發新話題

|分享| 徹底清除登錄檔中的駭客程式

|分享| 徹底清除登錄檔中的駭客程式

近來由於 ADSL 十分普及,
加上
連線費用都採無限時數上網的月費方式,
因此
包括筆者在內,
釵h人已經習慣讓電腦持續連線,
保持 Always-online 的狀態。

不過
此舉卻也增加了電腦被駭客入侵的風險,

而本章的主角『駭客程式』
正是不肖之徒的作案工具。

駭客程式運作的原理

駭客程式也稱為後門程式,
它通常是由一對 Server 端與 Client 端程式所組成,

一般 Server 端
會常駐於被害者的電腦提供入侵管道,

而 Client 端
則負責與 Server 端連絡,
也就是駭客實際入侵的工具。

這兩者只要缺了一個,
駭客們就無法成事。

至於 Server 端程式
是如何進入被害人電腦中,
想必也令釵h曾被駭客入侵的使用者
感到莫名奇妙。

其實散佈 Server 端的手法,
依據駭客本身的奶O
而有所不同,
一般比較常見的有下列 4 種途徑:

◇利用 E-Mail 散佈:
將 Server 端程式隱藏於圖片或 遊戲程式中,
然後
利用 E-Mail 附加檔案發送出去,
收件者只要開啟圖片或啟動遊戲,
後門程式就會開始運作。

◇暗藏於免費軟體供人下載:
有些不肖的軟體下載網站,
常會將 Server 端程式
整合於一些常見、好用的工具程式中
(如:WinZip、Winamp),
然後
供網友免費下載。

使用者只要執行這些動過手腳的程式,
連帶
就會將後門程式安裝到系統中。

◇透過網頁技術:
為方便網站和瀏覽者間的互動,
目前有釵h網路技術
都可以將資料寫入使用者的電腦中,
如:ActiveX、Java 等。

一些深諳程式設計的高手,
便會利用這種技術
來散播 Server 端程式,
使用者只要瀏覽網頁就會遭殃。

◇使用軟體漏洞:
最後一種方式是最難防範的,
就是利用軟體或作業系統先天設計不良
所產生的安全性漏洞,
來入侵被害者的電腦。

有心人士會利用這種漏洞,
誘騙軟體或系統
主動執行駭客程式,
便可在使用者電腦安插隱秘的後門,
以供日後入侵之用。

此種散佈管道唯一的防範方法,
就是
隨時注意軟體設計公司
是否有釋出修補程式,

並確實依照說明
將修補程式安裝到電腦上,
以防堵無孔不入的駭客。

駭客程式常駐足的機碼

看到這裡
您可能還是一頭霧水,

『駭客入侵和登錄檔有什麼關係?』

前面說過,
Server 端與 Client 端兩者
都是駭客入侵必備的工具,

不過
即使駭客想盡辦法
將 Server 端程式植入被害者的電腦中,
如果 Server 端程式未被執行,
整個入侵行動還是無法進行。

那要如何確保 Server 端在植入電腦後
會被執行,
甚至在重新開機後也繼續運作?

答案
就是利用登錄檔。

一般電腦在開機之時,
有不少程式會自行啟動,

甚至常駐於系統中,
這都是系統根據登錄檔中的內容
來執行的結果。

而駭客們只要將後門程式
偷偷加入這個啟動清單中,

日後 Server 端程式就會不斷在被害人的電腦中反覆執行。

駭客程式最常駐足的登錄檔機碼
多半都是位於
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
兩個機碼之下,

詳細的位置如下表所示:
複製內容到剪貼板
代碼:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
雖然目前網路上
有流傳不少清除後門程式的工具軟體
(如:Trojan Remover、Iparmor ),
都可以有效對付這些不速之客。

不過
一般人往往是等到電腦被明顯破壞、
或是資料遺失了,
才會發覺電腦被入侵,
然後
才思考補救之道。

其實如果平時能多留意
上述說明的這些機碼位置,
看看系統中
是否有莫名的程式
會在開機之時自行啟動;

如果查覺到不對勁,
可以先移除可疑的登錄值,
或是利用一些工具清除駭客程式,
就可收到防患未然的效果。

NetSpy 程式的清除實例

接著
我們便以一個網路上知名的駭客程式
- NetSpy 為例,

說明
如何靠著查找登錄檔,
找出駭客作亂的根源,
並進一步將之清除殆盡。

NetSpy 是由大陸玩家所設計的程式,
它的操作簡單、弁鈳瘥?
即使不具網路基本概念
也能輕鬆使用,

因此
深受不少奶O不深的駭客玩家們喜愛。

目前該軟體
雖然已經逐漸轉型
為正當的遠端監控程式,

但是
舊版程式在網路上仍廣被流傳。

由於 NetSpy 檔案小、
佔用的系統資源也不高,
即使電腦不幸被植入 Server 端程式,
一般人往往也無法察覺。

不過
和其他駭客程式相同,
NetSpy 也會在登錄檔中寫入登錄值,
以確保
被害人每次開機時
Server 端程式都會運作,

因此
您只要一一清查前面提及駭客程式時常駐足的機碼,
很容易就可以把它揪出來:

1. 執行「Regedit」

2. 假設在
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WinodwsCurrentVersionRun 機碼下發現 Netspy 。

3. 選取 Netspy
按 Delete 鍵
將其刪除。

PS.提醒您,
不要任意更改其他的機碼,
以免造成系統毀損


如果在機碼中找不到 Netspy
表示
電腦中沒有被此駭客程式入侵。

詳細的操作請參考:
訪客無法瀏覽此圖片或連結,請先 註冊登入會員

5. 重新開機後,
執行「開始 / 搜尋」
找出 NetSpy.exe 後,
將其刪除
即可。

刪除 NetSpy 的 Server 端程式後,
駭客就無法再輕易入侵您的電腦,

為求慎重起見,
您也可以再以 Trojan Remover 等後門程式清除工具,
徹底清查
系統上是否還有其他可疑的程式在活動。


[ 本帖最後由 蔡逸竹 於 2006-9-12 21:47 編輯 ]

TOP

嗯~~講的很詳細
讓我更瞭解到這些駭客們的厲害
當然為確保電腦不易中毒最好的方法就是不要亂下載
不過若感覺到有中毒的現象時
把看到的知識加以運用
相信就能解毒啦

TOP

駭客還真是無孔不入,多學點還是好的,感謝大大認真教學。

TOP

大大講的很詳細
駭客真的是會害死人阿
只要有漏洞就一直衝

TOP

發新話題

本站所有圖文均屬網友發表,僅代表作者的觀點與本站無關,如有侵權請通知版主會盡快刪除。