计算机病毒与反病毒技术--特洛伊木马.ppt

全面防治木马病毒 1 木马中毒现象 2 发现和杀除木马的方法 进程/内存模块查看器 在Windows下查看进程/内存模块的方法很多，有PSAPI、PDH和ToolHelper API。 /shotgun/ps.zip 端口扫描（端口进程关联软件） 关联端口和进程的软件也是重要的工具之一，虽然DLL木马隐藏在其他进程中，但是多多少少会有一些异常，功能强大的Fport就是一个优秀的进程端口关联软件，可以在以下地址下载到：/rdlabs/termsofuse.php?filename=FPortNG.zip 嗅探器 嗅探器帮助我们发现异常的网络通讯，从而引起我们的警惕和关注，嗅探器的原理很简单，通过将网卡设为混杂模式就可以接受所有的IP报文，嗅探程序可以从中选择值得关注的部分进行分析，剩下的无非是按照RFC文档对协议进行解码。 代码及头文件：?/shotgun/GUNiffer.zip编译后的程序：?/shotgun/GUNiffer.exe 检查及保护注册表 /public/tools/ntregmon.zip 查找文件 /public/tools/ntfilmon.zip 杀病毒软件 系统文件检查器 3 木马的预防措施 1. 永远不要执行任何来历不明的软件或程序 2. 永远不要相信你的邮箱不会收到垃圾和病毒 3. 永远不要因为对方是你的好朋友就轻易执行他发过来的软件或程序。 4. 千万不要随便留下你的个人资料。 5. 千万不要轻易相信网络上认识的新朋友。 6. 永远不要随便说别人的坏话，防止别人用木马报复你。 几种常见木马病毒的杀除方法 一、BO2000 查看注册表［HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicse］中是否存在Umgr32.exe的键值。有则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。 二、NetSpy（网络精灵）　　国产木马，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表［HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run］下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。　　清除方法：　　1.进入dos，在C:\windows\system\目录下输入以下命令：del netspy.exe 回车；　　2.进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，删除Netspy.exe和Spynotify.exe的键值即可安全清除Netspy。 三、Happy99　　此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的System目录下并更名为Ska.exe，同时创建文件Ska.dll，修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册［HEKY_LOCAL_MACHINE\Softwre\Microsoft\Windows\CurrentVersion\RunOnce］中有无键值Ska.exe。有则将其删除，并删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。 四、冰河　　冰河标准版的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。　　清除方法：　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的system\kernel32.exe和system\sysexpl