系统中木马隐藏技术与检查清除方法

体系中“木马”是一件很头疼的工作，下面我们先先容木马措施的潜匿技巧、自动加载要领，在先容针对这些技巧的应对步伐。

“木马”措施潜匿本身的步伐

“木马”措施会想尽统统步伐潜匿本身，首要途径有：

在使命栏中潜匿本身，这是最根基的，只要把Form的Visible属性设为False、ShowInTaskBar设为False，措施运行时就不会呈此刻使命栏中了。

在使命打点器中隐形：木马只要将措施设为“体系处事”就可以很轻松地伪装本身。虽然它也会悄无声气地启动，用户不会每次启动后再本身点击“木马”图标来运行处事端，以是“木马”会在每次用户启动时自动装载处事端，Windows体系启动时自动加载应用措施的要领，“木马”城市用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的甜头所。

查察“木马”是否自动加载

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是也许加载“木马”措施的途径，必需细心把稳它们。一样平常环境下，它们的等号后头什么都没有，假如发明后头跟有路径与文件名不是你认识的启动文件，你的计较机就也许中上“木马”了。虽然你也得看清晰，由于许多几何“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，假如不留意也许不会发明它不是真正的体系启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，假如不是“explorer.exe”，而是“shell=explorer.exe措施名”，那么后头随着的谁人措施就是“木马”措施，就是说你已经中“木马”了。

在注册表中的环境最伟大，通过regedit呼吁打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目次下，查察键值中有没有本身不认识的自动启动文件，扩展名为EXE，这里牢记：有的“木马”措施天生的文件很像体系自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”措施与真正的Explorer之间只有“i”与“l”的不同。虽然在注册表中尚有许多处所都可以潜匿“木马”措施，如：“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目次下都有也许，最好的步伐就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”措施的文件名，再在整个注册表中搜刮即可。

查杀“木马”

知道了“木马”的事变道理，查杀“木马”就变得很轻易。

假如发明有“木马”存在，最安详也是最有用的要领就是马大将计较机与收集断开，防备黑客通过收集对你举办进攻。　　然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”措施”或“load=“木马”措施”变动为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，变动为：“shell=explorer.exe”；在注册表中，用regedit对注册表举办编辑，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”措施的文件名，再在整个注册表中搜刮并替代掉“木马”措施。

偶然辰还需出格留意：有的“木马”措施并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，由于有的“木马”如：BladeRunner“木马”，假如你删除它，“木马”会当即自动加上，你必要的是记下“木马”的名字与目次，然退却回到MS-DOS下，找到此“木马”文件并删除去。从头启动计较机，然后再到注册表中将全部“木马”文件的键值删除。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!