本文目录导航:
伊洛可木马是什么?
一种秘密潜伏的能够经过远程网络启动控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切举措和资源,是恶意攻打者启动窃取信息等的工具。
特洛伊木马没有复制才干,它的特点是伪装成一个适用工具或许一个可恶的游戏,这会诱经常使用户将其装置在PC或许主机上。
“特洛伊木马”(trojan horse)简称“木马(wooden horse)”,听说这个称号起源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,伪装作战马神,让战士隐匿于渺小的木马中,大部队伪装撤离而将木马抛弃于特洛伊城下。城中得悉突围的信息后,遂将“木马”作为奇特的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及到处纵火,城外伏兵涌入,部队内外夹击,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无量”之意。
作为一个低劣的木马,自启动性能是必无法少的,这样可以保障木马不会由于你的一次性关机操作而彻底失去作用。正由于该项技术如此关键,所以,很多编程人员都在不停地钻研和探求新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马参与到用户经常口头的程序 (例如)中,用户口头该程序时,则木马智能出现作用。当然,愈加广泛的方法是经过修正Windows系统文件和注册表到达目的,现常罕用的方法关键有以下几种:
1.在中启动
在的[windows]字段中有启动命令load=和run=,在普通状况下 =前面是空白的,假设有后跟程序,比如说是这个样子:
run=c:\windows\
load=c:\windows\
要小心了,这个很或许是木马哦。
2.在中启动
位于Windows的装置目录下,其[boot]字段的shell=是木马青睐的暗藏加载之所,木马理论的做法是将该何变为这样:shell=。留意这里的就是木马服务端程序!
另外,在System.中的[386Enh]字段,要留意审核在此段内的driver=门路\程序名这里也有或许被木马所应用。再有,在中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是削减木马程序的好场合,如今你该知道也要留意这里喽。
3.应用注册表加载运转
如下所示注册表位置都是木马喜好的藏身加载之所,赶快审核一下,有什么程序在其下。
4.在和中加载运转
请大家留意,在C盘根目录下的这两个文件也可以启动木马。但这种加载形式普通都须要控制端用户与服务端建设衔接后,将己参与木马启动命令的同名文件上行到服务端笼罩这两个文件才行,而且驳回这种形式不是很隐蔽。容易被发现,所以在和Confings中加载木马程序的并不多见,但也不能因此而漫不经心。
5.在中启动
是一个不凡性丝毫不亚于的批处置文件,也是一个能智能被Windows加载运转的文件。它少数状况下为运行程序及Windows智能生成,在口头了Windows智能生成,在口头了并加截了少数驱动程序之后
开局口头 (这一点可经过启动时按F8键再选用逐渐跟踪启动环节的启动形式可得悉)。由于的性能可以由替代成功,因此木马齐全可以像在中那样被加载运转,风险由此而来。
6.启动组
木马们假设暗藏在启动组尽管不是十分隐蔽,但这里确实是智能加载运转的好场合,因此还是有木马青睐在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup=c:\windows\start menu\programs\startup。要留意经常审核启动组哦!
即运行程序的启动性能文件,控制端应用这些文件能启动程序的特点,将制造好的带有木马启动命令的同名文件上行到服务端笼罩这同名文件,这样就可以到达启动木马的目的了。只启动一次性的形式:在.中(用于装置较多)。
8.修正文件关联
修正文件关联是木马们罕用手腕 (关键是国产木马,老外的木马大都没有这特性能),比如说反常状况下TXT文件的关上形式为文件,但一旦中了文件关联木马,则txt文件关上形式就会被修正为用木马程序关上,如驰名的国产木马冰河就是这样干的. 冰河就是经过修正HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\本运行Notepad关上,如驰名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 C:\WINDOWS\%l改为 C:\WINDOWS\SYSTEM\%l,这样,一旦你双击一个TXT文件,原本运行Notepad关上该文件,如今却变成启动木马程序了,好歹毒哦!请大家留意,不只仅是TXT文件,其余诸如HTM、EXE、等都是木马的指标,要小心搂。
对付这类木马,只能经常审核HKEY_C\shell\open\command主键,检查其键值能否反常。
9.捆绑文件
成功这种触发条件首先要控制端和服务端已经过木马建设衔接,而后控制端用户用工具软件将木马文件和某一运行程序捆绑在一同,而后上行到服务端笼罩源文件,这样即使木马被删除了,只需运转捆绑了木马的运行程序,木马义会装置下来。绑定到某一运行程序中,如绑定到系统文件,那么每一次性Windows启动均会启动木马。
10.反弹端口型木马的被动衔接形式
反弹端口型木马咱们曾经在前面说过了,由于它与普通的木马同样,其服务端 (被控制端)被动与客户端 (控制端)建设衔接,并且监听端口普通开在80,所以假设没有适宜的工具、丰盛的阅历真的很难防范。这类木马的典型代表就是网络神偷。由于这类木马依然要在注册表中建设键值注册表的变动就不难查到它们。同时,最新的天网防火墙(如咱们在第三点中所讲的那样),因此只需留意也可在网络神偷服务端启动被动衔接时发现它
电脑硬盘关上时 直接显示选用关上形式-选用程序的对话框 怎样办
倒退所有以及或许病毒文件。
双击磁盘时,系统会依据文件的批示,调用/EXE病毒文件,结果是无法关上磁盘分区。
方法一:开机按F8,选用安保形式进入在c盘上点右键,选“资源治理器”,就可以反常阅读c盘,而后在c盘根目录下查找能否有文件,删。
其余盘也如此操作。
方法二:以修复C盘为例——1.“开局—运转”,键入cmd后回车,进入DOS形态。
输入c:后回车,继而输入dir/a后回车(没有参数a是看不到暗藏文件的,口头a是显示一切文件)。
2.此时,你会发现一个文件,再输入attrib -s -h -r后回车,此操作目的是去掉文件的“系统”、“只读”、“暗藏”属性,否则无法删除。
随后输入del 。
3.双击c盘试一下,如能关上,就OK!4.如出现要求你定位某个命令,如或其余时,进入注册表,肃清注册表中关系信息: “开局—运转”,键入regedit,“编辑—查找—或其余,找到的第一个就是D盘的智能运转,删除整个shell子键,终了。
双击c盘,应该可以关上了!重复以上操作数次,处置其余驱动器的疑问。
为防止异常,请备份好注册表及其余要删除的文件。
E盘关上不了怎样办!求助!
开局 运转 输入cmd 确定假设你是e盘打不开的话 输入chkdsk e:/f期待操作完结就好了
我的电脑被被人控制了!
是被人远程控制了吧!特洛伊木马(Trojan horse) 古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。
围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批壮士潜伏在一匹渺小的木马腹内,放在城外后,佯作退兵。
特洛伊人认为敌兵已退,就把木马作为战利品搬入城中。
到了夜间,潜伏在木马中的壮士跳进去,关上了城门,希腊将士一拥而入攻下了城池。
起初,人们在写文章时就罕用“特洛伊木马”这一典故,用来比喻在敌方阵营里埋下伏兵内外夹击的优惠 特洛伊木马没有复制才干,它的特点是伪装成一个适用工具或许一个可恶的游戏,这会诱经常使用户将其装置在PC或许主机上。
“特洛伊木马”(trojan horse)简称“木马”,听说这个称号起源于希腊神话《木马屠城记》。
古希腊有大军围攻特洛伊城,久久无法攻下。
于是有人献计制造一只高二丈的大木马,伪装作战马神,让战士隐匿于渺小的木马中,大部队伪装撤离而将木马抛弃于特洛伊城下。
城中得悉突围的信息后,遂将“木马”作为奇特的战利品拖入城内,全城饮酒狂欢。
到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及到处纵火,城外伏兵涌入,部队内外夹击,焚屠特洛伊城。
后世称这只大木马为“特洛伊木马”。
如今黑客程序借用其名,有“一经潜入,后患无量”之意。
完整的木马程序普通由两个部份组成:一个是主机程序,一个是控制器程序。
“中了木马”就是指装置了木马的主机程序,若你的电脑被装置了主机程序,则领有控制器程序的人就可以经过网络控制你的电脑、得心应手,这时你电脑上的各种文件、程序,以及在你电脑上经常使用的帐号、明码就无安保可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开局可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
详解木马原理 引见特洛伊木马程序的原理、特色以及中了木马后系统出现的状况…… QUOTE: 特洛伊木马是如何启动的 作为一个低劣的木马,自启动性能是必无法少的,这样可以保障木马不会由于你的一次性关机操作而彻底失去作用。
正由于该项技术如此关键,所以,很多编程人员都在不停地钻研和探求新的自启动技术,并且时常有新的发现。
一个典型的例子就是把木马参与到用户经常口头的程序 (例如)中,用户口头该程序时,则木马智能出现作用。
当然,愈加广泛的方法是经过修正Windows系统文件和注册表到达目的,现常罕用的方法关键有以下几种: 1.在中启动 在的[windows]字段中有启动命令load=和run=,在普通状况下 =前面是空白的,假设有后跟程序,比如说是这个样子: run=c:\windows\ load=c:\windows\ 要小心了,这个很或许是木马哦。
2.在中启动 位于Windows的装置目录下,其[boot]字段的shell=是木马青睐的暗藏加载之所,木马理论的做法是将该何变为这样:shell=。
留意这里的就是木马服务端程序! 另外,在System.中的[386Enh]字段,要留意审核在此段内的driver=门路\程序名这里也有或许被木马所应用。
再有,在中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是削减木马程序的好场合,如今你该知道也要留意这里喽。
3.应用注册表加载运转 如下所示注册表位置都是木马喜好的藏身加载之所,赶快审核一下,有什么程序在其下。
4.在和中加载运转 请大家留意,在C盘根目录下的这两个文件也可以启动木马。
但这种加载形式普通都须要控制端用户与服务端建设衔接后,将己参与木马启动命令的同名文件上行到服务端笼罩这两个文件才行,而且驳回这种形式不是很隐蔽。
容易被发现,所以在和Confings中加载木马程序的并不多见,但也不能因此而漫不经心。
5.在中启动 是一个不凡性丝毫不亚于的批处置文件,也是一个能智能被Windows加载运转的文件。
它少数状况下为运行程序及Windows智能生成,在口头了Windows智能生成,在口头了并加截了少数驱动程序之后 开局口头 (这一点可经过启动时按F8键再选用逐渐跟踪启动环节的启动形式可得悉)。
由于的性能可以由替代成功,因此木马齐全可以像在中那样被加载运转,风险由此而来。
6.启动组 木马们假设暗藏在启动组尽管不是十分隐蔽,但这里确实是智能加载运转的好场合,因此还是有木马青睐在这里驻留的。
启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup=c:\windows\start menu\programs\startup。
要留意经常审核启动组哦! 7.* 即运行程序的启动性能文件,控制端应用这些文件能启动程序的特点,将制造好的带有木马启动命令的同名文件上行到服务端笼罩这同名文件,这样就可以到达启动木马的目的了。
只启动一次性的形式:在.中(用于装置较多)。
8.修正文件关联 修正文件关联是木马们罕用手腕 (关键是国产木马,老外的木马大都没有这特性能),比如说反常状况下TXT文件的关上形式为文件,但一旦中了文件关联木马,则txt文件关上形式就会被修正为用木马程序关上,如驰名的国产木马冰河就是这样干的. 冰河就是经过修正HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\本运行Notepad关上,如驰名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 C:\WINDOWS\%l改为 C:\WINDOWS\SYSTEM\%l,这样,一旦你双击一个TXT文件,原本运行Notepad关上该文件,如今却变成启动木马程序了,好歹毒哦!请大家留意,不只仅是TXT文件,其余诸如HTM、EXE、等都是木马的指标,要小心搂。
对付这类木马,只能经常审核HKEY_C\shell\open\command主键,检查其键值能否反常。
9.捆绑文件 成功这种触发条件首先要控制端和服务端已经过木马建设衔接,而后控制端用户用工具软件将木马文件和某一运行程序捆绑在一同,而后上行到服务端笼罩源文件,这样即使木马被删除了,只需运转捆绑了木马的运行程序,木马义会装置下来。
绑定到某一运行程序中,如绑定到系统文件,那么每一次性Windows启动均会启动木马。
10.反弹端口型木马的被动衔接形式 反弹端口型木马咱们曾经在前面说过了,由于它与普通的木马同样,其服务端 (被控制端)被动与客户端 (控制端)建设衔接,并且监听端口普通开在80,所以假设没有适宜的工具、丰盛的阅历真的很难防范。
这类木马的典型代表就是网络神偷。
由于这类木马依然要在注册表中建设键值注册表的变动就不难查到它们。
同时,最新的天网防火墙(如咱们在第三点中所讲的那样),因此只需留意也可在网络神偷服务端启动被动衔接时发现它。
QUOTE: 木马的暗藏形式 1.在义务栏里暗藏 这是最基本的暗藏形式。
假设在windows的义务栏里出现一个莫明其妙的图标,傻子都会明确是怎样回事。
要实如今义务栏中暗藏在编程时是很容易成功的。
咱们以VB为例。
在VB中,只需把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出如今义务栏里了。
2.在义务治理器里暗藏 检查正在运转的进程最繁难的方法就是按下Ctrl+Alt+Del时出现的义务治理器。
假设你按下Ctrl+Alt+Del后可以看见一个木马程序在运转,那么这必需不是什么好木马。
所以,木马会想方设法地伪装自己,使自己不出如今义务治理器里。
木马发现把自己设为 系统服务“就可以轻松地骗过去。
因此,宿愿经过按Ctrl+Alt+Del发现木马是不小事实的。
3.端口 一台机器有个端口,你会留意这么多端口么?而木马就很留意你的端口。
假设你稍微留意一下,不难发现,大少数木马经常使用的端口在1024以上,而且呈越来越大的趋向;当然也有占用1024以下端口的木马,但这些端口是罕用端口,占用这些端口或许会形成系统不反常,这样的话,木马就会很容易泄露。
兴许你知道一些木马占用的端口,你或许会经常扫描这些端口,但如今的木马都提供端口修正性能,你有期间扫描个端口么? 4.暗藏通信 暗藏通信也是木马经常驳回的手腕之一。
任何木马运转后都要和攻打者启动通信衔接,或许经过即时衔接,如攻打者经过客户端直接接人被植人木马的主机;或许经过直接通信。
如经过电子邮件的形式,木马把侵入主机的敏感信息送给攻打者。
如今大局部木马普通在霸占主机后会在1024以上不易发现的上流口上驻留;有一些木马会选用一些罕用的端口,如80、23,有一种十分先进的木马还可以做到在霸占80HTTP端口后,收到反常的HTTP恳求依然把它交与Web主机处置,只要收到一些不凡商定的数据包后,才调用木马程序。
5.暗藏隐加载形式 木马加载的形式可以说千奇百怪,无奇不有。
但异曲同工,都为了到达一个独特的目的,那就是使你运转木马的服务端程序。
假设木马不做任何伪装,就通知你这是木马,你会运转它才怪呢。
而随着网站互动化避程的始终提高,越来越多的物品可以成为木马的流传介质,Java script、VBscript、....简直WWW每一个新性能部会造成木马的极速退化。
6.最新隐身技术 在Win9x时代,繁难地注册为系统进程就可以从义务栏中隐没,可是在Windows2000风靡的当天。
这种方法受到了惨败。
注册为系统进程不只仅能在义务栏中看到,而且可以直接在Services中直接控制中止。
运转(太搞笑了,木马被客户端控制)。
经常使用暗藏窗体或控制台的方法也不能诈骗无所不见的Admlin小孩儿(要知道,在NT下,Administrator是可以看见一切进程的)。
在钻研了其余软件的短处之后,木马发现,Windows下的中文汉化软件驳回的圈套技术十分适宜木马的经常使用。
这是一种降级、更隐蔽的方法。
经过修正虚构设施驱动程序(VXD)或修正灵活遵掇库 (DLL)来加载木马。
这种方法与普通方法不同,它基本上解脱了原有的木马形式---监听端口,而驳回替代系统性能的方法(改写vxd或DLL文件),木马会将修正后的DLL交流系统已知的DLL,并对一切的函数调用启动过滤。
关于罕用的调用,经常使用函数转发器直接转发给被交流的系统DLL,关于一些相应的操作。
实践上。
这样的事前商定好的特种状况,DLL会口头普通只是经常使用DLL启动监听,一旦发现控制端的恳求就激活自身,绑在一个进程上启动反常的木马操作。
这样做的好处是没有参与新的文件,不须要关上新的端口,没有新的进程,经常使用惯例的方法监测不到它。
在平常运转时,木马简直没有任何瘫状,且木马的控制端向被控制端收回特定的信息后,暗藏的程序就立刻开局运作。
英语风暴是什么意思?
就是英语很火的意思,也是软件称号。
English storm
我的电脑里C,D,E盘打不开为什么
关上“我的电脑”-“工具”-“文件夹选项” -“文件类型”,而后系统会找到很类型的文件类型, 你用滚动条找到“驱动器”,点击一下,而后在上方找到“初级”-“新建”-在弹出的对话框里,操作项输入“open,用于口头操作的运行程序输入“C:\WINDOWS\”,[注,不带引号]最后点击确定即可。
首先是用右键关上磁盘,假设不行就进入安保形式右键关上在windows窗口菜单中口头“工具/文件夹选项”,在“检查”里显示一切文件,另把“暗藏收包全的系统文件”勾选去掉。
检追究竟外面有哪些文件,之后把移动磁盘根目录下的自运转等病毒文件删除。
假设不能删除,在“义务治理器”(Ctrl+Alt+Del)中把病毒进程封锁。
另内在“运转”(Win+R)中输入“msconfig”,把启动中病毒制止。
硬盘分区双击打不开的处置方法1、假设各分区下带一类的暗藏文件,删除后最好从新启动电脑。
2、在文件类型中从新设置关上形式(以XP为例) 关上 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(详细选哪个依据你所遇疑问,若属于双击打不开驱动器则选用“驱动器”,打不开文件夹则选用“文件夹”)。
点下方的“初级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可轻易填写,假设有 “open”且指向的是其余生疏的文件则有或许指向的是木马,则选用“编辑”),用于口头操作的运行程序里填写,确定。
随后前往到“编辑文件类型”窗口,选中“open”,设为自动值,确定。
如今再关上分区或文件夹看下,是不是已复原反常? 3、注册表法: a、关于分区不能双击关上者 开局--运转--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的所有删除,而后封锁注册表,按键盘F5刷新,双击分区再看。
b、关于文件夹不能双击关上者 开局--运转--输入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的所有删除,而后封锁注册表,按键盘F5刷新,双击分区再看。
方法二楼主看一下,右击D盘盘符,第一项反常的是“关上”假设第一项出如今是“智能播放“的话,就可以必需是中了‘ROSE”病毒了,’ROSE“病毒是由U盘之类的外接有病毒惹起的,此病毒如今的瑞星等杀毒软件是杀不了的,现提供手动杀毒方法。
如下:1.关上我的电脑,点工具-->文件夹选项-->检查,在初级选项里,把暗藏受包全的操作系统文件(介绍)一项前面的勾号去掉,并将暗藏文件和文件夹下属栏当选中显示一切文件和文件夹. --------此操作为了关上暗藏文件显示,繁难以下操作.2.点击开局--->运转,输入regedit,进入注册表编辑,点编辑--->查找,在查找指标栏 输入 按回车搜查关系键值,查到后,直接删除该键值,而后继续按F3,继续查找剩下关系键值,只需查出即删,普通中毒的系统会发生2个键值,你删除后尽管按F3,知道成功注册表搜查,确保你的注册表里没无关系键值为止.--------此操作为了截断文件的复制源.3.进入你电脑的一切驱动器盘(千万留意:千万不要双击打收盘符,驳回右键点取关上进入!),在每个磁盘的根目录你会看到2个文件及,将你电脑一切盘中的 文件所有删除,切勿遗漏.(每个盘中该病毒仅存在与根目录下,且每个盘切莫双击直接点开!)-------此操作彻底断掉该病毒的可口头文件.4.在成功第三步操作后,你会发现 文件曾经不复存在,然而仍在,且无法删除,刷新后依然出现,不要紧, 从新启动电脑,进入系统,照旧按右键关上进入电脑各盘,再删除一切的 文件,你会发现此次删除成功,--------此步操作扔需留意切莫双击进入电脑各盘,否则前功尽弃!5.重启电脑(务必)重复第2步搜查删除,功败垂成!假设真是ROSE,可以用DOS形式删除.c:\Doc~ings\**\>cd\c:\>attrib -s -h -rc:\>dir/a看是不是出现了和(可用type 对其启入手动修正)繁难点儿就直接删了!其它盘一样c:\>d:这是进入d:盘的方法,不明确的,去网上搜一下就OK要素:E盘下存在智能疏导文件处置方法:删除该文件。
操作环节如下:工具—文件夹选项—检查—暗藏文件和文件夹—选显示一切文件和文件夹删除e盘内文件autorun.而后关上我的电脑刷新一次性。
假设还没恢温习反常就更改E盘的称号后刷新一次性,复原反常后再改回来。
rose病毒:症状:双击盘符无法关上,只能经过右键关上;几天之后删除系统文件,系统无法启动。
审核方法:将文件夹选项--检查中的暗藏受包全的操作系统文件(介绍)前的勾去掉,并在此项上方选用“显示一切文件和文件夹”。
而后关上任一盘符,假设发现有“”和“”文件,则已中毒。
处置方法:手动:完结进程,而后删掉以下文件:各个盘符下的和文件(包含自己的U盘等),c:\windows\system32\,c:\windows\system32\(外面记载着删掉文件的期间),d:\文件;最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run上方的dll键值删掉,而后重启即可。
智能:肃清工具下载地址:而后重启就可以了
