[轉貼]駭客程式最常駐足的登錄檔機碼
駭客程式最常駐足的登錄檔機碼
多半都是位於
" HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion"
或
" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion"
兩個機碼之下,
詳細的位置如下表所示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
目前網路上有流傳不少清除後門程式的工具軟體
(如:Trojan Remover、Iparmor ), 都可以有效對付這些不速之客。
不過一般人往往是等到電腦被明顯破壞、或是資料遺失了, 才會發覺電腦被入侵, 然後才思考補救之道。
其實如果平時能多留意上述說明的這些機碼位置,看看系統中是否有莫名的程式會在開機之時自行啟動;如果查覺到不對勁,可以先移除可疑的登錄值,或是利用一些工具清除駭客程式,就可收到防患未然的效果。
NetSpy 程式的清除實例接著我們便以一個網路上知名的駭客程式 - NetSpy 為例,說明
如何靠著查找登錄檔,找出駭客作亂的根源,並進一步將之清除殆盡。
NetSpy 是由大陸玩家所設計的程式,它的操作簡單、功能單純,即使不具網路基本概念也能輕鬆使用, 因此深受不少功力不深的駭客玩家們喜愛。 目前該軟體雖然已經逐漸轉型
為正當的遠端監控程式, 但是舊版程式在網路上仍廣被流傳。
由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電腦不幸被植入 Server 端程式,一般人往往也無法察覺。
不過和其他駭客程式相同,NetSpy 也會在登錄檔中寫入登錄值,
以確保被害人每次開機時Server 端程式都會運作,
因此您只要一一清查前面提及駭客程式時常駐足的機碼,很容易就可以把它揪出來:
1. 執行「Regedit」
2. 假設在
" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netspy "。
3. 選取" Netspy " 按" Delete "鍵將其刪除。
PS.提醒您, 不要任意更改其他的機碼,以免造成系統毀損如果在機碼中找不到 Netspy 表示電腦中沒有被此駭客程式入侵。
4. 重新開機後,
執行「開始 / 搜尋」
找出" NetSpy.exe "後,
將其刪除
[ 本帖最後由 philxyz0316 於 2006-9-13 22:24 編輯 ]
