教大家防木馬的辦法，只針對(duì)網(wǎng)頁(yè)木馬，有效率90%以上，可以防止90%以上木馬在你的機(jī)器上被執(zhí)行，甚至殺毒軟件發(fā)現(xiàn)不了的木馬都可以禁止執(zhí)行。先說(shuō)一下原理。
現(xiàn)在網(wǎng)頁(yè)木馬無(wú)非有以下幾種方式中到你的機(jī)器里
1：把木馬文件改成BMP文件，然后配合你機(jī)器里的DEBUG來(lái)還原成EXE，網(wǎng)上存在該木馬20%
2：下載一個(gè)TXT文件到你機(jī)器，然后里面有具體的FTP^-^作，F(xiàn)TP連上他們有木馬的機(jī)器下載木馬，網(wǎng)上存在該木馬20%
3：也是最常用的方式，下載一個(gè)HTA文件，然后用網(wǎng)頁(yè)控件解釋器來(lái)還原木馬。該木馬在網(wǎng)上存在50%以上
4：采用JS腳本，用VBS腳本來(lái)執(zhí)行木馬文件，該型木馬偷QQ的比較多，偷傳奇的少，大概占10%左右
5：其他方式未知。。。。。。。。。。。。。
現(xiàn)在我們來(lái)說(shuō)防范的方法。。。。。。。。。不要丟金磚
那就是把 windows\system\mshta.exe文件改名，
改成什么自己隨便  (s個(gè)屁和瘟2000是在system32下)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下為Active Setup controls創(chuàng)建一個(gè)基于CLSID的新鍵值 {6E449683_C509_11CF_AAFA_00AA00 B6015C}，然后在新鍵值下創(chuàng)建一個(gè)REG_DWORD 類型的鍵Compatibility，并設(shè)定鍵值為0x00000400即可。 

還有windows\command\debug.exe和windows\ftp.exe都給改個(gè)名字 (或者刪除)

一些最新流行的木馬 最有效果的防御~~
比如網(wǎng)絡(luò)上流行 的木馬 smss.exe 這個(gè)是其中一種木馬的主體 潛伏在 98/winme/xp c:\windows目錄下 2000 c:\winnt .....
假如你中了這個(gè)木馬  首先我們用進(jìn)程管理器結(jié)束 正在運(yùn)行的木馬smss.exe     然后在C:\windows 或 c:\winnt\目錄下 創(chuàng)建一個(gè) 價(jià)的 smss.exe 并設(shè)置為只讀屬性~ （2000/XP NTFS的磁盤格式 的話那就更好 可以用“安全設(shè)置” 設(shè)置為讀取） 這樣木馬沒了~ 以后也不會(huì)在感染了   這個(gè)辦法本人測(cè)試過(guò)對(duì)很多木馬
都很有效果的 

經(jīng)過(guò)這樣的修改后，我現(xiàn)在專門找別人發(fā)的木馬網(wǎng)址去測(cè)試，實(shí)驗(yàn)結(jié)果是上了大概20個(gè)木馬網(wǎng)站，有大概15個(gè)瑞星會(huì)報(bào)警，另外5個(gè)瑞星沒有反映，而我的機(jī)器沒有添加出來(lái)新的EXE文件，也沒有新的進(jìn)程出現(xiàn)，只不過(guò)有些木馬的殘骸留在了IE的臨時(shí)文件夾里，他們沒有被執(zhí)行起來(lái)，沒有危險(xiǎn)性，所以建議大家經(jīng)常清理 臨時(shí)文件夾和IE。

最新評(píng)論