设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
Win32:Rootkit-CO [Trj]是什么木马啊?
返回列表
发新帖
Win32:Rootkit-CO [Trj]是什么木马啊?
[复制链接]
11
|
1
|
2009-11-6 20:31:11
|
显示全部楼层
|
阅读模式
要用最新360顽固木马专杀。查杀!!!给你个我的空间地址里面有我的相关文章:http://hi.baidu.com/w%5Fs%5Fg/blog/item/2465a1aff01cfc034a36d6f5.html
回复
使用道具
举报
千问
|
2009-11-6 20:31:11
|
显示全部楼层
是一种木马,不算病毒,瑞星18.34.31版病毒库就有这个木马了,完全删除(隔离区里也要删除)后不会有什么后遗症的附:黑客基地原创--如何一次性删掉木马问:现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?答:什么是木马你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。阻止木马运行——查杀更彻底任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:项目 键名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLsHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。根除木马——文件并联型木马的查杀某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
MAC被封怎么解
2
澳大利亚读室内设计本科有没有机会移民?雇主担保难不难呢?谢谢
3
自然欲求是什么
4
上海CP7这2个COS的,。。?
5
2008年9月16日出生的王姓男孩取名
6
我自己玩到黑名单第三名了 第二名一直跑不过 就找别人要了个存档玩 有什么警车的,而且生涯模式完成百分之
7
怎么改变自己性格?脸皮薄、不喜欢多说话、交往中总有些被动
8
一个石一个示是什么字
9
听了 如何做好备课组工作 讲座后的感受
10
个体执照加盟而不设分公司,有授权书,门头招牌可否出现所加盟的内容
11
这日语什麽意思
12
1987属兔的巨蟹男和1989属蛇的双鱼女什么时候结婚好
13
cabre是什么意思
14
脸上的水痘结痂无意蹭掉有坑 周围粉红色 用新鲜的芦荟擦可以祛疤么
15
蓬五笔怎么打
16
蟋蟀和青蛙 在巴黎,爱总有通途怎么理解
17
您好 请问QQ西游的大背包在哪有买的?
18
犬神传续TXT全集 邮箱
[email protected]
谢谢,
19
现在的女人是什么
20
有没有法律方面的援助呢?我怕我朋友做出不可挽救的事情,我已经没法控制她了!
21
。。。他怎么了啊
22
盲童如何食疗
23
请告诉我如何办???谢!!!
24
针对赵老师遇到的问题,请你帮她出谋划策,你会从哪些方面给她建议呢?
25
手机无法在百度知道上提问?
26
大话里面的字体变粗是怎么了谁能告诉我
27
为什么用锐捷登学校的网,它总是显示重启才能使用,重启过之后还是同样的显示
28
燕垒生的《贞观幽明录》是否已完结?
29
她宾格怎么拼
30
塑料的标号几种?用途?
31
刚分手的女朋友叫我送她礼物,不知道送什么希望大家帮忙下谢谢最好能让她稍微感动下
32
我想问一下,翻案的可能性有多大?我的胜算有多大?
33
电感IDC什么意思
34
“猫爱言情”这个团 没见贴吧的么...?
35
有没有人知道啊
36
一条金棒,分给一人的工资,要求只把金棒切两刀且每天都要负工资,你说如何分?
37
我想配一台主机拿来耍游戏的
38
帮我订一个详细的减肥计划
39
关于申请a-level入学测试的问题
40
郭敬明那些著作好看?
41
CF超高箱怎么跳?
42
你好。麻烦你发个《夫君太多谁的错》完整版的给我。谢谢!
[email protected]
43
童车属于哪个行业
44
谁可以发个古剑奇谭激活码我T.T
45
怎么绅请QQ号
46
25. 已知:抛物线 与x轴交于点A( 2,0),B(8,0),与y轴交于点C(0, 4),直线 与抛物线交于点D、E(
47
用爱酷下载完成的电影到哪里找啊
48
魔兽世界2区21组都有哪些服务器
49
QQ更新心情怎么让好友看不到更新
50
NVIDIA GeForce 9400 GT的显卡玩3D游戏会卡吗? 例如龙之谷!
51
我姓陈,我老婆姓欧,我的孩子辈分是孟字辈,按辈分取的话 取什么名字好呢?请大家帮忙选选
52
conmet什么意思?
53
郑州租房 是在刘庄好 还是在陈砦好?各有什么好处,以及标间的价格等等,回答的好,给高分!!!!!!!
54
为什么宠爱天使提示正在加载必要信息,请稍候再重试,之后就一直进不去了,哪位高手指点下啊
55
寻求一款给父亲用的手机。不要垃圾牌子的。父亲远视。
56
cs4怎么移动logo
57
AG处理是什么
58
C#中如何从数据库中把<br />和 读取到页面
59
2010年12月深圳富士康还招普工吗?有老乡推介能进么?还有本人才一米六左右
60
朋友,你好~~我做的课设题目和你提问过的相似,可以把你的电路图或者课设报告发给我么?谢谢了~~
61
请教下高手 天龙八部2 在PK过程中 如果使用高级肉墙了 敌方的定身技能对我还起作用吗
62
汽车如何除冰
63
怎么梳假短发
64
为什么我玩魔兽时按q显示是7啊
65
我是否在这次事件对ID的被偷承担责任。
66
再次麻烦您,希望您见谅,并尽快给我答复,谢谢
67
汽车蜡怎么用
68
非常感谢姚律师!
69
看后视镜倒库的方法
70
那麽是按新标准还是旧标准进行赔偿,如何赔?将如何处理这件事?
71
求一首歌,男声,开头歌词好像是“火车要开了,我要走了”
72
新魔界怎么刷VIP
73
德国的股票
74
我亲我女朋友乳房时她感觉到疼怎么办
75
谁推荐几首好听的歌
76
关于未婚生子
77
CTM菲拉斯怎么去
78
谁有<秘密花园>中男主角说的那个绕口令的铃声?可以的话发到我的邮箱里,谢谢
[email protected]
79
请问你找到那首歌吗?谢谢你告诉一下是什么吧.
80
跪求神州优雅Q130W笔记本电脑无线网卡驱动
81
帮帮看看狗狗纯么
82
启瑞什么意思
83
孳息什么意思
84
解压错误
85
KRP 是什么意思
86
那麽是按新标准还是旧标准进行赔偿,如何赔?
87
怎么改掉上网主页about:blank
88
如何打开wifi指示灯
89
1+1=?ss
90
话说 7黑光和 12 55紫光哪个给力
91
我的机是Intel (R) celeron (R) cpu 2.0GHz 512MB内存,可否升级,QQ512449284,谢谢高手指点.
92
QQQ农场作物什么时候可以放害虫
93
急需2011年日历是excel或者word版本……
94
暗黑第3幕第2个任务是什么
95
我买的ipnone4我除了打接电话外,其它功能我都不知道怎么用,有谁可以教教我呀,比如怎么下歌和用蓝牙。
96
为什么我的乳晕颜色会越来越深呢?
97
分岛花音的大提琴哪有卖的
98
历代怪物中猎人最让人抓狂的怪物是什么?
99
连云港赣榆婚庆公司
100
阳新县三溪镇有什么军村