xpシステムの下で手動でトロイの木馬を駆除するためのヒント

トロイの木馬は、隠されたものや有害なものがそれほど多くない、遠隔操作のハッキングツールです。 XPシステムでは、システムに集中するのは比較的簡単なので、XPシステムのユーザーは手動でトロイの木馬を除去することを学ばなければなりません。

トロイの木馬の隠蔽と一般的なトラブルシューティング技術

●Win.iniでトロイの木馬を起動します。

Win.iniの[Windows]セクションに起動コマンドがあります。 ='および' run ='、一般的な場合、' ='は、次のようなプログラムが続くと空になります。

run = C：Windows ile.exe

load = C：Windows ile.exe

次に、このfile.exeはおそらくトロイの木馬です。

●Windows XPレジストリ内のファイルの関連付けを変更する：

レジストリ内のファイルの関連付けを変更することは、トロイの木馬によって一般的に使用されている方法です。説明しなさい。たとえば、通常の状況下では、txtファイルはNotepad.exe（Notepad）で開かれますが、Trojan関連のファイルが感染すると、txtファイルはTrojanになります。たとえば、有名な国内のトロイの木馬 "glacial"は、HKEY_CLASSES_ROOT xtfileshellopencommandサブキーブランチの下にあるレジストリキーのキー値をデフォルト値 "C：Windows otepad.exe％1"に変更し、それを "C："に変更します。 WindowsSystemSysexplr.exe"を使用すると、txtファイルをダブルクリックしたときにメモ帳で開かれるはずのファイルがスタートアップトロイの木馬になります。もちろん、txtファイルだけでなく、htm、exe、zip、comなどの他の種類のファイルもトロイの木馬のターゲットです。

このタイプのトロイの木馬の場合、レジストリ内のHKEY_CLASSES_ROOTにあるファイルタイプのシェルopencommandサブキーブランチでのみ、その値が正常かどうかを確認できます。

●Windows XPシステムにトロイの木馬ファイルをバンドルする：

このトリガー条件を満たすには、まず制御端末とサーバーがトロイの木馬を介して接続を確立する必要があります。コンソールユーザーはツールソフトウェアを使用してトロイの木馬ファイルをアップロードできます。アプリケーションがまとめられてサーバーにアップロードされ、元のファイルが上書きされるため、トロイの木馬が削除されても、そのトロイの木馬を含むアプリケーションが実行されている限り、トロイの木馬は再インストールされます。システムファイルにバンドルされている場合、このトロイの木馬はWindows XPが起動するたびに起動します。

●System.iniでトロイの木馬を起動します。

System.iniの[boot]セクションにあるshell = Explorer.exeは、トロイの木馬のお気に入りの場所です。ステートメントは次のようになります。

Shell = Explorer.exe file.exe

ここでのfile.exeはトロイの木馬プログラムです。

また、[386enh]セクションで、トロイの木馬によっても使用されている可能性があるため、このセクションの "driver = path program name"を必ず確認してください。 [mic]、[drivers]、[drivers32]これら3つのセクションはドライバをロードするためのものでもあるため、トロイの木馬を追加するのにも理想的な場所です。

●Windows XPレジストリを使用してロードおよび実行します。

次のレジストリ内の場所は、トロイの木馬の隠れ場所です。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionサブキー[すべて]の下にあるサブキー実行開始時のキーバリューアイテムのデータ。

HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionサブキーは、' run'で始まるすべてのキーデータ項目に分岐します。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionサブキーは、' run'で始まるすべての主要データ項目に分岐します。

●Autoexec.batとConfig.sysに実行中のトロイの木馬をロードする：

コンソールとサーバー間の接続を確立するには、同じ名前のファイルをサーバーにアップロードします。このようにして、2つのファイルがトロイの木馬を起動させることができます。しかし、それはあまり隠されていないので、この方法はまれですが、軽視することはできません。

●Winstart.batでトロイの木馬を起動します。

Winstart.batもWindows XPによって自動的にロードされ実行されるファイルで、それらのほとんどはアプリケーションとWindowsによって自動的に生成されます。ほとんどのドライバをロードした後、.comまたはKernel386.exeを実行し、実行を開始します（起動時にF8キーを押してステップバイステップで起動プロセスを開始することで実行できます）。 Autoexec.batの機能はWinstart.batに置き換えることができるので、このトロイの木馬はAutoexec.batの場合と同じようにロードして実行することができます。

トロイの木馬ウイルスの一般的な検出方法

トロイの木馬の隠れ場所はすでにわかっていますが、当然、トロイの木馬を殺すのは簡単です。コンピュータにトロイの木馬があることがわかった場合、最も安全で効果的な方法は、ネットワークハッカーがネットワークを介してあなたを攻撃するのを防ぐために、ネットワークセグメントをただちに開くことです。

l Win.iniファイルを編集します。 [Windows]セクションの下の[run = trojanプログラム]または[' load = trojanプログラム]を' run ='、' load ='に変更します。

l System.iniファイルを編集して、[boot]セクションの下にある「shell = trojanファイル」を<; shell = Explorer.exe'に変更します。

l Windows XPレジストリを変更します。最初にHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunサブキーブランチでトロイの木馬のファイル名を見つけ、それを削除または置換するためにレジストリ全体でトロイの木馬を見つけます。しかし、ひどいことに、削除されている限りすべてのトロイの木馬が削除されるわけではないので、削除されたときに自動的に追加されるトロイの木馬がある場合は、トロイの木馬の場所、そのパスとファイル名を記録する必要があります。それからDOSシステムに後退し、このファイルを見つけて削除してください。コンピュータを再起動し、再びレジストリに戻って、すべてのトロイの木馬ファイルの重要なエントリを削除します。

トロイの木馬は目に見えない状態でシステムに侵入します。多くのユーザーは検出されず、その不思議なステルス、さらにもっと困難です。ユーザーはより多くの時間と忍耐を費やすだけです。システムに隠された地雷は、システムの安全性を確保するために一掃されます。