|
http://myfsx.blog.hexun.com/9652344_d.html WINDOWS 98/ME篇 对于WINDOWS2000以前的WINDOWS版本,木马基本上采用的是让WINDOWS系统启动时自动加载应用程序的方法,其中包括win.ini、systen.ini和注册表等。所以我们的目标就瞄准这里。 在win.ini文件中,[WINDOWS] 下面“run=”和“load=”行是WINDOWS启动时要自动加载运行的程序项目,我们打开win.ini,在[WINDOWS]字段中有启动命令 “run=”和“load=”,在正常情况下等号后面应该是空白的,不会加载任何程序的。如果检查时,发现累世以下信息,就要引起注意了: run=c:\windows\sixvee.exe load=c:\windows\sixvee.exe 另外,WINDOWS安装目录下的system.ini也是木马喜欢藏身的地方,打开这个文件夹,在该文件的[boot]字段中,正常情况下有一个 shell=Explorer.exe项(后面不会跟任何程序),如果你看到的是shell=Explorer.exe sixvee.exe,那么就肯定你中木马了。后面的sixvee.exe就是木马程序。现在还有些木马还将explorer.exe文件与其他进程捆绑 成一个文件,在这里是看不出破绽的,更增加了木马的隐蔽性。 另外还有几处地方需要大家注意,它们分别是system.ini中的{386Enh}字段中要注意检查"driver=路径/程序 名",system.ini中的{mic}、{drivers32}字段,这些字段是起加载驱动程序的作用,往往也是木马喜欢安家的地方。 提示: 对于WINDOWS 98/ME中的木马,它们如果不能自动运行,那么就不存在威胁了。禁止方法如下:“开始——运行——输入msconfig”确定后进入“系统配置实用程序 ”的“win.ini”或者“system.ini”选项单,将查出的自动木马,名称前的钩取消掉即可。 标签: 小技巧 |
|
|
