殺除暗藏木馬方法介紹
實現在很多人說到掛馬,還是比較擔心自己的安全,畢竟現在太多的牛人來打造免殺木馬,但是我卻不把這些木馬放在眼裡,為什麼?下面由小編給你做出詳細的!希望對你有幫助!
:
這裡牽扯到一個許可權依賴的問題,舉個簡單的例子,一個惡意網頁,用一個具有管理員許可權的使用者去訪問馬上就中,但是用一個遊客使用者去訪問卻什麼事都沒有,這就是所謂的許可權依賴問題。
大家現在應該清楚我不怕網站掛馬的原因了吧,就是利用許可權來防禦,我在這裡建議大家上網時最好不要用具有管理員許可權的使用者,但是你硬要使用也可以,但是你要設定一番,設定兩個具有管理員許可權的使用者,一個用來安裝程式,一個用來上網,安裝程式的那個使用者不用設定什麼許可權,但是上網的這個使用者卻要好好設定一番了,Windows目錄***只是windows本身的目錄不包括子目錄***及system和system32目錄設定上網的那個使用者只具備讀取許可權,這個用意我想大家都清楚吧,然後是登錄檔的許可權,設定登錄檔許可權也是一個重點,
殺除暗藏木馬:
注意:2000的登錄檔許可權設定和XP/2003不一樣。另外還有一些鍵值。
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_CLASSES_ROOT\inffile\shell\open\command
HKEY_CLASSES_ROOT\inifile\shell\open\command
以上4個鍵值是一些常用檔案的關聯。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
這個鍵值是關於系統隱藏屬性的。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
這兩個鍵值是系統預設主頁的。
HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
這個鍵值是關於使更改預設主頁按鈕為灰色不可用的。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
以上鍵值是關於自啟動檔案的。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
這個鍵值是關於系統服務的。以上這些鍵值在你對系統設定好以後再去取消使用者的完全控制權限,只給予使用者讀取許可權這只是一部分,比較常見的,當然不是全部。如果大家還有什麼其他的見解請請一起來討論下吧。
殺除暗藏木馬方法:
其實不知道大家注意到沒有,對於一些頑固的檔案也可以用許可權限制來進行刪除,比如在正常模式及安全模式下都無法刪除的檔案,但是在這些檔案在DOS下卻很容易就刪除了,原理很簡單,那就是系統在啟動時是使用者本身或系統去呼叫那個檔案導致刪除不成功,但是我們不允許任何使用者去訪問這個檔案呢,先把這個檔案的全部訪問使用者都刪除,然後重起後再給予這個檔案使用者的完全控制權限來進行刪除,有的檔案在登出後就可以刪除了,但是我在這裡還是建議大家重起後再進行刪除。