“分享xp系统着手动清除特洛伊木马的妙招”

复制来源:系统之家

今天，我们来谈谈共享xp系统手动清除木马的妙计的副本。 这里简要介绍一下xp系统共享手动清除木马的妙计。 希望能帮到大家。

木马与通用故障诊断技术

在win.ini上启动木马:

win.ini的“[windows]”部分包含启动命令load=和run=。 正常情况下=后面跟着空。 如果程序继续，则如下所示:

run = c:windows文件管理器

加载= c:windows文件服务器

这个file.exe可能是木马程序。

windows xp注册表中的文件相关更改:

重写注册表中的文件是木马的常用手段，如何重写在本系列的前几句中进行了阐述。 举个例子，txt文件的打开方式通常是notepad.exe (记事本)，但是如果感染了文件相关的木马，txt文件就会用木马程序打开。 如著名的国产木马冰川，注册表HKEY _ classes _ rootxtfileshellopencommand子键下的键值的默认键值c:windows otepad.exe %1为c:windowss 请注意，除了txt文件外，其他类型的文件(如htm、exe、zip和com )也是木马程序的目标。

使用此类木马程序，您可以只检查注册表的hkey_classes_root中文件类型shellopencommand子密钥的分支，以确定其值是否正常。

在windows xp系统上捆绑木马文件:

要实现这个触发器，首先控制端和服务器端必须通过木马连接。 控制端客户使用工具软件捆绑木马文件和某个应用程序，进入服务器端覆盖原始文件。 这样，即使删除了木马，只要运行捆绑木马的应用程序，木马也会被重新安装。 如果与系统文件捆绑在一起，每当windows xp启动时，木马就会启动。

在system.ini上启动木马:

system.ini [ boot ]部分的shell=explorer.exe是木马喜欢的藏身之处，木马的常用方法是将此句改为:

shell-explorer.exefile.exe

这个file.exe是木马服务器端程序。

此外，在“[386enh]”部分中，还需要检查本部分的驱动程序=路径程序名称。 因为也有可能被木马利用。 由于“mic”、“[drivers]”和“[drivers32]”三个部分也将加载驱动程序，因此这是添加木马的理想位置。

在windows xp注册表中加载并运行:

注册表中的下一个地方是木马喜欢的藏身之处。

HKEY _ current _ usersoftwaremicrosoftwindowscurrentversion子键分支下的所有以run开头的键值数据。

HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversion子键分支下的所有以run开头的键值数据。

以HKEY _ users.defaultsoftwaremicrosoftwindowscurrentversion子键下的所有run开头的关键数值数据。

将木马加载到autoexec.bat和config.sys上并运行:

要建立控制端和服务器端的连接，请将添加了木马启动命令的同名文件放入服务器端，覆盖两个文件，然后以这种方式启动木马。 但是，由于不太隐蔽，这样的方式并不多见，但不能掉以轻心。

在winstart.bat上启动木马:

winstart.bat也是由windows xp自动加载和运行的文件，经常由应用程序和windows自动生成，运行win或kernel386.exe，加载许多驱动程序， 这可以通过选择在启动时按f8键逐步跟踪启动过程的启动方法来看出。 由于autoexec.bat的功能可以替换为winstart.bat，因此这个木马将像autoexec.bat一样完全加载并运行。

木马常见故障分析技术

现在，我们知道木马的藏身之处，调查木马自然很容易。 如果发现计算机乘坐木马，最安全有效的方法是立即断开与互联网段的连接，以防止计算机黑客通过互联网攻击你。 执行以下步骤:

将l win.ini文件“[windows]”部分下的run=特洛伊木马程序或load=特洛伊木马程序更改为run=，load=。

将l system.ini文件“引导”部分下的shell -特洛伊木马文件更改为shell-explorer.exe。

在windows xp注册表中进行更改:在HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun子键下找到木马程序的文件名，然后在整个注册表中删除 但糟糕的是，不是所有的木马程序都删除了就万事大吉了。 有些木马程序在被删除后会立即自动添加。 在这种情况下，必须记录木马的位置(其路径和文件名)，然后退到dos系统下，找到并删除该文件。 重新启动计算机，再次返回注册表，删除所有木马文件的密钥值。

通过共享xp系统获得清除木马的妙计，我相信这个副本对你有帮助。 和好朋友分享的时候，也欢迎感兴趣的朋友们一起探讨。

本文：《“分享xp系统着手动清除特洛伊木马的妙招”》