一般病毒木马的通用解法终结篇

　　木马、病毒藏身之处： 　　注册表先说注册表，因为可能性是最大的`````打开RUN输入REGEDIT回车，看看下面几个位置： HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run HKEY－CURRENT－USER/Software/Microsoft/Windows/CurrentVersion/Run 　　这两个是最常见的，此外还有： HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce HKEY－CURRENT－USER/Software/Microsoft/Windows/CurrentVersion/Runonce HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/RunonceEX HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows/load HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Userinit HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/Setup 　　木马通常会有一个比较〖猥琐〗的名称，迄今为止，我还没见过哪只马敢在注册表里用Trojan命名的，哈哈`~`````所以查找的时候一定要细心，如果觉得可疑但不确定，就应该询问高手，或借用第三方软件。 　　另外，还有两个地方比较容易被忽视哦： HKEY－CLASSES-ROOT/exefiles/shell/open/command HKEY－LOCAL－MACHINE / Software/CLASSES/exefiles/shell/open/command 　　这可是关联型木马的俱乐部。 win.ini文件 win.ini是在WINDOWS下的引导文件，其中的自段“run=”和“load=”木马程序喜欢驻留的地方，如后这两个字段后跟了不明文件路径，那你要小心了，你有可能中招了。用NT的朋友可能会找不到这两个字段，因为WINNT下的这个文件是类似于这样的： ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 [MCI Extensions.BAK] asf=MPEGVideo asx=MPEGVideo ivf=MPEGVideo m3u=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo mpv2=MPEGVideo wax=MPEGVideo wm=MPEGVideo wma=MPEGVideo wmv=MPEGVideo wvx=MPEGVideo wmx=MPEGVideo2 system.ini在WIN98系统的system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序可能就是“木马”程序。 与程序捆绑 　　这里的捆绑也包括了插入。有的木马可能会捆绑程序，就是说它会集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。这种木马是比较难发现的，但是一般杀毒软件的监控功能能够发现这种病毒，并且我在《浅谈加密技术》中提到的MD5校验也可以发现，前提是你对干净的系统文件做过MD5运算。碰到这种情况，我会用两种办法，如果不是致命的程序，可以采用替换文件或杀毒软件查杀，如果是致命的文件，那就只能FORMAT重装了~```呵呵``` 　　Winstart.bat 　Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。 　　Recycled文件夹 　　什么？你用的是WIN2000但你没看到过这个文件夹？``````哦`````回收站总见过吧````哈哈```开个玩笑，这个文件夹就等同于回收站，在每个硬盘的根目录下都有，但需要在工具―文件夹选项里选择查看所有文件，因为默认是隐藏的。咋样，是个藏木马的好地方吧。 程序―启动 　　打开程序―启动，你肯定在想没这么笨的木马吧`~``呵呵，别人当然不会笨到一点也不伪装就直接加在启动里。这里通常会结合上面说的“与程序捆绑”或别的方式来进行伪装，从而名目张胆的在你眼皮底下启动。 　　最后，说一种比较通用的分析方法：（小妖已经被我教过了```呵呵）在安装完Windows后，点击“开始→程序→附件→系统工具→系统信息”，在打开的“系统信息”窗口中再点击“软件环境→正在运行任务，然后点击“操作→另存成文本文件”，以后系统出现异常时则对照进行分析。另外，“优化大师”也提供了保存进程快照的功能``````` 　　大概~`基本``~也许``~可能``就只有这么多了：）``````这里叫终结篇并不表示除此之外便无木马容身之地，任何技术都是在一直发展的，木马永远不可能被完全终结。但是，我希望新手看过这篇贴后，能够具备把自己电脑里木马终结掉的能力。