虽然市面上有很多可以自动清除木马的新型杀毒软件,但是都无法阻止新的木马程序,所以最重要的是要知道木马的工作原理,这样才容易发现木马。相信看完这篇文章,你会成为一个杀死木马的高手。
木马会想尽一切办法隐藏自己。主要的方式有:把自己隐藏在任务栏,这是最基本的。只要窗体的“可见”属性设置为“假”,并且“显示任务栏”设置为“假”,程序在运行时就不会出现在任务栏中。在任务管理器中不可见:将程序设置为“系统服务”可以轻松伪装自己。当然,它会悄悄地开始。当然,你不能指望用户每次启动都点击木马图标运行服务器(:)。木马会在用户每次启动时自动加载服务器,而Windows系统启动时自动加载应用的方法也会被木马使用。比如启动组、win.ini、system.ini、注册表等。都是特洛伊人。我们来说说木马是如何自动加载的。
在win.ini文件中,在[WINDOWS]下,“run=”和“load=”是加载木马程序的可能方式,一定要仔细注意。一般来说,他们的等号后面什么都没有。如果您发现它们后面的路径和文件名不是熟悉的启动文件,您的计算机可能会被特洛伊木马捕获。当然,你要看清楚,因为很多“木马”,比如AOL木马木马,把自己伪装成command.exe文件。如果不注意的话,你可能不会发现它并没有真正绑定在system.ini文件中,在[BOOT]下面还有一个“shell=文件名”。正确的文件名应该是“explorer.exe”。如果不是“explorer.exe”而是“shell=explorer.exe程序名”,那么跟在它后面的程序就是“木马”,也就是说你已经被“木马”了。系统启动文件。
登记处的情况最为复杂。通过regedit命令打开注册表编辑器,点击目录“key本地-机器软件微软 Windows 当前版本运行”查看键值中是否有不熟悉的自动启动文件,扩展名为EXE。这里要记住:有些“木马”程序生成的文件与系统本身的文件非常相似,他们想通过伪装侥幸逃脱,比如“酸性电池v1.0木马”,将注册表“key本地-机器软件微软 Windows 当前版本Run下的Explorer键值改为Explorer=“c : Windows Explorer . exe”,木马程序与真正的浏览器之间只有“I”和“L”的区别。当然,注册表中也有很多可以隐藏木马程序的地方,比如“HKEY-当前用户软件微软 Windows 当前版本运行”和“HKEY-用户 * * * 软件微软 Windows 当前版本运行目录都是可以的。最好的方法是在“HKEY-本地-机器软件微软 Windows 当前版本运行”下找到木马程序的文件名,然后搜索整个注册表。
了解木马的工作原理,就很容易杀死木马。如果存在木马,最安全、最有效的方法就是立即断开电脑与网络的连接,防止黑客通过网络攻击你。然后编辑win.ini文件,将[WINDOWS]下的“run=木马程序”或“load=木马程序”改为“run=”和“Load=”;编辑system.ini文件,将[BOOT]下的“shell=‘木马’文件”改为“shell=explorer . exe”;在注册表中,使用regedit编辑注册表。首先在“HKEY-本地-机器软件微软 Windows 当前版本运行”下找到“木马”程序的文件名,然后搜索整个注册表,替换“木马”程序。有时候需要注意的是,有些“木马”程序并不只是删除“key本地-机器软件微软 Windows 当前版本运行”下的“木马”键值,因为有些“木马”如BladeRunner“木马”删除后会立即自动添加。重新启动计算机,然后删除注册表中所有特洛伊木马文件的键值。至此,我们结束了。