伪装成合法程序,植入系统,对计算机络安全构成严重威胁。区别于其他恶意代码,木马不以感染其它程序为目 的,一般也不使用络进行主动复制传播。
特洛伊木马是基于C/S(客户/服务器)结构的远程控制程序,是一类隐藏在合法程序中的恶意代码,这些代码 或者执行恶意行为,或者为非授权访问系统的特权功能而提供后门。通常,使用木马的过程大致分两步首先,把 木马的服务器端程序通过络远程植入受控机器,然后通过安装程序或者启动机制使木马程序在受控的机器内运行。 一旦木马成功植入,就形成了基于C/S结构的控制架构体系,服务端程序位于受控机器端,客户端程序位于控制 机器端。
5、时效性越来越强,挖矿木马团伙在利益的驱使下,往往会不断集成更有效的1/N D ay漏洞来感染更多 主机资源,从而获取更多的收益。
感谢观看
功能
只要在本地计算机上能操作的功能,现如今的木马基本上都能实现。木马的控制端可以像本地用户一样操作 远程计算机。木马的功能可以概括为以下内容。
1、窃取用户文件。 特洛伊木马在目标计算机中潜伏,当遇到感兴趣的文件时就会将相关文件传输给提前设定的目的地而不会被 用户发现。 2、接受木马释放者的指令。 特洛伊木马一旦感染互联中的服务器就会窃取较高权限,随意地控制和监视通过该服务器的数据和账户。 3、篡改文件和数据。 根据指令对系统文件和数据进行修改,使目标计算机的数据和文件产生错误,导致作出错误的决策。 4、删除文件和数据。 将目标计算机操作系统中的文件和数据随意地删除。 5、施放病毒。
3、端口
一台机器有个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大 多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马,但这些端口是常 用端口,占用这些端口可能会造成系统不正常,这样的话,木马就会很容易暴露。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特洛伊木马病毒的隐藏技术李军丽云南大学信息学院 云南 650031摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
关键词:木马病毒;网络安全;隐藏技术0 引言随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。
隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
1 木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。
1.1 本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。
或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。
1.2 木马的启动隐藏方式(1) 本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。
木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。
由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。
(2) 通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。
像Autoexec.bat和Config.sys。
特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项——system.iniwindow.ini是众多木马的隐藏地。
Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。
另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。
这里也有可能被木马所利用。
再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。
(3) 利用系统路径遍历优先级欺骗Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。
这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。
要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。
(4) 替换系统文件木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。
让动态链接库可以像程序一样运行的RUNDLL32.EX等。
木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。
只要系统调用那个被替换的程序,木马就能继续驻留内存了。
木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。
1.3 进程隐藏进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹。
另外一种方法是木马不以一个进程或者服务的方式工作。
将木马核心代码以线程或DLL的方式插入到远程进程中,由于远程进程是合法的用户程序,用户又很难发现被插入的线程或DLL,从而达到木马隐藏的目的。
在Windows系统中常见的真隐藏方式有:注册表DLL插入、特洛伊DLL、动态嵌入技术、CreateProrocess插入和调试程序插入等。
1.4 内核模块隐藏有些木马在运行时能够删除自身启动运行及存在的痕迹,当检测到操作系统重新启动再重新在系统中设置需要启动自身的参数,这类木马存在的问题:当系统失效时(如断电、死机时)无法再次恢复运行。
内核模块隐藏,使木马程序依附到操作系统部件上,或成为操作系统的一部分。
1.5 原始分发隐藏软件开发商可以在软件的原始分发中植入木马。
其主要思想是:(1)修改编译器的源代码A,植入木马,包括针对特定程序的木马(如login程序)和针对编译器的木马。
经修改后的编译器源码称为B。
(2) 用干净的编译器C对D进行编译得到被感染的编译器D。
(3) 删除B,保留D和A,将D和A同时发布。
以后,无论用户怎样修改login源程序,使用D编译后的目标login程序都包含木马。
而更严重的是用户无法查出原因,因为被修改的编译器源码B已被删除,发布的是A,用户无法从源程序A中看出破绽,即使用户使用D对A重新进行编译,也无法清除隐藏在编译器二进制中的木马。
相对其它隐藏手段,原始分发的隐藏手段更加隐蔽。
1.6 通信隐藏主要包括通信内容、流量、信道和端口的隐藏。
木马常用的通信隐藏方法是对传输内容加密,隐藏通信内容。
采用网络隐蔽通道技术隐藏通信信道。
在TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。
木马可以利用这些网络隐蔽通道突破网络安全机制,比较常见的有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/UDP报文等。
采用网络隐蔽通道技术,如果选用一般安全策略都允许的端口通信,如80端口,则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。
通信流量的隐藏,当存在其他通信流量时,木马程序也启动通信。
当不存在任何其他通信流量时,木马程序处于监听状态,等待其他进程通信。
有些木马为了能更好地实现隐藏,达到长期潜伏的目的,通常融合多种隐藏技术,如采用多线程方式,线程间相互实时保护,一旦一方被删除,另一方可以通过备份恢复并远程启动。
或是通过一个木马程序(称为“主木马”),在局域网内部繁殖生产“子木马”,统一协调完成工作。
各子木马根据主木马分派的任务,各自负责一独立任务。
达到相互之间的保护,同时可以分散传输数据量,达到目的地址接受数据,增大追查源地址的难度。
而且主木马和子木马寄生于不同主机,并且相互联系,增强了木马的抗查杀的能力。
2 木马病毒的检测及清除方法2.1 本地隐藏方式木马的监测与清除本地隐藏的木马比较容易发现。
我们可以通过以下几种方法来查杀。
(1)设置文件的查看方式通过设置文件的查看方式将文件的扩展名显示出来,查看是否存在多扩展名的程序。
同时检查系统文件是否处于正常的系统文件夹内。
如果发现存在多个同样的系统文件,那么就要小心查看是否为病毒文件。
可先做备份,然后再将可疑文件删除。
(2)检查注册表和系统配置文件对于通过修改系统配置文件和注册表启动项来达到自启动的木马,需要常查看容易被修改的那些键值,看是否有新的程序加入。
如果有异常程序添加进了启动项,如果有异常程序,则可以先将系统配置文件备份。
然后,根据文件路径找到可疑文件源,查找注册表中所有相关项,删除源文件并同时删除注册表中的启动项和所有相关信息。
(3)检查HKEY——CLASSES——ROOT项检查HKEY——CLASSES——ROOT项下每类文件所对应的打开程序是否异常,如果发现异常则可能是系统进了木马。
特别是HKEY——CLASSES——ROO\EXEFILE\SHELL\OPEN\COMMAND,是否被修改。
如果有木马修改了该项,则只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他的木马文件的话,也一起停止,然后在保持注册表编辑器开启的情况下(否则所有程序都打不开了),删除掉所有木马文件,把EXEFILE的打开方式项“HKEY——CLASSES——ROOT\EXEFIEL\SHELL\OPEN\COMMAND”改回原来的”%1”%*”即可。
2.2 替换系统文件或是远程线程注入木马的检测与清除对替换了系统文件或是远程线程注入木马的检测与清除,需要我们首先找出被替换的是哪些系统文件。
保留一份系统文件备份,特别是重要的系统程序和所有的DLL链接库文件。
如果知道病毒替换了系统程序,则只需要找出病毒文件,从系统盘或备份文件复制一个覆盖病毒文件即可。
如果是有DLL 木马线程注入,调用系统进程启动。
则可以通过开始->运行输入cmd,打开命令窗口,转到windows\system32下,输入命令dir *.dll >x:\dllback.txt,对系统DLL文件备份,在命令窗里输入命令fc dllback.txt xitongd.txt > x:\qubie.txt ,将DLL[下转41页]通信主机只能看到本地地址和区域转交地址,无法看到本地转交地址。
除了在路由代理和移动主机本身所在的链路上,移动主机的位置无法被获知,本地转交地址出现在该链路的隧道头中。
管理地址的技术通常也称为局部移动性管理,因为路由代理域中的移动性管理是相当严格的。
HMIPv6就是移动IPv6局部移动性管理协议的一个实例。
在HMIPv6中,路由代理称为移动锚点(MAP)。
图2描述了HMIPv6如何隐藏移动主机的位置信息。
图2 位置隐私协议HMIPv6路由代理的另一个优势是可以为管理绑定更新时间和信令负荷提供额外效率。
当移动主机进入路由代理的覆盖域时,它必须发送一条绑定更新给路由代理。
但是,如果使用了路由最优化,每次当移动主机运动至新子网时,绑定更新必须发送给本地代理和所有的通信主机。
发送绑定更新的开销是相当大的,尤其是需要迂回路由安全协议时或接收方位于另一个大陆时。
路由代理的主要缺点是他们在路由基础设施中引入了单点故障。
路由代理包含了所有移动主机的绑定信息,这些移动主机横跨宽的地理区域或大型组织。