1.前言：
　　木馬的危害，在于它能夠遠(yuǎn)程控制你的電腦。當(dāng)你成為“肉雞”的時(shí)候，別人（控制端）就可以進(jìn)入你的電腦，偷看你的文件、盜竊密碼、甚至用你的QQ發(fā)一些亂七八糟的東西給你的好友……
　　木馬大量出現(xiàn)，在于它有著直接的商業(yè)利益。一旦你的網(wǎng)上銀行密碼被盜，哭都來(lái)不及了。
　　正因?yàn)槿绱?，現(xiàn)在木馬越繁殖越多，大有“野火燒不盡”之勢(shì)。木馬與病毒相互配合、相得益彰，危害越來(lái)越大。
　　毫不夸張地說(shuō)：木馬就是從網(wǎng)線上走進(jìn)你家里的小偷強(qiáng)盜。防殺木馬，已成為現(xiàn)代電腦用戶(hù)的必修課。
　　2.原理：
　　木馬危害，雖然手段繁多，但是萬(wàn)變不離其宗，其中必需的步驟是在你的系統(tǒng)里建立管理員用戶(hù)。本文就是從這一環(huán)節(jié)入手，阻止木馬建立用戶(hù)。這樣，即便你的電腦已經(jīng)感染了木馬病毒，但是由于不能建立用戶(hù)，木馬就不能發(fā)揮遠(yuǎn)程控制的功能。換句話說(shuō)，就是廢了它，讓他變成廢物。當(dāng)然，廢物明也需要清理，但這已經(jīng)不在本文的討論范圍之內(nèi)了。
　　3.方法：
　　運(yùn)行 regedt32.exe 打開(kāi)你的注冊(cè)表，里面有一個(gè)目錄樹(shù)：
　　打開(kāi)其中目錄 HKEY_LOCAL_MACHINE
　　再打開(kāi)其中目錄 SAM
　　再打開(kāi)其中目錄 SAM
　　再打開(kāi)其中目錄 Domains
　　再打開(kāi)其中目錄 Account
　　再打開(kāi)其中目錄 Groups
　　好了，就是這個(gè) Groups 就是負(fù)責(zé)建立用戶(hù)的。刪掉它，系統(tǒng)就不能建立用戶(hù)了。無(wú)論木馬怎樣折騰，都無(wú)法建立用戶(hù)，更談不上提升為管理員了。這個(gè)目錄里的文件如果被刪除，是沒(méi)有辦法還原的。所以，在這個(gè)操作之前，你必須要進(jìn)行備份，必要的時(shí)候，可以還原。
　　備份方法：右鍵點(diǎn)擊 Groups 選擇“導(dǎo)出”，給導(dǎo)出的文件起個(gè)名字，保存好，就可以了。
　　4.說(shuō)明：
　　可能你進(jìn)入注冊(cè)表的時(shí)候，只能看到第一個(gè) SAM 目錄，其他的都看不到。別著急，那是因?yàn)槟銠?quán)限不夠，右鍵點(diǎn)擊相應(yīng)目錄選擇“權(quán)限”，把你自己（通常是 Administrators ）設(shè)置為“允許完全控制”就可以了。設(shè)置完權(quán)限后關(guān)了，重進(jìn)regedt32.exe ，以此類(lèi)推，一直找到 Groups 目錄為止。
　　5.還原：
　　很簡(jiǎn)單，找到你導(dǎo)出的那的文件，直接點(diǎn)擊就可以了。
　　由于刪除 Groups 目錄之后，你將不能使用控制面板中的“用戶(hù)帳戶(hù)”和“本地用戶(hù)和組”的功能，因此，備份文件很重要。需要使用相應(yīng)功能的時(shí)候，先還原一下，就跟以前一樣了。當(dāng)然，如果你是一個(gè)個(gè)人用戶(hù)，一直都是你一個(gè)人使用這臺(tái)計(jì)算機(jī)，那就無(wú)所謂了。

看看吧，對(duì)大家很有用處的，呵呵~~~~某些用戶(hù)經(jīng)常會(huì)很郁悶，自己明明已經(jīng)刪除了木馬文件和相應(yīng)的啟動(dòng)項(xiàng)，可是不知道什么時(shí)候它自己又原封不動(dòng)的回來(lái)了，這還不算，更悲慘的是有時(shí)候殺掉某個(gè)木馬后，系統(tǒng)也出了故障:所有應(yīng)用程序都打不開(kāi)了。這時(shí)候，如果用戶(hù)對(duì)計(jì)算機(jī)技術(shù)的了解僅限于使用殺毒軟件，那可只能哭哭啼啼的重裝系統(tǒng)了 　　為什么會(huì)這樣?難道這種木馬還惡意修改了系統(tǒng)核心?其實(shí)答案很簡(jiǎn)單，因?yàn)檫@種木馬修改了應(yīng)用程序(EXE文件)的并聯(lián)方式。 　　什么是“并聯(lián)方式”呢?根據(jù)我的老師（網(wǎng)上很有名的，北大青鳥(niǎo)西苑的老于）介紹：在Windows系統(tǒng)里，文件的打開(kāi)操作是通過(guò)注冊(cè)表內(nèi)相應(yīng)鍵值指定的應(yīng)用程序來(lái)執(zhí)行的，這個(gè)部分位于注冊(cè)表的“HKEY_CLASSES_ROOT”主鍵內(nèi)，當(dāng)系統(tǒng)收到一個(gè)文件名請(qǐng)求時(shí)，會(huì)以它的后綴名為依據(jù)在這里識(shí)別文件類(lèi)型，進(jìn)而調(diào)用相應(yīng)的程序打開(kāi)。而應(yīng)用程序自身也被視為一個(gè)文件，它也屬于一種文件類(lèi)型，同樣可以用其他方式開(kāi)啟，只不過(guò)Windows設(shè)置它的調(diào)用程序?yàn)椤?%1" %*”，讓系統(tǒng)內(nèi)核理解為“可執(zhí)行請(qǐng)求”，它就會(huì)為使用這種打開(kāi)方式的文件創(chuàng)建進(jìn)程，最終文件就被加載執(zhí)行了，如果有另外的程序更改了這個(gè)鍵值，Windows就會(huì)調(diào)用那個(gè)指定的文件來(lái)開(kāi)啟它。一些木馬程序把EXE后綴名對(duì)應(yīng)的exefile類(lèi)型的“打開(kāi)方式”改成了“木馬程序 "%1" %*”，運(yùn)行程序時(shí)系統(tǒng)就會(huì)先為“木馬程序”創(chuàng)建進(jìn)程，把緊跟著的文件名作為參數(shù)傳遞給它執(zhí)行，于是在我們看來(lái)程序被正常啟動(dòng)了。因?yàn)槟抉R程序被作為所有EXE文件的調(diào)用程序，使得它可以長(zhǎng)期駐留內(nèi)存，每次都能恢復(fù)自身文件，所以在一般用戶(hù)看來(lái)，這個(gè)木馬就做到了“永生不死”。然而一旦木馬程序被刪除，Windows就會(huì)找不到相應(yīng)的調(diào)用程序，于是正常程序就無(wú)法執(zhí)行了，這就是所謂的“所有程序都無(wú)法運(yùn)行”的情況來(lái)源，并不是木馬更改了系統(tǒng)核心，更沒(méi)必要因此重裝整個(gè)系統(tǒng)。 　　根除這種木馬的最簡(jiǎn)單方法只需要查看EXE文件的打開(kāi)方式被指向了什么程序，立即停止這個(gè)程序的進(jìn)程，如果它還產(chǎn)生了其他木馬文件的話，也一起停止，然后在保持注冊(cè)表編輯器開(kāi)啟著的情況下(否則你的所有程序都會(huì)打不開(kāi)了)刪除掉所有木馬文件，把exefile的“打開(kāi)方式”項(xiàng)KEY_CLASSES_ROOT\exefile\shell\open\command)改回原來(lái)的“”%1” %*”即可。 　　如果刪除木馬前忘記把并聯(lián)方式改回來(lái)，就會(huì)發(fā)現(xiàn)程序打不開(kāi)了，這時(shí)候不要著急，如果你是Win9x用戶(hù)，請(qǐng)使用“外殼替換大法”:重啟后按F8進(jìn)入啟動(dòng)菜單選擇MS-DOS模式，把Explorer.exe隨便改個(gè)名字，再把REGEDIT.EXE改名為Explorer.exe，再次重啟后會(huì)發(fā)現(xiàn)進(jìn)入Windows只剩下一個(gè)注冊(cè)表編輯器了，趕快把并聯(lián)方式改回來(lái)吧重啟后別忘記恢復(fù)以前的Explorer.exe。 　　對(duì)于Win2000/XP用戶(hù)而言，這個(gè)操作更簡(jiǎn)單了，只要在開(kāi)機(jī)時(shí)按F8進(jìn)入啟動(dòng)菜單，選“命令提示符的安全模式”，系統(tǒng)就會(huì)自動(dòng)調(diào)用命令提示符界面作為外殼，直接在里面輸入REGEDIT即可打開(kāi)注冊(cè)表編輯器XP用戶(hù)甚至不需要重啟，直接在“打開(kāi)方式”里瀏覽到CMD.EXE就能打開(kāi)“命令提示符”界面運(yùn)行注冊(cè)表編輯器REGEDIT.EXE了。。。。

其實(shí)服務(wù)器安裝一個(gè)mcafee就可以了，具體的設(shè)置可以參考
http://www.dbjr.com.cn/hack/40724.html

最新評(píng)論