Windows system >> Windowsの知識 >  >> Windows XPシステムチュートリアル >> XPシステムチュートリアルについて >> XPシステムの下で手動でクリアトロイの木馬のスキル

XPシステムの下で手動でクリアトロイの木馬のスキル

  
トロイの木馬は、リモートコントロールハッキングツールです、その隠されたと有害な一般的に大きくはありません。 XPシステムでは、システムに集中するのは比較的簡単なので、XPシステムのユーザーは手動でトロイの木馬を除去することを学ばなければなりません。
トロイの木馬の隠れ場所と一般的なトラブルシューティング技術
●Win.iniでトロイの木馬を起動する:
Win.iniの[Windows]セクションに、起動コマンド' load ='と' run =&'があります。;一般的な場合、' ='は、次のようなプログラムが続く場合は空です。
run = C:Windows ile.exe
load = C:Windows ile.exe
その後、このfile.exeはトロイの木馬である可能性が非常に高いです。
●Windows XPレジストリ内のファイルの関連付けを変更する:
レジストリ内のファイルの関連付けを変更することは、トロイの木馬の一般的な手段です。方法を変更する方法は、このシリーズの最初の数記事で詳しく説明されています。たとえば、通常の状況下では、txtファイルはNotepad.exe(Notepad)で開かれますが、Trojan関連のファイルが感染すると、txtファイルはTrojanになります。たとえば、有名な国内のトロイの木馬 "glacial"は、HKEY_CLASSES_ROOT xtfileshellopencommandサブキーブランチの下にあるレジストリキーのキー値をデフォルト値 "C:Windows otepad.exe%1"に変更し、それを "C:"に変更します。 WindowsSystemSysexplr.exe"を使用すると、txtファイルをダブルクリックしたときにメモ帳で開かれるはずのファイルがスタートアップトロイの木馬になります。もちろん、txtファイルだけでなく、htm、exe、zip、comなどの他の種類のファイルもトロイの木馬のターゲットです。
このようなトロイの木馬の場合、レジストリ内のHKEY_CLASSES_ROOTにあるファイルタイプのシェルopencommandサブキーブランチでのみその値が正常かどうかを確認できます。
●Windows XPシステムでのトロイの木馬ファイルのバンドル:
このトリガー条件を達成するために、制御端末とサーバーはトロイの木馬を介して接続を確立する必要がありますコンソールユーザーはツールソフトウェアを使用してトロイの木馬ファイルをアプリケーションにバンドルします。同時に、サーバーにアップロードすると元のファイルが上書きされるため、トロイの木馬が削除されても、トロイの木馬を含むアプリケーションが実行されている限り、トロイの木馬は再インストールされます。システムファイルにバンドルされている場合、このトロイの木馬はWindows XPが起動するたびに起動します。
●System.iniでトロイの木馬を起動する:
System.ini = Explorer.exeの[boot]セクションのシェルは、トロイの木馬が好む隠れ場所です。
Shell = Explorer.exe file.exe
ここでのfile.exeはトロイの木馬プログラムです。
また、[386enh]セクションで、このセクションの "driver = path program name"を確認してください。これはトロイの木馬によっても使用される可能性があるためです。 [mic]、[drivers]、[drivers32]これら3つのセクションはドライバをロードするためのものでもあるため、トロイの木馬を追加するのにも理想的な場所です。
●Windows XPレジストリを使用したロードと実行:
次のレジストリ内の場所は、トロイの木馬の隠された場所です。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionサブキーは、「ru​​n」で始まるすべてのキーデータアイテムを分岐します。
HKEY_LOCAL_MACHINESOFTWAREは、MicrosoftWindowsCurrentVersionサブキーブランチの下にあり、すべてのキー値のデータは' run'で始まります。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion'で始まるすべてのKey-Value項目データは、サブキーブランチの下で'を実行します。
●Autoexec.batとConfig.sysに実行中のトロイの木馬をロードする:
コンソールとサーバー間の接続を確立するには、同じ名前のTrojan起動コマンドをサーバーにアップロードし、2つのファイルを上書きします。トロイの木馬を起動する方法。しかし、それはあまり隠されていないので、この方法はまれですが、軽視することはできません。
●Winstart.batでトロイの木馬を起動する:
Winstart.batは、Windows XPによって自動的にロードされ実行されるファイルでもあり、そのほとんどはアプリケーションとWindowsによって自動的に生成され、Win.comまたはKernel386.exeが実行されます。そして、ほとんどのドライバをロードした後、実行を開始します(これは起動時にF8を押してブートプロセスを開始するための段階的な方法を選択することで実行できます)。 Autoexec.batの機能はWinstart.batに置き換えることができるので、このトロイの木馬はAutoexec.batの場合と同じようにロードして実行することができます。
トロイの木馬ウイルスの一般的な検出技術
トロイの木馬の隠れ場所はすでにわかっていますが、トロイの木馬を殺すのは簡単です。お使いのコンピュータにトロイの木馬があることがわかった場合、最も安全で効果的な方法は、ネットワークハッカーがネットワークを介してあなたを攻撃するのを防ぐために、ネットワークセグメントをただちに開くことです。このセクションの下で、 "run = trojan program"または "load = trojan program"が "run ="'、' load ='に変更されています。
l System.iniファイルを編集して、[boot]セクションの下の" shell = trojan"ファイルを<; shell = Explorer.exe'に変更します。
l Windows XPレジストリを修正します。まずHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunサブキーブランチでトロイの木馬のファイル名を見つけ、それをレジストリ全体で見つけて削除するか、置き換えます。しかし、ひどいことに、削除されている限りすべてのトロイの木馬が削除されるわけではないので、削除されたときに自動的に追加されるトロイの木馬がある場合は、トロイの木馬の場所、そのパスとファイル名を記録する必要があります。それからDOSシステムに後退し、このファイルを見つけて削除してください。コンピュータを再起動し、再びレジストリに戻って、すべてのトロイの木馬ファイルの重要なエントリを削除します。
このトロイの木馬は目に見えない状態でシステムに侵入し、多くのユーザーは検出できなくなりますが、その不思議なステルスに加えて、さらに困難を極めています。システムの安全性を確保するために、システム内の地雷が一掃されます。
Copyright © Windowsの知識 All Rights Reserved