木马检测-上海交通大学.PPT

三、Happy99　　此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的System目录下并更名为Ska.exe，同时创建文件Ska.dll，修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册［HEKY_LOCAL_MACHINE\Softwre\Microsoft\Windows\CurrentVersion\RunOnce］中有无键值Ska.exe。有则将其删除，并删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。 四、冰河　　冰河标准版的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。　　清除方法：　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要先改掉它们的隐藏、只读属性，就可以删除。 删除后，进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到[HKEY_CLASSES_ROOT\txtfile\open\command]，看在键值中是不是已改为“sysexplr.exe%1”，如是改回“notepad.exe %1”。 五、Nethief(网络神偷)　　这是反弹端口型木马的典型代表。大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。　　清除方法： 1.网络神偷会在注册表［HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run］下建立键值“internet”，其值为internet.exe /s，将键值删除；　　2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。 预防措施 永远不要执行任何来历不明的软件或程序 永远不要相信你的邮箱不会收到垃圾和病毒 永远不要因为对方是你的好朋友就轻易执行他发过来的软件或程序。 不要随便在网络上留下你的个人资料。 不要轻易相信网络上认识的新朋友。 不要随便在网络空间招惹是非，防止别人用木马报复你。 * aaa * 要不要演示木马克星 或 木马清道夫等 输入设备控制 通过网络控制目标机的鼠标和键盘，以达到模拟鼠标和键盘的功能。 使用技术：Keybd_event，mouse_event //模拟A键按键过程 keybd_event(65,0,0,0); keybd_event(65,0,KEYEVENTF_KEYUP,0); //模拟按下左键 GetCursorPos(lpPoint); SetCursorPos(lpPoint.x, lpPoint.y); mouse_event(MOUSEEVENTF_