2008年5月6日 星期二

電腦木馬小常識

木馬小常識

特洛伊木馬(以下簡稱木馬),英文叫做「Trojan house」,其名稱取自希臘神話的特洛伊木馬記,它是一種基於遠端控制的黑客工具。在黑客進行的各種攻擊行為中,木馬都起到了開路先鋒的作用。

  一、木馬的危害

  相信木馬對於眾多網民來說不算陌生。它是一種遠端控制工具,以簡便、易行、有效而深受廣大黑客青睞。一台電腦一旦中上木馬,它就變成了一台傀儡機,對方可以在你的電腦上上傳下載檔案,偷窺你的私人檔案,偷取你的各種密碼及密碼訊息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復存在!

  木馬在黑客入侵中也是一種不可缺少的工具。就在去年的10月28日,一個黑客入侵了美國微軟的門戶網站,而網站的一些內定訊息則是被一種叫做QAZ的木馬傳出去的。就是這小小的QAZ讓龐大的微軟丟盡了顏面!

  廣大網民比較熟悉的木馬當數國產軟體冰河了。冰河是由黃鑫開發的免費軟體,冰河面世後,以它簡單的動作方法和強大的控制能力令人膽寒,可以說是達到了談「冰」色變的地步。

  二、木馬原理

  特洛伊木馬屬於客戶/服務模式。它分為兩大部分,即用戶端和服務端。其原理是一台主電腦提供服務(伺服器),另一台主電腦接受服務(客戶機),作為伺服器的主電腦一般會開啟一個預設的連接埠進行監聽。若果有客戶機向伺服器的這一連接埠提出連線請求,伺服器上的相應程式就會自動執行,來應答客戶機的請求。這個程式被稱為守護進度。以大名鼎鼎的木馬冰河為例,被控制端可視為一台伺服器,控制端則是一台客戶機,服務端程式G_Server.exe是守護進度,G_Client.exe是用戶端套用程式。

  為進一步瞭解木馬,我們來看看它們的隱藏模式,木馬隱藏方法主要有以下幾種:

  1.)在任務欄裡隱藏

  這是最基本的。若果在windows的任務來歷出現一個莫名其妙的圖示,傻子都會明白怎麼回事。在VB中,只要把form的Viseble屬性設定為False,ShowInTaskBar設為False程式就不會出現在任務欄裡了。

  2.)在任務管理器裡隱藏

  檢視正在執行的進度最簡單的方法就是按下ctrl+alt+del時出現的任務管理器。若果你按下ctrl+alt+del後可以看見一個木馬程式在執行,那麼這肯定不是什麼好的木馬。所以,木馬千方百計的偽裝自己,使自己不出現在任務管理器裡。木馬發現把自己設為「系統服務」就可以輕鬆的騙過去。因此希望通過按ctrl+alt+del發現木馬是不大現實的。

  3.)連接埠

  一台機器由65536個連接埠,你會注意這麼多連接埠麼?而木馬就很注意你的連接埠。若果你稍微留意一下,不難發現,大多數木馬使用的連接埠在1024以上,而且呈越來越大的趨勢。當然也有佔用1024以下連接埠的木馬。但這些連接埠是常用連接埠,佔用這些連接埠可能會造成系統不標準。這樣的話,木馬就會很容易暴露。也許你知道一些木馬佔用的連接埠,你或許會經常掃瞄這些連接埠,但現在的木馬都提供連接埠修改功能,你有時間掃瞄65536個連接埠麼?

  4.)木馬的加載模式隱蔽

  木馬加載的模式可以說千奇百怪,無奇不有。但殊途同歸,都為了達到一個共同的目的,那就是使你執行木馬的服務端程式。若果木馬不加任何偽裝。就告訴你這是木馬,你會執行它才怪呢。而隨著網站互動化進度的不斷進步,越來越多的東西可以成為木馬的傳播介質,JavaScript、VBScript、ActiveX、XLM……..幾乎www每一個新功能都會導致木馬的快速進化。

  5.)木馬的命名

  木馬服務端程式的命名也有很大的學問。若果你不做任何修改的話,就使用原來的名字。誰不知道這是個木馬程式呢?所以木馬的命名也是千奇百怪。不過大多是改為和系統檔案名差不多的名字,若果你對系統檔案不夠瞭解,那可就危險了。例如有的木馬把名字改為window.exe,若果不告訴你這是木馬的話,你敢移除麼?還有的就是變更一些後綴名,比如把dll改為dl等,你不仔細看的話,你會發現麼?

  6.)最新隱身技術

  目前,除了以上所常用的隱身技術,又出現了一種更新、更隱蔽的方法。那就是修改虛擬裝置驅動程式(vxd)或修改動態連線庫(DLL)。這種方法與一般方法不同,它基本上擺脫了原有的木馬模式—監聽連接埠,而採用替代系統功能的方法(改寫vxd或DLL檔案),木馬會將修改後的DLL置換系統已知的DLL,並對所有的函數呼叫進行過濾。對於常用的呼叫,使用函數轉信器直接轉信給被置換的系統DLL,對於一些事先約定好的特種情況,DLL會執行一些相應的動作。實際上這樣的木馬多只是使用DLL進行監聽,一旦發現控制端的連線請求就啟用自身,綁在一個進度上進行標準的木馬動作。這樣做的好處是沒有增加新的檔案,不需要開啟新的連接埠,沒有新的進度,使用一般的方法監測不到它,在標準執行時木馬幾乎沒有任何症狀,而一旦木馬的控制端向被控制端發出特定的訊息後,隱藏的程式就立即開始運作。
三、木馬防範工具

  防範木馬可以使用防火牆軟體和各種反黑軟體,用它們築起網上的馬其諾防線,上網會安全許多。

  網上防火牆軟體很多,推薦使用「天網防火牆個人版」。它是一款完全的免費的軟體,安裝成功後,它就變成一面盾牌圖表縮小到任務來的系統工作列裡,並時刻監視黑客的一舉一動,當有黑客入侵時,它就會自動報警,並顯示入侵者的IP位址。

  用滑鼠按兩下盾牌圖示,就會跳出天網的控制台,控制台上有「普通設定」、「進階設定」、「安全設定」、「檢驗」和「關於」五個標籤。點選「普通設定」標籤,會看到有局域網安全設定和互聯網安全設定兩個視窗。我們可以通過拖曳滑塊來分別設定他們的安全層級等級。在此建議普通使用者選取「中」(關閉了所有的TCP連接埠服務,但UDP連接埠服務還開放著,別人無法通過連接埠的漏洞來入侵,它阻擋了幾乎所有的藍屏攻擊和訊息洩漏問題,並且不會影響普通網路軟體的使用)

  在控制台上點「進階設定」就可以手動選取是否取消「與網路連線」「ICMP」、「IGMP」、「TCP監聽」、「UDP監聽」和「NETBIOS」這幾個選項。若果上網後有人想連線你的電腦,天網防火牆會將其自動攔截,並告警提示,同時在控制台的「安全紀錄」裡會將連線者的IP,協定,來源連接埠,防火牆採取的動作,時間記錄等攻擊訊息顯示出來。

  在控制台的「檢驗」、「關於」標籤裡主要有安全漏洞的說明,防火牆軟體的版本號、註冊人的號碼等訊息。若果你受到攻擊想立刻中斷網路,點一下控制台上的「停」就可以了。

  四、木馬的查殺

  木馬的查殺,可以採用自動和手動兩種模式。最簡單的移除木馬的方法是安裝掃毒軟體(自動),現在很多掃毒軟體能移除網路最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們在查殺木馬方面很有一套!

  由於掃毒軟體的升級多數情況下慢於木馬的出現,因此學會手動查殺非常必要。方法是:

  1.)檢查註冊表

  看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以「Run」開頭的鍵值名,其下有沒有可疑的檔案名。若果有,就需要移除相應的鍵值,再移除相應的套用程式。

  2.)檢查啟動群組

  木馬們若果隱藏在啟動群組雖然不是十分隱蔽,但這裡的確是自動加載執行的好場所,因此還是有木馬喜歡在這裡駐留的。啟動群組對應的資料夾為:C:\windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

  Folders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查這兩個地方哦!

  3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方

  比方說,Win.ini的[Windows]小節下的load和run後面在標準情況下是沒有跟什麼程式的,若果有了那就要小心了,看看是什麼;在System.ini的[boot]小節的Shell=Explorer.exe後面也是加載木馬的好場所,因此也要注意這裡了。當你看到變成這樣:Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程式!趕快檢查吧。

  4.)對於下面所列檔案也要勤加檢查,木馬們也很可能隱藏在那裡

  C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。

  5.)若果是EXE檔案啟動,那麼執行這個程式,看木馬是否被裝入記憶體,連接埠是否開啟。若果是的話,則說明要麼是該檔案啟動木馬程式,要麼是該檔案捆綁了木馬程式,只好再找一個這樣的程式,重新安裝一下了。

  6.)萬變不離其宗,木馬啟動都有一個模式,它只是在一個特定的情況下啟動

  所以,平時多注意一下你的連接埠,檢視一下正在執行的程式,用此來監測大部分木馬應該沒問題的。

  只要我們能夠提高自身的素質,加強網路安全意識,遠離木馬是完全可能的,沒准你也能成為木馬查殺高手呢!

2004-6-12 04:33 PM

Q版蹦牙囝
初級會員





積分 86
發貼 58
註冊 2004-6-9
狀態 線上 剖析惡意網頁修改註冊表的十二種現象

剖析惡意網頁修改註冊表的十二種現象

近來,屢屢發生網友在瀏覽網頁時,造成註冊表被修改,使得IE預設連線首頁、標題欄及IE右鍵選單被改為瀏覽網頁時的位址(多為廣告訊息),更有甚者使瀏覽者的電腦在啟動時出現一個提示視窗顯示自己的廣告,而且有愈演愈烈之勢,遇到這種情況我們該怎樣辦呢?


一、註冊表被修改的原因及解決辦法

  其實,該惡意網頁是含有有害代碼的ActiveX網頁檔案,這些廣告訊息的出現是因為瀏覽者的註冊表被惡意變更的結果。

  1、IE預設連線首頁被修改

  IE瀏覽器上方的標題欄被改成「歡迎訪問……網站」的型態,這是最常見的篡改手段,受害者眾多。

  受到變更的註冊表項目為:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

  通過修改「Start Page」的鍵值,來達到修改瀏覽者IE預設連線首頁的目的,如瀏覽「萬花谷」就會將你的IE預設連線首頁修改為「http://on888.home.chinaren.com 」,即便是出於給自己的主頁做廣告的目的,也顯得太霸道了一些,這也是這類網頁惹人厭惡的原因。

  解決辦法:

  1在Windows啟動後,點擊「開始」→「執行」選單項,在「開啟」欄中鍵入regedit,然後按「確定」鍵;

  2展開註冊表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

  下,在右半部分視窗中找到串值「Start Page」按兩下 ,將Start Page的鍵值改為「about:blank」即可;

  3同理,展開註冊表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  在右半部分視窗中找到串值「Start Page」,然後按2中所述方法處理。

  4離開註冊表編輯器,重新啟動電腦,一切OK了!

  特殊例子:當IE的起始頁變成了某些網址後,就算你通過選項設定修改好了,重啟以後又會變成他們的網址啦,十分的難纏。其實他們是在你機器裡加了一個自執行程式,它會在系統啟動時將你的IE起始頁設成他們的網站。

  解決辦法:執行註冊表編輯器regedit.exe,然後依次展開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

  主鍵,然後將其下的registry.exe子鍵移除,然後移除自執行程式c:\Program Files\registry.exe,最後從IE選項中重新設定起始頁就好了。


2、篡改IE的預設頁

  有些IE被改了起始頁後,即使設定了「使用預設頁」仍然無效,這是因為IE起始頁的預設頁也被篡改啦。具體說來就是以下註冊表項被修改:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
Main\Default_Page_URL

  「Default_Page_URL」這個子鍵的鍵值即起始頁的預設頁。

  解決辦法:

  執行註冊表編輯器,然後展開上述子鍵,將「Default_Page_UR」子鍵的鍵值中的那些篡改網站的網址改掉就好了,或是設定為IE的預設值。

  3、修改IE瀏覽器預設主頁,並且鎖定設定項,禁止使用者變更回來。

  主要是修改了註冊表中IE設定的下面這些鍵值(DWORD值為1時為不可選):

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Settings"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Links"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecAddSites"=dword:1

  解決辦法:

  將上面這些DWORD值改為「0」即可恢復功能。

  4、IE的預設首頁灰色按扭不可選

  這是由於註冊表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel

  下的DWORD值「homepage」的鍵值被修改的緣故。原來的鍵值為「0」,被修改為「1」(即為灰色不可選狀態)。

  解決辦法:

  將「homepage」的鍵值改為「0」即可。

5、IE標題欄被修改

  在系統預設狀態下,是由套用程式本身來提供標題欄的訊息,但也容許使用者自行在上述註冊表項目中填加訊息,而一些惡意的網站正是利用了這一點來得逞的:它們將串值Window Title下的鍵值改為其網站名或更多的廣告訊息,從而達到改變瀏覽者IE標題欄的目的。

  具體說來受到變更的註冊表項目為:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

  解決辦法:

  1在Windows啟動後,點擊「開始」→「執行」選單項,在「開啟」欄中鍵入regedit,然後按「確定」鍵;

  2展開註冊表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

  下,在右半部分視窗中找到串值「Window Title」 ,將該串值移除即可,或將Window Title的鍵值改為「IE瀏覽器」等你喜歡的名字;

  3同理,展開註冊表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

  然後按2中所述方法處理。

  4離開註冊表編輯器,重新啟動電腦,執行IE,你會發現困擾你的問題解決了!

  6、IE右鍵選單被修改

  受到修改的註冊表項目為:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

  下被新增了網頁的廣告訊息,並由此在IE右鍵選單中出現!

  解決辦法:

  開啟註冊標編輯器,找到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

  移除關聯的廣告條文即可,注意不要把下載軟體FlashGet和Netants也移除掉啊,這兩個可是「標準」的呀,除非你不想在IE的右鍵選單中見到它們。

7、IE預設搜尋引擎被修改

  在IE瀏覽器的工具列中有一個搜尋引擎的工具按鈕,可以實現網路搜尋,被篡改後只要點擊那個搜尋工具按鈕就會連結到那個篡改網站。出現這種現象的原因是以下註冊表被修改:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

  解決辦法:

  執行註冊表編輯器,依次展開上述子鍵,將「CustomizeSearch」和「SearchAssistant」的鍵值改為某個搜尋引擎的網址即可。

  8、系統啟動時跳出對話框

  受到變更的註冊表項目為:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

  在其下被建立了字串「LegalNoticeCaption」和「LegalNoticeText」,其中「LegalNoticeCaption」是提示框的標題,「LegalNoticeText」是提示框的文字內容。由於它們的存在,就使得我們每次登陸到Windwos桌面前都出現一個提示視窗,顯示那些網頁的廣告訊息!你瞧,多討厭啊!

  解決辦法:

  開啟註冊表編輯器,找到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

  這一個主鍵,然後在右邊視窗中找到「LegalNoticeCaption」和「LegalNoticeText」這兩個字串,移除這兩個字串就可以解決在登陸時出現提示框的現象了。

  9、瀏覽網頁註冊表被禁用

  這是由於註冊表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  下的DWORD值「DisableRegistryTools」被修改為「1」的緣故,將其鍵值恢復為「0」即可恢復註冊表的使用。

  解決辦法

  用記事本程式建立以REG為後綴名的檔案,將下面這些內容複製在其中就可以了:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
「DisableRegistryTools」=dword:00000000

 10、瀏覽網頁開始選單被修改

  這是最「狠」的一種,讓瀏覽者有生不如死的感覺。瀏覽後不僅有類似上面所說的那些症狀,還會有以下更悲慘的遭遇:

  1)禁止「關機」
  2)禁止「執行」
  3)禁止「註銷」
  4)隱藏C盤——你的C盤找不到了!
  5)禁止使用註冊表編輯器regedit
  6)禁止使用DOS程式
  7)使系統無法進入「實模式」
  8)禁止執行任何程式

  具體的原因和解決辦法請看天極網e企業之安全之路欄位的這篇文章:《瀏覽網頁註冊表被修改之迷及解決辦法》。

  以上是比較常見的修改瀏覽者註冊表的現象,今天在瀏覽網頁時,無意中來到某個個人網站,又遇到了以前沒有碰到過的問題:

  11、IE中滑鼠右鍵失效

  瀏覽網頁後在IE中滑鼠右鍵失效,點擊右鍵沒有任何反應!

  12、檢視「「源檔案」選單被禁用

  在IE視窗中點擊「檢視」→「源檔案」,發現「源檔案」選單已經被禁用。



  我在瀏覽網頁時並沒有注意到上面這兩個問題,因為當時正好朋友叫我有事,於是我就離開電腦了,晚上吃完飯開啟電腦連線上網,就發現IE中滑鼠右鍵失效,「檢視」選單中的「源檔案」被禁用。不能檢視源檔案也就罷了,但是無法使用滑鼠右鍵真是太不方便了。得想個辦法!

  找出最新版的超級兔子魔法設定試試吧,呀!不能解決!看來是個新問題,不過自己好歹也是「老革命」了,這點問題應該難不住我。於是到註冊表中一番搜尋,經由一番尋找終於弄明白了問題的所在。

原來,惡意網頁修改了我的註冊表,具體的位置為:

  在註冊表

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer

  下建立子鍵「Restrictions」,然後在「Restrictions」下面建立兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」,並為這兩個DWORD值賦值為「1」。

  在註冊表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

  下,將兩個DWORD值:「NoViewSource」和「NoBrowserContextMenu」的鍵值都改為了「1」。

  通過上面這些鍵值的修改就達到了在IE中使滑鼠右鍵失效,使「檢視」選單中的「源檔案」被禁用的目的。要向你說明的是第2點中提到的註冊表其實相當於第1點中提到的註冊表的分支,修改第1點中所說的註冊表鍵值,第2點中註冊表鍵值隨之改變。

  解決辦法:

  明白了道理,問題解決起來就容易多了,具體解決辦法為:將以下內容另存為後綴名為reg的註冊表檔案,比方說unlock.reg,按兩下unlock.reg匯入註冊表,不用重啟電腦,重新執行IE就會發現IE的功能恢復標準了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
「NoViewSource」=dword:00000000
"NoBrowserContextMenu"=dword:00000000

[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions]
「NoViewSource」=dword:00000000
「NoBrowserContextMenu」=dword:00000000

  要特別注意的是,在你編製的註冊表檔案unlock.reg中,「REGEDIT4」一定要大寫,並且它的後面一定要空一行,還有,「REGEDIT4」中的「4」和「T」之間一定不能有空格,否則將前功盡棄!許多朋友寫註冊表檔案之所以不成功,就是因為沒有注意到上面所說的內容,這回該注意點嘍。請注意若果你是Win2000或WinXP使用者,請將「REGEDIT4」改為Windows Registry Editor Version 5.00。

2004-6-12 04:34 PM

Q版蹦牙囝
初級會員





積分 86
發貼 58
註冊 2004-6-9
狀態 線上 二、預防辦法

  1、要避免中招,關鍵是不要輕易去一些自己並不瞭解的站台,特別是那些看上去美麗誘人的網址更不要貿然前往,否則吃虧的往往是你。

  2、由於該類網頁是含有有害代碼的ActiveX網頁檔案,因此在IE設定中將ActiveX外掛和控件、Java腳本等全部禁止就可以避免中招。

  具體方法是:在IE視窗中點擊「工具→Internet選項,在跳出的對話框中選取「安全」標籤,再點擊「自訂層級」按鈕,就會跳出「安全設定」對話框,把其中所有ActiveX外掛和控件以及Java關聯全部選取「禁用」即可。不過,這樣做在以後的網頁瀏覽過程中可能會造成一些標準使用ActiveX的網站無法瀏覽。唉,有利就有弊,你還是自己看著辦吧。

  3、對於Windows98使用者,請開啟C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的「ActiveXComponent.class」刪掉;對於WindowsMe使用者,請開啟
C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的「ActiveXComponent.class」刪掉。請放心,移除這個元件不會影響到你標準瀏覽網頁的。

  4、對於所有使用者,都建議安裝Norton AntiVirus 2002 v8.0掃毒軟體,此軟體已經把通過IE修改註冊表的代碼定義為Trojan.Offensive ,增加了Script Blocking功能,它將對此類惡作劇進行監控,並予以攔截。

  另外,下載超級兔子魔法設定軟體後安裝,若果出現問題,可以用它來恢復。不過,「兔子」對於我們在上面所說的惡意網頁使得IE中滑鼠右鍵失效,「檢視」選單中的「源檔案」被禁用這兩種現象無法恢復。

  5、既然這類網頁是通過修改註冊表來破壞我們的系統,那麼我們可以事先把註冊表加鎖:禁止修改註冊表,這樣就可以達到預防的目的。不過,自己要使用註冊表編輯器regedit.exe該怎麼辦呢?因此我們還要在此前事先準備一把「鑰匙」,以便開啟這把「鎖」!

  加鎖方法如下:

  (1)執行註冊表編輯器regedit.exe;

  (2)展開註冊表到

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  下,新增一個名為DisableRegistryTools的DWORD值,並將其值改為「1」,即可禁止使用註冊表編輯器regedit.exe。

  解鎖方法如下:

  用記事本編輯一個任意名字的.reg檔案,比如unlock.reg,內容如下:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
「DisableRegistryTools」=dword:00000000

  存盤,你就有了一把解鎖的鑰匙了!若果要使用註冊表編輯器,則按兩下unlock.reg即可。請注意若果你是Win2000或WinXP使用者,請將「REGEDIT4」寫為Windows Registry Editor Version 5.00。



  6、對Win2000使用者,還可以通過在Win2000下把服務裡面的遠端註冊表動作服務「Remote Registry Service」禁用,來對付該類網頁。具體方法是:點擊「管理工具→服務→Remote Registry Service(容許遠端註冊表動作)」,將這一項禁用即可。

  7、若果覺得手動修改註冊表太危險,可以下載如下reg檔案,按兩下之可恢復被修改的註冊表。

  8、雖然經由一番辛苦的勞動修改回了標題和預設連線首頁,但若果以後又不小心進入該站就又得麻煩一次。其實,你可以在IE中做一些設定以便永遠不進該站台:

  開啟IE,點擊「工具」→「Internet選項」→「內容」→「分級審查」,點「啟用」按鈕,會調出「分級審查」對話框,然後點擊「許可站台」標籤,輸入不想去的網站網址,如輸入:
http://on888.home.chinaren.com,按「永不」按鈕,再點擊「確定」即大功告成!

  9、升級你的IE為6.0版本,可以有效防範上面這些症狀。

  10、下載微軟最新的Microsoft Windows Script 5.6,可以預防上面所說的現象,更可預防目前流行的、可惡的混客絕情炸彈。 (選自yesky

2004-6-12 04:35 PM

Q版蹦牙囝
初級會員





積分 86
發貼 58
註冊 2004-6-9
狀態 線上 如何判斷是否中毒

如何判斷是否中毒


各種病毒時至今日也可算是百花齊放了,搞得人心惶惶,一旦發現自己的電腦有點異常就認定是病毒在作怪,到處找掃毒軟體,一個不行,再來一個,總之似乎不找到「元兇」誓不罷休一樣,結果病毒軟體是用了一個又一個,或許為此人民幣是用了一張又一張,還是未見「元兇」的蹤影,其實這未必就是病毒在作怪。
  這樣的例子並不少見,特別是對於一些初級電腦使用者。下面我就結合個人電腦使用及企業網路維護方面的防毒經驗從以下幾個方面給大家介紹介紹如何判斷是否中了病毒,希望對幫助識別「真毒」有一定幫助!
  病毒與軟、硬體故障的區別和聯繫
  電腦出故障不只是因為感染病毒才會有的,個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的,網路上的多是由於權限設定所致。我們只有充分地瞭解兩者的區別與聯繫,才能作出正確的判斷,在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。
  症狀 病毒的入侵的可能性 軟、硬體故障的可能性
  經常死機:病毒開啟了許多檔案或佔用了大量記憶體;不穩定(如記憶體質量差,硬體超頻效能差等);執行了大容量的軟體佔用了大量的記憶體和磁碟空間;使用了一些測試軟體(有許多BUG);硬碟空間不夠等等;執行網路上的軟體時經常死機也許是由於網路速度太慢,所執行的程式太大,或是自己的工作站硬體組態太低。
  系統無法啟動:病毒修改了硬碟的引導訊息,或移除了某些啟動檔案。如引導型病毒引導檔案損壞;硬碟損壞或參數設定不正確;系統檔案人為地誤移除等。
  檔案打不開:病毒修改了檔案格式;病毒修改了檔案連結位置。檔案損壞;硬碟損壞;檔案捷徑對應的連結位置發生了變化;原來編輯檔案的軟體移除了;若果是在局域網中多表現為伺服器中檔案存放位置發生了變化,而工作站沒有及時涮新服器的內容(長時間開啟了資源管理器)。
  經常報告記憶體不夠:病毒非法佔用了大量記憶體;開啟了大量的軟體;執行了需記憶體資源的軟體;系統組態不正確;記憶體本就不夠(目前基本記憶體要求為128M)等。
  提示硬碟空間不夠:病毒複製了大量的病毒檔案(這個遇到過好幾例,有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了,一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小;安裝了大量的大容量軟體;所有軟體都集中安裝在一個分區之中;硬碟本身就小;若果是在局域網中系統管理員為每個使用者設定了工作站使用者的「私人盤」使用空間限制,因檢視的是整個網路盤的大小,其實「私人盤」上容量已用完了。
  軟碟等裝置未訪問時出讀寫信號:病毒感染;軟碟取走了還在開啟曾經在軟碟中開啟過的檔案。
  出現大量來歷不明的檔案:病毒複製檔案;可能是一些軟體安裝中產生的暫存檔;也或許是一些軟體的組態訊息及執行記錄。
  啟動黑屏:病毒感染(記得最深的是98年的4.26,我為CIH付出了好幾千元的代價,那天我第一次開機到了Windows畫面就死機了,第二次再開機就什麼也沒有了);顯示器故障;顯示卡故障;主板故障;超頻過度;CPU損壞等等
  資料丟失:病毒移除了檔案;硬碟扇區損壞;因恢復檔案而覆蓋原檔案;若果是在網路上的檔案,也可能是由於其它使用者誤移除了。
  鍵盤或滑鼠無端地鎖死:病毒作怪,特別要留意「木馬」;鍵盤或滑鼠損壞;主板上鍵盤或滑鼠接口損壞;執行了某個鍵盤或滑鼠鎖定程式,所執行的程式太大,長時間系統很忙,表現出按鍵盤或滑鼠不起作用。
  系統執行速度慢:病毒佔用了記憶體和CPU資源,在後台執行了大量非法動作;硬體組態低;開啟的程式太多或太大;系統組態不正確;若果是執行網路上的程式時多數是由於你的機器組態太低造成,也有可能是此時網路上忙線中,有許多使用者同時開啟一個程式;還有一種可能就是你的硬碟空間不夠用來執行程式時作臨時交換資料用。
  系統自動執行動作:病毒在後台執行非法動作;使用者在註冊表或啟動群組中設定了有關程式的自動執行;某些軟體安裝或升級後需自動重啟系統。
  通過以上的分析對比,我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的,當我們發現異常後不要急於下斷言,在掃毒還不能解決的情況下,應仔細分析故障的特徵,排除軟、硬體及人為的可能性。
  病毒的分類及各自的特徵
  要真正地識別病毒,及時的查殺病毒,我們還有必要對病毒有一番較詳細的瞭解,而且越詳細越好!
  病毒因為由眾多分散的個人或群組織單獨編寫,也沒有一個標準去衡量、去劃分,所以病毒的分類可按多個角度大體去分。
  如按傳染對像來分,病毒可以劃分為以下幾類:
  a、引導型病毒
  這類病毒攻擊的對象就是磁碟的引導扇區,這樣就能使系統在啟動時獲得優先的執行權,從而達到控制整個系統的目的,這類病毒因為感染的是引導扇區,所以造成的損失也就比較大,一般來說會造成系統無法標準啟動,但查殺這類病毒也較容易,多數掃毒軟體都能查殺這類病毒,如KV300、KILL系列等。
  b、檔案型病毒
  早期的這類病毒一般是感染以exe、com等為副檔名的可執行檔案,這樣的話當你執行某個可執行檔案時病毒程式就跟著啟用。近期也有一些病毒感染以dll、ovl、sys等為副檔名的檔案,因為這些檔案通常是某程式的組態、連結檔案,所以執行某程式時病毒也就自動被子加載了。它們加載的方法是通過插入病毒代碼整段落或分散插入到這些檔案的空白位元組中,如CIH病毒就是把自己分割成9段內嵌到PE結構的可執行檔案中,感染後通常檔案的位元組數並不見增加,這就是它的隱蔽性的一面。
  c、網路型病毒
  這種病毒是近幾來網路的高速發展的產物,感染的對象不再局限於單一的模式和單一的可執行檔案,而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE檔案進行感染,如WORD、EXCEL、電子信件等。其攻擊模式也有轉變,從原始的移除、修改檔案到現在進行檔案加密、竊取使用者有用訊息(如黑客程式)等,傳播的途經也發生了質的飛躍,不再局限磁碟,而是通過更加隱蔽的網路進行,如電子信件、電子廣告等。
  d、復合型病毒
  把它歸為「復合型病毒」,是因為它們同時具備了「引導型」和「檔案型」病毒的某些特點,它們即可以感染磁碟的引導扇區檔案,也可以感染某此可執行檔案,若果沒有對這類病毒進行全面的清除,則殘留病毒可自我恢復,還會造成引導扇區檔案和可執行檔案的感染,所以這類病毒查殺難度極大,所用的掃毒軟體要同時具備查殺兩類病毒的功能。
  以上是按照病毒感染的對象來分,若果按病毒的破壞程度來分,我們又可以將病毒劃分為以下幾種:
  a、良性病毒:
  這些病毒之所以把它們稱之為良性病毒,是因為它們入侵的目的不是破壞你的系統,只是想玩一玩而已,多數是一些初級病毒發燒友想測試一下自己的開發病毒程式的水平。它們並不想破壞你的系統,只是發出某種音效,或出現一些提示,除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程式也是這樣,只是想竊取你電腦中的一些通信訊息,如密碼、IP位址等,以備有需要時用。
  b、惡性病毒
  我們把只對軟體系統造成干擾、竊取訊息、修改系統訊息,不會造成硬體損壞、資料丟失等嚴重後果的病毒歸之為「惡性病毒」,這類病毒入侵後系統除了不能標準使用之外,別無其它損失,系統損壞後一般只需要重裝系統的某個部分檔案後即可恢復,當然還是要殺掉這些病毒之後重裝系統。
  c、極惡性病毒
  這類病毒比上述b類病毒損壞的程度又要大些,一般若果是感染上這類病毒你的系統就要徹底崩潰,根本無法標準啟動,你保分留在硬碟中的有用資料也可能隨之不能取得,輕一點的還只是移除系統檔案和套用程式等。
  d、災難性病毒
  這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度,這類病毒一般是破壞磁碟的引導扇區檔案、修改檔案分配表和硬碟分區表,造成系統根本無法啟動,有時甚至會格式化或鎖死你的硬碟,使你無法使用硬碟。若果一旦染上這類病毒,你的系統就很難恢復了,保留在硬碟中的資料也就很難取得了,所造成的損失是非常巨大的,所以我們進化論什麼時候應作好最壞的打算,特別是針對企業使用者,應充分作好災難性備份,還好現在大多數大型企業都已認識到備份的意義所在,花巨資在每天的系統和資料備份上,雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果,但是還是放鬆這「萬一」。我所在的雀巢就是這樣,而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類,因為它不僅對軟體造成破壞,更直接對硬碟、主板的BIOS等硬體造成破壞。
  如按其入侵的模式來分為以下幾種:
  a、源代碼內嵌攻擊型
  從它的名字我們就知道這類病毒入侵的主要是進階語系的源程式,病毒是在源程式編譯之前插入病毒代碼,最後隨源程式一起被編譯成可執行檔案,這樣剛生成的檔案就是帶毒檔案。當然這類檔案是極少數,因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程式,況且這種入侵的模式難度較大,需要非常專業的寫程式水平。
  b、代碼取代攻擊型
  這類病毒主要是用它自身的病毒代碼取代某個入侵程式的整個或部分模組,這類病毒也少見,它主要是攻擊特定的程式,針對性較強,但是不易被發現,清除起來也較困難。
  c、系統修改型
  這類病毒主要是用自身程式覆蓋或修改系統中的某些檔案來達到呼叫或替代動作系統中的部分功能,由於是直接感染系統,危害較大,也是最為多見的一種病毒類型,多為檔案型病毒。
  d、外殼附加型
  這類病毒通常是將其病毒附加在標準程式的頭部或尾部,相當於給程式加入了一個外殼,在被感染的程式執行時,病毒代碼先被執行,然後才將標準程式調入記憶體。目前大多數檔案型的病毒屬於這一類。
  有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒,要知道這些我們可以按以下幾個方法來判斷。
  1、反病毒軟體的掃瞄法
  這恐怕是我們絕大數朋友偏好,也恐怕是唯一的選取,現在病毒種類是越來越多,隱蔽的手段也越來越高明,所以給查殺病毒帶來了新的難度,也給反病毒軟體開發商帶來挑戰。但隨著電腦程式開發語系的技術性提高、電腦網路越來越普及,病毒的開發和傳播是越來越容易了,因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了,我相信大家都有這個水平!
  2、觀察法
  這一方法只有在瞭解了一些病毒發作的症狀及常棲身的地方才能準確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、執行速度很慢、不能訪問硬碟、出現特殊的音效或提示等上述在第一大點中出現的故障時,我們首先要考慮的是病毒在作怪,但也不能一條胡洞走到底,上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛!對於如屬病毒引起的我們可以從以下幾個方面來觀察:
  a、記憶體觀察
  這一方法一般用在DOS下發現的病毒,我們可用DOS下的「mem/c/p」指令來檢視各程式佔用記憶體的情況,從中發現病毒佔用記憶體的情況(一般不單獨佔用,而是依附在其它程式之中),有的病毒佔用記憶體也比較隱蔽,用「mem/c/p」發現不了它,但可以看到總的基本記憶體640K之中少了那麼區區1k或幾K。
  b、註冊表觀察法
  這類方法一般適用於近來出現的所謂黑客程式,如木馬程式,這些病毒一般是通過修改註冊表中的啟動、加載組態來達到自動啟動或加載的,一般是在如下幾個地方實現:

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

    c、系統組態檔觀察法
  這類方法一般也是適用於黑客類程式,這類病毒一般在隱藏在system.ini 、wini.ini(Win9x/WinME)和啟動群組中,在system.ini檔案中有一個"shell=」項,而在wini.ini檔案中有「load= 」、「run= 」項,這些病毒一般就是在這些項目中加載它們自身的程式的,注意有時是修改原有的某個程式。我們可以執行Win9x/WinME中的msconfig.exe程式來一項一項檢視

沒有留言:

張貼留言