ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心安全防范教你手工查杀免杀的捆绑木马
站内搜索:

教你手工查杀免杀的捆绑木马


2009/3/19  编辑:佚名 来源:本站整理 

 木马为了达到隐藏传播的目的,一般会和一个正常的软件捆绑在一起,别人下载回来,运行了正常的软件,后台同时也运行了捆绑在一起的木马,成为了他人肉鸡,自己的电脑就会任人宰割,密码被盗、文件丢失或出现其他的问题等等。

  1、什么是捆绑的木马文件?

  捆绑的木马文件就是将两个或两个以上的文件合成为一个文件,并能使两个或两个以上的文件同时正常运行的。但是我们只能看到其中一个文件运行状态和使用,其他的木马文件全部后台运行。

  2、那么我们怎样来防范和发现并消灭木马呢?

  一、靠杀毒软件;二、手工检测;三、其他方法。

  虽然木马和捆绑好的文件,一般情况下,会被杀毒软件发现的,但是光靠杀毒软件是不可靠的,目前网上有不少朋友都能做出免杀木马和免杀的捆绑软件,逃过杀毒软件追杀,使木马安逸的住在肉鸡的电脑里,为主人随时登入肉鸡的电脑做好准备。

  手工检测和查获免杀的捆绑木马---

  使用工具:木马辅助查找器2006.exe

  测试工具:1、免杀万能捆绑器.exe或憾天雷文件合并器.exe、撼天雷免杀捆绑机3.2.exe

  2、灰鸽子 VIP1.2撼天雷免杀版的灰鸽子服务端一个

  A、先自己制造个捆绑文件:正常文件.exe + 灰鸽子服务端(stup.exe)=捆绑文件.exe

  B、运行“木马辅助查找器2006.exe”,选“其他工具”,找到“文件监视器”,软件默认是“监视目录C:/       ”,点“开始监视”,准备工作OK

  C、运行“捆绑文件.exe”,这时我们可以看到“监视结果”中的提示

  新建 C:\WINDOWS\System32\HTL_Server.exe

  修改 C:\WINDOWS\System32\HTL_Server.exe

  新建 C:\WINDOWS\System32\Deleteme.bat

  修改 C:\WINDOWS\System32\Deleteme.bat

  删除 C:\Documents and Settings\Administrator\桌面\灰鸽子 VIP1.2撼天雷版\服务端程序.exe

  删除 C:\WINDOWS\System32\Deleteme.bat

  修改 C:\Documents and Settings\Administrator\Local Settings\Temporary InternetFiles\Content.IE5\index.dat

  修改 C:\Documents and Settings\Administrator\Cookies\index.dat

  修改 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat

  这二条提示,就是后台运行的灰鸽子服务端后门

  新建 C:\WINDOWS\System32\HTL_Server.exe

  修改 C:\WINDOWS\System32\HTL_Server.exe

  D、我们重启电脑,按F8进入“安全模式”,在“C:\WINDOWS\System32\”目录下,找到“HTL_Server.exe”文件,删除就OK了

参考消息:http://www.arpun.com/  这只是一个例子,大家自己何不自己试试,呵呵

更多精彩,请查看本类栏目: 安全防范
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/2515.html

相关文章
  • ·滴滴连环拼怎么用 教你怎么打车最便宜
  • ·[图文]牛津大学博士教你如何用数学分辨阴谋论的真假
  • ·[图文]教你用iPhone拍出完美月亮
  • ·教你轻松玩转iOS9相册
  • ·[图文]手把手教你把16G iPhone6 Plus变成128G
  • ·[图文]教你为iPhone6s设置无线热点
  • ·[图文]教你在iPhone上查看iOS8.4.1验证是否关闭
  • ·[图文]iOS9.1 beta1微信用不了 教你降级至iOS9GM版
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图