友情提示：如果本网页打开太慢或显示不完整，请尝试鼠标右键“刷新”本网页！阅读过程发现任何错误请告诉我们，谢谢！！报告错误

反黑风暴-第章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！

1。“冰河”木马

“冰河”木马属于BackDoor一类的黑客软件，实际上是一个小小的服务器程序（安装在要入侵的机器中），这个小小的服务端程序功能十分强大，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松的获得服务端机器的各种系统信息。

“冰河”木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或伪装成一幅图片，伪装的十分巧妙，让人难以分辨。当用户不小心运行它们或打开这个图片时，就会运行这个木马程序。一旦计算机中了这个木马，就会被它控制。

“冰河”木马主要具有如下几种功能：

●远程文件操作：包括创建、删除、上传、下载、复制文件或目录、文件压缩、快速浏览文本文件、远程打开文件（包括以正常、最大化、最小化和隐藏四种方式打开）等多项文件操作功能。

●记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马2。0以上版本还提供了击键记录功能。

●发送信息：以四种常用图标向被控端发送简短信息。

●点对点通讯：以聊天室形式与被控端进行在线交谈。

●限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

●自动跟踪目标机屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕中，这个功能适用于局域网用户。

●获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

●注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

“冰河”木马在计算机中运行后，在C：Windowssystem目录下会自动生成Kernel32。exe和Sysexplr。exe两个文件。其服务器端程序为G…server。exe，客户端程序为G…client。exe，默认连接端口为7626。在每次启动计算机后，Kernel32。exe都会自动加载并运行，而Sysexplr。exe文件自动和*。文件关联，即使删除Kernel32。exe，但只要运行了*。文件，Sysexplr。exe又会被再次激活，进而又生成Kernel32。exe。对这种木马进行查杀可采用如下方法进行操作。

首先，删除C：Windowssystem目录下的Kernel32。exe和Sysexplr。exe文件。由于“冰河”木马运行后，往往会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun创建键值C：/windows/system/Kernel32。exe，因此，还需要用户删除该键值。再展开注册表中的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices项，删除键值C：/windows/system/Kernel32。exe。

再将注册表HKEY_CLASSES_ROOT/file/shell/open/mand项下的键值C：/windows/system/Sysexplr。exe％1修改为C：/windows/notepad。exe％1，即可恢复文件关联功能。最后，将本机上的杀毒软件升级到最新版本，对整个系统进行全面杀毒。

2．“AV终结者”病毒

“AV终结者”名称中的“AV”是“反病毒”（Anti…Virus）的缩写，它是一种反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”病毒主要是通过U盘、移动硬盘的自动播放功能传播，它最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。

当这种病毒在本机上运行后，会在本地磁盘和移动磁盘中复制病毒文件和anuorun。inf文件，当用户双击盘符时就会激活病毒，即使是重装系统也是无法将病毒彻底清除的。

计算机感染这种病毒，通常会出现如下几种常见的现象：

●不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

●禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

●绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

●在本地硬盘、U盘或移动硬盘生成autorun。inf和相应的病毒程序文件，然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统，当访问其他磁盘时，系统就会立即再次中毒。

●破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

当计算机中了“AV终结者”病毒，用户可以利用“AV终结者”专杀工具进行查杀。具体的操作步骤如下：

步骤01在工作正常的计算机（非中“AV终结者”病毒的计算机）上下载“AV终结者”专杀工具，并禁止自动播放功能，避免插入的U盘和移动硬盘感染病毒。

步骤02单击【开始】按钮，在弹出的面板中选择【运行】菜单项，在弹出的【运行】对话框中输入“gpedit。msc”，即可打开【组策略】窗口。在窗口的左侧依次展开“计算机配置”→“管理模板”→“系统”选项，在窗口的右侧选择“关闭自动播放”选项并右键单击，在弹出的快捷菜单中选择【属性】菜单项。

步骤03打开【关闭自动播放属性】对话框，在其中选中“已禁用”单选按钮，单击【确定】按钮。

步骤04将“AV终结者”专杀工具从工作正常的计算机中拷贝到中毒的计算机中，并运行该软件。在其主窗口中单击【禁用自动播放】按钮，禁止自动播放功能。

步骤05单击【开始扫描】按钮，即可对计算机中的病毒进行查杀，修复被破坏的系统配置。查杀结束后，不要立即重新启动计算机，先将计算机中安装的杀毒软件的病毒库升级到最新版本，然后进行全盘扫描，查杀“AV终结者”下载的其他病毒后，再重新启动计算机。

3。“股票盗贼”病毒

“股票盗贼”病毒主要以偷盗用户的账号和密码为目的，它会记录下用户的操作信息，把账户密码信息发送给指定电子邮箱，这一切都在用户完全不知情的状况下发生。目前，这种主要针对银行、网络游戏、即时通讯工具的木马病毒对网络安全已造成严重威胁。要清除这种病毒，可利用“金山毒霸肉鸡检测器——金山系统急救箱”工具进行查杀。

具体的操作步骤如下：

步骤01从网上下载“金山毒霸肉鸡检测器——金山系统急救箱”工具，双击其安装图标，即可打开【欢迎使用系统急救箱安装向导】对话框。

步骤02单击【下一步】按钮，即可弹出【选择目标位置】对话框，在其中设置系统急救箱的安装位置。

步骤03单击【下一步】按钮，即可弹出【选择额外任务】对话框。若要安装“金山网盾”软件，可选中其中的“金山网盾”复选项；若要在桌面上创建图标和快速启动图标，可选中“创建桌面图标”和“创建快速启动图标”复选项。

步骤04单击【下一步】按钮，即可弹出【准备安装】对话框。

步骤05单击【安装】按钮，即可打开【安装中】对话框，在其中可按照用户的设置安装软件。安装初步完成后，即可弹出【信息】对话框。

步骤06仔细阅读【信息】对话框中的内容后，单击【下一步】按钮，即可弹出【完成系统急救箱安装向导】对话框。

步骤07单击【完成】按钮，即可弹出【金山系统急救箱…315特别版】窗口，并自动对系统进行各项检测。

步骤08在检测完毕后，即可在【金山系统急救箱…315特别版】窗口中显示出“检测报告”和“诊断结果”。其中提示用户系统中存在有风险的加载项，这台计算机可能是肉鸡。

步骤09单击【详细》》】按钮，即可查看检测的详细结果，其中列出了存在风险的启动项。

步骤10若要清除存在风险的启动项，可选中项目前的复选框，单击【立即清除】按钮，即可进行查杀。此时，即可弹出【提示信息】对话框。单击【是】按钮，重新启动计算机，即可完成病毒的查杀。

木马和病毒能够在用户毫无防备的情况下侵入电脑，盗取用户的账号、密码等私人信息。因此，也要防备这些无形的“杀手”，以免信息泄漏。在社会工程学的入侵中，木马不只局限于传统的黑客攻击，而是呈多样化的。心怀恶意的人可能会在公司账务部门的计算机中植入木马，以达�

返回目录上一页下一页回到顶部赞（0）踩（3）

未阅读完？加入书签已便下次继续阅读！

温馨提示：温看小说的同时发表评论，说出自己的看法和其它小伙伴们分享也不错哦！发表书评还可以获得积分和经验奖励，认真写原创书评被采纳为精评可以获得大量金币、积分和经验奖励哦！