很多对安全知识了解不多的菜鸟们在计算机中了木马之后就束手无策了虽然现在市面上有很多新版杀毒软件都可以自动清除大部分木马但它们并不能防范新出现的木马程序因此查杀木马最关键的还是要知道木马的工作原理相信你看了这篇文章之后就会成为一名查杀木马的高手了
木马程序会想尽一切办法隐藏自己主要途径有:在任务栏中隐藏自己这是最基本的办法只要把Form的Visible属性设为FalseShowInTaskBar设为False程序运行时就不会出现在任务栏中了在任务管理器中隐形:将程序设为系统服务可以很轻松地伪装自己当然它也会悄无声息地启动黑客当然不会指望用户每次启动后点击木马图标来运行服务端木马会在
每次用户启动时自动装载Windows系统启动时自动加载应用程序的方法木马都会用上如:启动组WininiSystemini注册表等都是木马藏身的好地方
下面具体谈谈木马是怎样自动加载的在Winini文件中在[WINDOWS]下面run=和load=是可能加载木马程序的途径必须仔细留心它们一般情况下它们的等号后面应该什么都没有如果发现后面跟有路径与文件名不是你熟悉的启动文件你的计算机就可能中木马了当然你也得看清楚因为好多木马如AOLTrojan木马它把自身伪装成commandexe(真正的系统文件为)文件如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)
在Systemini文件中在[BOOT]下面有个shell=文件名正确的文件名应该是explorerexe如果不是explorerexe而是shell=explorerexe程序名那么后面跟着的那个程序就是木马程序就是说你已经中木马了注册表中的情况最复杂通过regedit命令打开注册表编辑器在点击至:HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun目录下查看键值中有没有自己不熟悉的自动启动文件扩展名为EXE这里切记:有的木马程序生成的文件很像系统自身文件想通过伪装蒙混过关如AcidBatteryv木马它将注册表HKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的Explorer键值改为Explorer=C:WINDOWSexpiorerexe木马程序与真正的Explorer之间只有i与l的差别当然在注册表中还有很多地方都可以隐藏木马程序如:HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunHKEYUSERS****SoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能最好的办法就是在HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木马程序的文件名再在整个注册表中搜索即可
知道了木马的工作原理查杀木马就变得很容易如果发现有木马存在最有效的方法就是马上将计算机与网络断开防止黑客通过网络对你进行攻击然后编辑winini文件将[WINDOWS]下面run=木马程序或load=木马程序更改为run=和load=;编辑systemini文件将[BOOT]下面的shell=木马文件更改为:shell=explorerexe;在注册表中用regedit对注册表进行编辑先在HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木马程序的文件名再在整个注册表中搜索并替换掉木马程序有时候还需注意的是:有的木马程序并不是直接将HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun下的木马键值删除就行了因为有的木马如:BladeRuer木马如果你删除它木马会立即自动加上你需要的是记下木马的名字与目录然后退回到MSDOS下找到此木马文件并删除掉
