荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mic (不要变,行不行), 信区: Virus
标 题: [转载] 与木马交锋,三板斧砍翻在地(转寄)
发信站: 荔园晨风BBS站 (Fri Jun 1 07:54:49 2001), 转信
【 以下文字转载自 Mic 的信箱 】
【 原文由 Mic.bbs@smth.org 所发表 】
发信人: ehi (沐阳), 信区: Virus
标 题: 与木马交锋,三板斧砍翻在地
发信站: BBS 水木清华站 (Thu May 31 17:11:26 2001)
--
欢迎访问202.113.183.172,提供ftp服务。
你的到来,寒舍蓬荜生辉。
本文是作者原著,你在使用时,请注明来源。
作者:沐阳子 GEO ROOM 的主人。
欢迎您来到 ftp://202.113.183.172/
与木马交锋,三板斧砍翻在地
1.现象:
打开QQ后,过了有5分钟,突然鼠标键盘死锁,这时没有意识到是木马在作怪;重启,再
开QQ,过一段时间,突然又死锁。我开始觉得可能是被别人远程控制了。
2.确诊:
用IParmor 4.30 DEMO 检查,提示:Trojans found !可怕,下面就看我怎么对付你了
!同样在这里能看到不熟悉的进程,也就是那个木马在运行了。
注意:用三键大法是看不到这个进程的。
3.对付这个小母马的三板斧:
(1)监听控制端IP信息,由于控制端不停的给我发控制数据包,因此我很容易的就知道
了对方的IP(至于用什么工具,这里不便多说了;对方的IP也不公布了,呵呵,对她手
下留情吧)。
(2)查找木马信息。
RUN——“regedit”---找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run],看到这里可疑的键值,删之没商量。同样在Run- RunOnce RunOnc
eEx RunService RunServices RunServices- RunService RunServicesOnce 这些主
键下面如果有同样的可疑键值,删之。(我这里的是sysdllz.exe,也就是上面提到的可
疑的进程名称。不同的木马,这个名字是不同的!!) 这里如果这个子键的数据如果不
带路径,那相应的木马程序就在WINdows\system\下面,如果带有路径,那就在相应的地
方了。
RUN---“msconfig”--看到启动里如果有可疑的进程在运行,去掉复选标记。这里会提
示“重启机器”,选待会儿重启好了。
(3)删除木马程序
按照上面的木马名称,可以查到木马所在的位置,或者就是在注册表里看到的位置了。
在WIN下是不能删除的这个母马的,所以重启在DOS下删除它。
OK!!
4.善后:
重新运行“msconfig”--可以看到那个木马不见了。用IParmor 4.30 DEMO检查一下,提
示:No Trojans found, System is safe.
至此,小小的母马,被你征服了!!
5.总结:
大多数木马都是存在在这几个地方的,[HKEY_LOCAL_MACHINE\Software\Microsoft\Win
dows\CurrentVersion\Run]下一般都能看到它的踪迹,顺藤摸瓜,就能摘除了。
※ 来源:·BBS 水木清华站 smth.org·[FROM: 202.113.183.172]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店