欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

發(fā)現木馬

由于木馬是基于遠程控制的程序，因此中木馬的機器會(huì )開(kāi)有特定的端口。一般一臺個(gè)人用的系統在開(kāi)機后最多只有137、138、139三個(gè)端口。若上網(wǎng)沖浪會(huì )有其他端口，這是本機與網(wǎng)上主機通訊時(shí)打開(kāi)的，IE一般會(huì )打開(kāi)連續的端口:1025，1026，1027……，QQ會(huì )打開(kāi)4000、4001……等端口。 ＜/P＞＜P＞　　在DOS命令行下用netstat -na命令可以看到本機所有打開(kāi)的端口，如圖。如果發(fā)現除了以上所說(shuō)的端口外，還有其他端口被占用（特別是木馬常用端口被占用），那可要好好查查了，你很有可能“中彩”了！比方說(shuō)木馬“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，網(wǎng)絡(luò )公牛用的是234444端口……如果發(fā)現這些端口被占用了，基本上就可以判定: 你中木馬了！ ＜/P＞＜P＞查找木馬 ＜/P＞＜P＞　　首先要使你的系統能顯示隱藏文件，因為一些木馬文件屬性是隱藏的。 ＜/P＞＜P＞　　多數木馬都會(huì )把自身復制到系統目錄下并加入啟動(dòng)項（如果不復制到系統目錄下則很容易被發(fā)現，不加入啟動(dòng)項在重啟后木馬就不執行了），啟動(dòng)項一般都是加在注冊表中的，具體位置在： ＜/P＞＜P＞　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”開(kāi)頭的鍵值; ＜/P＞＜P＞　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”開(kāi)頭的鍵值; ＜/P＞＜P＞　　HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“Run”開(kāi)頭的鍵值。 ＜/P＞＜P＞　　如木馬冰河的啟動(dòng)鍵值是: ＜/P＞＜P＞　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] @=“C:\WINDOWS\SYSTEM\KERNEL32.EXE“ ＜/P＞＜P＞廣外女生1.51版的啟動(dòng)鍵值是: [HKEY_LOCAL_MACHINESoftware

MicrosoftWindowsCurrentVersionRunServices] ＜/P＞＜P＞　　“Diagnostic Configuration“=“C:\WINDOWS\SYSTEM\DIAGCFG.EXE“ ＜/P＞＜P＞　　藍色火焰0.5的啟動(dòng)鍵值是: [HKEY_LOCAL_MACHINESoftware

MicrosoftWindowsCurrentVersionRun] ＜/P＞＜P＞　　“Network Services“=“C:\WINDOWS\SYSTEM\tasksvc.exe“ ＜/P＞＜P＞　　不過(guò)，也有一些木馬不在這些地方加載，它們躲在下面這些地方: ＜/P＞＜P＞　?、僭赪in.ini中啟動(dòng) ＜/P＞＜P＞　　在Win.ini的[windows]字段中有啟動(dòng)命令“load=”和“run=”，在一般情況下“＝”后面是空白的，如果有后跟程序，比方說(shuō)是這個(gè)樣子: ＜/P＞＜P＞　　run=c:windowsfile.exe ＜/P＞＜P＞　　load=c:windowsfile.exe ＜/P＞＜P＞　　要小心了，這個(gè)file.exe很可能是木馬。 ＜/P＞＜P＞　?、谠赟ystem.ini中啟動(dòng) ＜/P＞＜P＞　　System.ini位于Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe 是木馬喜歡的隱蔽加載之所，木馬通常的做法是將該句變?yōu)檫@樣:shell=Explorer. exe window.exe，注意這里的window.exe就是木馬程序。 ＜/P＞＜P＞　　另外，在System.ini中的[386Enh]字段，要注意檢查在此段內的“driver= 路徑程序名”，這里也有可能被木馬所利用。再有，在System.ini中的[mic]、 ＜/P＞＜P＞　　[drivers]、[drivers32]這三個(gè)字段，這些段也是起到加載驅動(dòng)程序的作用，但也是增添木馬程序的好場(chǎng)所。 ＜/P＞＜P＞　?、墼贏(yíng)utoexec.bat和Config.sys中加載運行 ＜/P＞＜P＞　　但這種加載方式一般都需要控制端用戶(hù)與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽，所以這種方法并不多見(jiàn)，但也不能因此而掉以輕心哦。 ＜/P＞＜P＞　?、茉赪instart.bat中啟動(dòng) ＜/P＞＜P＞　　Winstart.bat是一個(gè)特殊性絲毫不亞于A(yíng)utoexec.bat的批處理文件，也是一個(gè)能自動(dòng)被Windows加載運行的文件。它多數情況下為應用程序及 Windows自動(dòng)生成，在執行了Win.com并加載了多數驅動(dòng)程序之后開(kāi)始執行（這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式可得知）。由于A(yíng)utoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在A(yíng)utoexec.bat中那樣被加載運行，危險由此而來(lái)。 ＜/P＞＜P＞　?、輪?dòng)組 ＜/P＞＜P＞　　木馬隱藏在啟動(dòng)組雖然不是十分隱蔽，但這里的確是自動(dòng)加載運行的好場(chǎng)所，因此還是有木馬喜歡在這里駐留的。啟動(dòng)組對應的文件夾為:C: WindowsStart MenuProgramsStartUp，在注冊表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerShell Folders Startup=“C:windowsstart menuprogramsstartup“。 ＜/P＞＜P＞⑥*.INI ＜/P＞＜P＞　　即應用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋同名文件，這樣就可以達到啟動(dòng)木馬的目的了。 ＜/P＞＜P＞　?、咝薷奈募P(guān)聯(lián) ＜/P＞＜P＞　　修改文件關(guān)聯(lián)是木馬常用手段（主要是國產(chǎn)木馬，老外的木馬大都沒(méi)有這個(gè)功能），比方說(shuō)正常情況下txt文件的打開(kāi)方式為Notepad.EXE文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開(kāi)方式就會(huì )被修改為用木馬程序打開(kāi)，如著(zhù)名的國產(chǎn)木馬冰河就是這樣干的。“冰河”就是通過(guò)修改 HKEY_CLASSES_ROOT xtfileshellopencommand下的鍵值，將“C: WindowsNotepad.exe %1”改為“C:WindowsSystemSYSEXPLR.EXE %1”，這樣一旦你雙擊一個(gè)txt文件，原本應用Notepad打開(kāi)該文件的，現在卻變成啟動(dòng)木馬程序了，好狠毒哦！請大家注意，不僅僅是txt文件，其他諸如HTM、EXE、ZIP、COM等都是木馬的目標。對付這類(lèi)木馬，只能檢查HKEY_CLASSES_ROOT文件類(lèi)型shellopencommand 主鍵，查看其鍵值是否正常。 ＜/P＞＜P＞　?、嗬壩募?＜/P＞＜P＞　　實(shí)現這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接，然后控制端用戶(hù)用工具軟件將木馬文件和某一應用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會(huì )被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那么每一次Windows啟動(dòng)均會(huì )啟動(dòng)木馬。 ＜/P＞＜P＞　　當發(fā)現可疑文件時(shí)，你可以試試能不能刪除它，因為木馬多是以后臺方式運行的，通過(guò)按Ctrl+Alt+Del是找不到的，而后臺運行的應是系統進(jìn)程。如果在前臺進(jìn)程里找不到，而又刪不了（提示正在被使用）那就應該注意了。

手工清除＜/P＞＜P＞　　如果你發(fā)現自己的硬盤(pán)總是莫明其妙地讀盤(pán)，軟驅燈經(jīng)常自己亮起，網(wǎng)絡(luò )連接及鼠標屏幕出現異?，F象，很可能就是因為有木馬潛伏在你的機器里面，此時(shí)就應該想辦法清除這些家伙了。 ＜/P＞＜P＞　　那么如何清除木馬而不誤刪其他有用文件呢？當你通過(guò)上述方法找到可疑程序時(shí)，你可以先看看該文件的屬性。一般系統文件的修改時(shí)間應是1999年或1998年而不應該是最近的時(shí)間（安裝最新的Win2000、 WinXP的系統除外），文件的創(chuàng )建時(shí)間應當不會(huì )離現在很近。當看到可疑的執行文件時(shí)間是最近甚至是當前，那八成就有問(wèn)題了。 ＜/P＞＜P＞　　首先查進(jìn)程，檢查進(jìn)程可以借助第三方軟件，如Windows優(yōu)化大師，利用其“查看進(jìn)程”功能把可疑進(jìn)程殺掉后，然后再看看原來(lái)懷疑的端口還有沒(méi)有開(kāi)放（有時(shí)需重啟），如果沒(méi)有了那說(shuō)明你對了，再把該程序刪掉，這樣你就手工刪除了這匹木馬了。 ＜/P＞＜P＞　　如果該木馬改變了TXT、EXE或ZIP等文件的關(guān)聯(lián)，那你應把注冊表改過(guò)來(lái)，如果不會(huì )改，那就把注冊表改回到以前的就可以恢復文件關(guān)聯(lián)，可通過(guò)在DOS下執行 scanreg/restore命令來(lái)恢復注冊表，不過(guò)這條命令只能恢復前五天的注冊表（這是系統默認的）。此舉可輕松恢復被木馬改變的注冊表鍵值，簡(jiǎn)單易用。 ＜/P＞＜P＞　　上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽，所以這種方法并不多見(jiàn)，但也不能因此而掉以輕心哦。＜/P＞＜P＞