[轉貼]木馬程式通常都藏在這裡唷!!
一般來說,大多數的木馬病毒(特別是多功能木馬Server程式),一定都具備一個共通的特點:都會設定一進入Windows之後就安安靜靜、無聲無息的自動執行,等被駭者電腦上網後就偷偷跟駭客電腦進行連線,裡應外合來進行駭客任務,如:SubSeven(簡稱:Sub7)、BO2K(Back Orifice)、NetBus、Optix_pro…等都是這種木馬病毒。因此針對這樣的特性,若能對一進入Windows就自動執行的幾個項目進行徹底完整的檢查,絕對可以將98%秘密隱藏在你電腦中的各類木馬病毒無所遁形、一網打盡,至於剩下的2%就必須使用TaskInfo才可能抓出來殺掉哩。而想要一進入Windows就自動執行必須在啟動資料夾以及StartUp資料夾(有些人有,有些人沒有,因為我沒有所以我沒貼圖片給你們看)、Win.ini、System.ini、…進行設定,下面我就舉出幾個比較好說明的來破解吧。啟動資料夾或StartUp資料夾-雖然許多木馬病毒不會藏在這裡,但是市面上有些教導駭客行為的書卻會告訴讀者將木馬程式設定在這裡執行,所以下面還是要告訴各位怎樣將這種很嫩的病毒刪除掉(Win9x、WinME、Win2K、WinXP的操作都差不多)。如果都是空的也就不必再看,如果有的話則請您在三檢查該程式是否為您安裝過的某個程式或工具,而且需要一進入Windows就自動執行,若不是就可以點選該項目後按下滑鼠右鍵選刪除將它幹掉,如果不確定可以先將該項目搬移到其他資料夾中,再重開機進入Windows中,如果有問題或某個工具程式無法使用,那就在將它搬移回啟動資料夾或StartUp資料夾,若沒問題就繼續使用吧!
Win.ini
-這是為了維持Windows 3.x版的程式所保留的(意思就是現在大多都不會碰到這文字檔),不過對於駭客而言卻比之前那個
【啟動資料夾】
有用多了,因為目前幾乎所有的Windows都不會用到它,而大多數的Windows使用者也不會去注意它(甚至根本不知道),因此當然就變成許多駭客植入木馬病毒後設定為自動執行的最愛,所以請使用任何一個文書編輯程式(例:記事本)將Win.ini開啟後(它在Windows系統所在的資料夾中,例如:C:\Windows\Win.ini或C:\Winnt\Win.ini),查看[Windows]區間中的Load與Run參數是否有設定,查看所設定的是否為您安裝所使用的程式,如果不是那它可能就是木馬病毒的重要嫌疑犯了,如下操作說明。
一般而言目前大多數的情況下並不會有Run或Load參數設定或是後面是空的,因此若有指定某個程式則90%肯定是木馬程式或病毒程式(在此簡稱為木馬病毒),若不能完全肯定則可以依照下面的步驟來進行確認與檢查。
步驟一
在該列的最前面加上rem(例:rem Run=c:\windows\server.exe),然後重開機在進入Windows中。
步驟二
再用一般文字編輯程式(例:記事本)將Win.ini讀進來查看剛才改的那一列是否rem還加在前面,若有則跳到步驟三,若rem已不見又變回來原來的設定(如:rem Run=c:\windows\server.exe),則可以肯定該程式是木馬程式,請再重開機之後進入安全模式或純DOS中將該檔案刪除,再使用一般文字編輯程式(例:記事本)將Win.ini讀進來,將該列整個刪除後儲存Win.ini,再重開機進入Windows就沒問題。
步驟三
您就再使用幾天看看,如果一切都沒問題那就不用再管它或是將該列與該檔案刪除,如果有某些功能無法運作那就將rem去掉,看是否恢復正常,若正常則表示該程式不是木馬病毒,否則還是加上rem以測安全。
------------------------------------------------------------------------------------------------
System.ini
-這也是Windows 3.x時代的遺跡,可能有些熟悉Windows 3.x的人會覺得奇怪:在System.ini中也可以設定自動執行某些程式嗎!?基本上來說的確是不行,但是透過shell這個參數就可以化不可能為事實,也就是在[boot]區間進行如下的設定:
這樣當一進入Windows時就會自動執行檔案總管,而檔案總管也會自去執行server.exe這個程式,如此就可以達到載入木馬程式的目的,所以我們就必須要檢查一下您Windows(或Winnt)目錄下的System.ini中是否有這樣的設定(可使用記事本打開它,然後查看[boot]區間的 shell參數),如果有的話則99.99%是木馬病毒,因為幾乎沒有任何的程式或應用軟體會做這樣的設定,所以就將Explorer.exe之後的都刪除吧!
天阿..做這種圖文並茂的文章真是累人-.-不過也發現小畫家真的很好用-.-另外,上面我所提到的TaskInfo(Task Information)
這篇文章花了我很多心血~有空就幫忙推薦一下噢!!我覺得算是滿實用的= =...
這裡可以下載唷!!!
