HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunServices
目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,以便病毒可随机自启动。如果有,就需要进入注册表,将这个键值删除。注意:可能有些木马会不允许执行.exe文件,这样就需要先将regedit.exe改成系统能够运行的,比如可以改成regedit.com。当然最好的办法,举个例子,就是在"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"下找到"木马"程序的文件名,再在整个注册表中
搜索即可。
如果发现注册表中有木马,那么运行regedit对注册表进行编辑,先在"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序,有时候还需注意的是:有的木马程序并不是直接将"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"下的木马键值删除就行了,因为有的木马,如果你删除它,它会立即自动加载,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。
2.1.7木马的防范
随着网络的普及,硬件和软件的高速发展,网络安全显得日益重要。对于网络中比较流行的木马程序,传播时间比较快,影响比较严重,因此对于木马的防范就更不能疏忽。在检测清除木马的同时,还要注意对木马的预防,做到防范于未然。
1.不要随意打开来历不明的邮件
现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除同时要加强邮件监控系统,拒收垃圾邮件。
2.不要随意下载来历不明的软件
最好是在一些知名的网站下载软件,不要下载和运行那些来历不明的软件。在安装软件时最好先用杀毒软件查看若确定无病毒才进行安装。
3.及时修补漏洞和关闭可疑的端口
一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。
4.尽量少用共享文件夹
如果必须使用共享文件夹,则最好设置账号和密码保护。注意千万不要将系统目录设置成共享,最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态,这是非常危险的。
5.运行实时监控程序
在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。
6.经常升级系统和更新病毒库
2. 2本系统所针对的特殊类型木马的介绍
本系统所针对的基于钩子技术的木马设计思路受启发于时下流行的即时通讯软件的木马:在网站中添加一些恶意代码(这些恶意代码通常为一些脚本语言,例如javascript,vbscript)。在服务器端存放木马的DLL或则EXE文件。只要你点击了网站的链接,恶意代码就会执行然后将木马注入到你的电脑上。每当你打开即时通讯软件的时候,病毒就会向在线的网友发送一个网站的链接。这种情况下,木马扩散极快。
木马实现的功能是在用户打开任意好友的聊天窗口时自动向该好友发送一段话,以及当用户向QQ好友发送信息时,在用户输入的信息后面自动添加一段话。并且在注册表的Run中添加新的键来使木马开机自动运行。
因为木马本身不具备自我复制的特性,所以通过发送一个带有木马程序的网页链接,当用户点了链接之后,便会自动下载木马程序到本机并运行,从而达到了传播的目的。整个程序包括Apple.exe和Apple.dll两个部分,Apple.dll和Apple.e
相关热词:delphi 木马 程序 设计 实现 delphi