高手支招系統中木馬藏身八個地方

藍藍的天 · 發表於 2008-11-24 16:46

木馬因為隱藏性高、危害性強而被人們所深惡痛絕。其實，木馬從本質上來說是一種應用程序，利用該程序可以輕鬆將中了木馬的計算機玩弄於股掌之中。由此可見，木馬要發生作用，必須有一個前提就是必須用戶運行木馬的服務端程序。當然，這種運行用戶自己肯定不會主動進行，那麼種木馬者就必須想方設法，做到讓木馬能夠自動運行。基於這樣的道理，我們可以一一排查，找出木馬的藏身之處。

一、集成到程序中

由於用戶一般不會主動運行木馬程序，而種木馬者為了吸引用戶運行，他們會將木馬文件和其它應用程序進行捆綁，用戶看到的只是正常的程序。但是你一旦運行之後，不僅該正常的程序運行，而且捆綁在一起的木馬程序也會在後台偷偷運行。

這種隱藏在其它應用程序之中的木馬危害比較大，而且不容易發現。如果捆綁到系統文件中，那麼則會隨Windows啟動而運行。不過只要我們安裝個人防火牆或者啟用Windows XP SP2中的Windows防火牆，那麼在木馬服務端試圖連接種木馬的客戶端時，則會詢問是否放行，據此即可判斷出自己有無中木馬。

二、隱藏在媒體文件中

這種類型嚴格上說，用戶還沒有中木馬。不過它的危害容易被人忽略。因為大家對影音文件的警惕性不高。它的常用手段是在媒體文件中插入一段代碼，代碼中包含了一個網址，當播放到指定時間時即會自動訪問該網址，而該網址所指頁面的內容卻是一些網頁木馬或其它危害。

因此，當我們在播放網上下載的影片時，如果發現突然打開了窗口，那麼切不可好奇而應將其立即關閉，然後跳過該時間段影片的播放。

三、隱藏在System.ini

System.ini中也是我們找出木馬藏身之地的一個絕佳地方。運行「msconfig」打開系統配置實用程序，切換到「SYSTEM.INI」標籤，也可以直接打開Windows安裝目錄下的System.ini文件，然後查看[boot]區域中「shell=」這一行，如果顯示「shell=Explorer.exe」，則表示正常。如果是其它內容，那麼則說明可能中木馬了。其次在[386Enh]區域，同樣要檢查「driver=路徑＼程序名」，如果發現有來歷不明的文件名那麼也可能是木馬。

四、隱藏在Win.ini

與System.ini相似，Win.ini中也是木馬喜歡載入的一個地方。對此我們可以打開系統目錄下的Win.ini文件，然後查看[Windows]區域「load=」和「run=」，正常情況下它們後面應該是空白，如果你發現它們後面加了某個程序，那麼載入的程序則可能是木馬，需要將它們刪除。

五、隱藏在Autoexec.bat

在C盤根目錄下有一個Autoexec.bat文件，這裡的內容將會在系統啟動時自動運行。與該文件類似的還有Config.sys。因為它自動運行，因此也成為木馬的一個藏身之地。對此我們同樣需要打開這兩個文件，檢查裡面是否載入了來歷不明的程序在運行。

六、任務管理器

部分木馬運行后我們可以在任務管理器中找出它的蹤跡。在任務欄上右擊，在彈出的菜單中選擇「任務管理器」，將打開的窗口切換到「進程」標籤，在這裡查看有沒有佔用較多資源的進程，有沒有不熟悉的進程。若有，可以先試著將它們關閉。另外要特別注意Explorer.exe這類進程，因為很多木馬會使用Exp1orer.exe進程名，即把l換成1，用戶不仔細查看，還以為是系統進程呢。

七、啟動

在Windows XP中，我們可以運行「msconfig」，將打開的窗口切換到「啟動」標籤，在這裡可以看到所有啟動載入的項目，此時就可以根據「命令」和「位置」來判斷是啟動載入的是否為木馬。如果判斷為木馬則可以將其啟動取消，然後再作進一步的處理。

八、註冊表

我們程序的運行控制大多是由註冊表控制的，因此我們有必要對註冊表進行檢查。運行「regedit」打開註冊表編輯器，然後依次檢查如下區域：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion，看看這三個區域下所有以「run」開頭的鍵值，如果鍵值的內容指向一些隱藏的文件或自己從未安裝過的程序，那麼這些則很可能是木馬了。

木馬之所以能夠為非作歹，正是因為其善於隱藏自己。不過我們掌握了其藏身之處，那麼則可以將其一一清除。當然，木馬在實際的偽裝隱藏自己中，可能會綜合使用上面一種或幾種方法來偽裝，這就需要我們在檢查清除時，不能只檢查其中的部分地點。

高手支招 系統中木馬藏身八個地方

高手支招系統中木馬藏身八個地方