1.前言：
　　木馬的危害，在于它能夠遠程控制你的電腦。當(dāng)你成為“肉雞”的時候，別人（控制端）就可以進入你的電腦，偷看你的文件、盜竊密碼、甚至用你的QQ發(fā)一些亂七八糟的東西給你的好友……
　　木馬大量出現(xiàn)，在于它有著直接的商業(yè)利益。一旦你的網(wǎng)上銀行密碼被盜，哭都來不及了。
　　正因為如此，現(xiàn)在木馬越繁殖越多，大有“野火燒不盡”之勢。木馬與病毒相互配合、相得益彰，危害越來越大。
　　毫不夸張地說：木馬就是從網(wǎng)線上走進你家里的小偷強盜。防殺木馬，已成為現(xiàn)代電腦用戶的必修課。
　　2.原理：
　　木馬危害，雖然手段繁多，但是萬變不離其宗，其中必需的步驟是在你的系統(tǒng)里建立管理員用戶。本文就是從這一環(huán)節(jié)入手，阻止木馬建立用戶。這樣，即便你的電腦已經(jīng)感染了木馬病毒，但是由于不能建立用戶，木馬就不能發(fā)揮遠程控制的功能。換句話說，就是廢了它，讓他變成廢物。當(dāng)然，廢物明也需要清理，但這已經(jīng)不在本文的討論范圍之內(nèi)了。
　　3.方法：
　　運行 regedt32.exe 打開你的注冊表，里面有一個目錄樹：
　　打開其中目錄 HKEY_LOCAL_MACHINE
　　再打開其中目錄 SAM
　　再打開其中目錄 SAM
　　再打開其中目錄 Domains
　　再打開其中目錄 Account
　　再打開其中目錄 Groups
　　好了，就是這個 Groups 就是負責(zé)建立用戶的。刪掉它，系統(tǒng)就不能建立用戶了。無論木馬怎樣折騰，都無法建立用戶，更談不上提升為管理員了。這個目錄里的文件如果被刪除，是沒有辦法還原的。所以，在這個操作之前，你必須要進行備份，必要的時候，可以還原。
　　備份方法：右鍵點擊 Groups 選擇“導(dǎo)出”，給導(dǎo)出的文件起個名字，保存好，就可以了。
　　4.說明：
　　可能你進入注冊表的時候，只能看到第一個 SAM 目錄，其他的都看不到。別著急，那是因為你權(quán)限不夠，右鍵點擊相應(yīng)目錄選擇“權(quán)限”，把你自己（通常是 Administrators ）設(shè)置為“允許完全控制”就可以了。設(shè)置完權(quán)限后關(guān)了，重進regedt32.exe ，以此類推，一直找到 Groups 目錄為止。
　　5.還原：
　　很簡單，找到你導(dǎo)出的那的文件，直接點擊就可以了。
　　由于刪除 Groups 目錄之后，你將不能使用控制面板中的“用戶帳戶”和“本地用戶和組”的功能，因此，備份文件很重要。需要使用相應(yīng)功能的時候，先還原一下，就跟以前一樣了。當(dāng)然，如果你是一個個人用戶，一直都是你一個人使用這臺計算機，那就無所謂了。

看看吧，對大家很有用處的，呵呵~~~~某些用戶經(jīng)常會很郁悶，自己明明已經(jīng)刪除了木馬文件和相應(yīng)的啟動項，可是不知道什么時候它自己又原封不動的回來了，這還不算，更悲慘的是有時候殺掉某個木馬后，系統(tǒng)也出了故障:所有應(yīng)用程序都打不開了。這時候，如果用戶對計算機技術(shù)的了解僅限于使用殺毒軟件，那可只能哭哭啼啼的重裝系統(tǒng)了 　　為什么會這樣?難道這種木馬還惡意修改了系統(tǒng)核心?其實答案很簡單，因為這種木馬修改了應(yīng)用程序(EXE文件)的并聯(lián)方式。 　　什么是“并聯(lián)方式”呢?根據(jù)我的老師（網(wǎng)上很有名的，北大青鳥西苑的老于）介紹：在Windows系統(tǒng)里，文件的打開操作是通過注冊表內(nèi)相應(yīng)鍵值指定的應(yīng)用程序來執(zhí)行的，這個部分位于注冊表的“HKEY_CLASSES_ROOT”主鍵內(nèi)，當(dāng)系統(tǒng)收到一個文件名請求時，會以它的后綴名為依據(jù)在這里識別文件類型，進而調(diào)用相應(yīng)的程序打開。而應(yīng)用程序自身也被視為一個文件，它也屬于一種文件類型，同樣可以用其他方式開啟，只不過Windows設(shè)置它的調(diào)用程序為“"%1" %*”，讓系統(tǒng)內(nèi)核理解為“可執(zhí)行請求”，它就會為使用這種打開方式的文件創(chuàng)建進程，最終文件就被加載執(zhí)行了，如果有另外的程序更改了這個鍵值，Windows就會調(diào)用那個指定的文件來開啟它。一些木馬程序把EXE后綴名對應(yīng)的exefile類型的“打開方式”改成了“木馬程序 "%1" %*”，運行程序時系統(tǒng)就會先為“木馬程序”創(chuàng)建進程，把緊跟著的文件名作為參數(shù)傳遞給它執(zhí)行，于是在我們看來程序被正常啟動了。因為木馬程序被作為所有EXE文件的調(diào)用程序，使得它可以長期駐留內(nèi)存，每次都能恢復(fù)自身文件，所以在一般用戶看來，這個木馬就做到了“永生不死”。然而一旦木馬程序被刪除，Windows就會找不到相應(yīng)的調(diào)用程序，于是正常程序就無法執(zhí)行了，這就是所謂的“所有程序都無法運行”的情況來源，并不是木馬更改了系統(tǒng)核心，更沒必要因此重裝整個系統(tǒng)。 　　根除這種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序，立即停止這個程序的進程，如果它還產(chǎn)生了其他木馬文件的話，也一起停止，然后在保持注冊表編輯器開啟著的情況下(否則你的所有程序都會打不開了)刪除掉所有木馬文件，把exefile的“打開方式”項KEY_CLASSES_ROOT\exefile\shell\open\command)改回原來的“”%1” %*”即可。 　　如果刪除木馬前忘記把并聯(lián)方式改回來，就會發(fā)現(xiàn)程序打不開了，這時候不要著急，如果你是Win9x用戶，請使用“外殼替換大法”:重啟后按F8進入啟動菜單選擇MS-DOS模式，把Explorer.exe隨便改個名字，再把REGEDIT.EXE改名為Explorer.exe，再次重啟后會發(fā)現(xiàn)進入Windows只剩下一個注冊表編輯器了，趕快把并聯(lián)方式改回來吧重啟后別忘記恢復(fù)以前的Explorer.exe。 　　對于Win2000/XP用戶而言，這個操作更簡單了，只要在開機時按F8進入啟動菜單，選“命令提示符的安全模式”，系統(tǒng)就會自動調(diào)用命令提示符界面作為外殼，直接在里面輸入REGEDIT即可打開注冊表編輯器XP用戶甚至不需要重啟，直接在“打開方式”里瀏覽到CMD.EXE就能打開“命令提示符”界面運行注冊表編輯器REGEDIT.EXE了。。。。

其實服務(wù)器安裝一個mcafee就可以了，具體的設(shè)置可以參考
http://www.dbjr.com.cn/hack/40724.html

最新評論