|
 | 作者: cxhyom [cxhyom]
 论坛用户 |
登录 |
| 请问各位大虾们,如何在注册表编辑里RUN这项辨别哪些程序是木马程序,也就是从电脑表面上看不出来的那些程序。 谢谢~ |
| 地主 发表时间: 10/31 23:33 |
 | 回复: ma2751_cn [ma2751_cn]  |
登录 |
|
很简单```` 全部删除REN里的键,然后在控制面版里添加回输入法和小喇叭就OK了`` 反正删除注册表里的RUN没什么问题的``` |
| B1层 发表时间: 11/01 08:55 |
| 回复: Bcat [lanjiang91] 论坛用户 |
登录 |
|
大部分你是可以删的。留输入法,声音就可以了。 |
| B2层 发表时间: 11/01 13:42 |
 | 回复: ywyjz [ywiccyjz] 论坛用户 |
登录 |
|
补充一点:还有防火墙记得加 |
| B3层 发表时间: 11/01 16:38 |
| 回复: xiucaili [xiucaili] 论坛用户 |
登录 |
|
我看你在看到EXE文件如实你常见的别的文件变成了那就是了吧? |
| B4层 发表时间: 11/01 18:38 |
| 回复: flywg [flywg] 论坛用户 |
登录 |
|
你想你的电脑在有病毒的时候,是有反应的,这样可以根据一些珠丝马迹来找出病毒的那一项,还有你可以把RUN这个键值事先导出来,以后可以对比。 |
| B5层 发表时间: 11/01 18:39 |
 | 回复: ceo_8008 [ceo_8008] 论坛用户 |
登录 |
|
TMD,你的ID还是在我的电脑上申请的 连我也不问 这个简单,如果太多无法确认的话,你可以看一下路径 一般都可以看出个大概出来 系统的就那么几个,看一次就知道了 |
| B6层 发表时间: 11/01 19:01 |
| 回复: cxhyom [cxhyom] 论坛用户 |
登录 |
|
谢谢楼上各位的答复~~~ To:寒枫 我上了啊,看不到你在线啊,QQ都不敢上,哈哈~~~ |
| B7层 发表时间: 11/01 20:42 |
| 回复: drckness [drckness] 论坛用户 |
登录 |
|
我想用一句很正宗的中国话来说:“小日本!我尻你祖宗十八代!!!” |
| B8层 发表时间: 11/02 02:07 |
 | 回复: joey [joey] 论坛用户 |
登录 |
|
(转)参考一下!如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明: 1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它 2、启动注册表编辑器,查看以下几个地方: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ... 看看启动表项里是否有可疑的程序 HKEY_CLASSES_ROOT\exefile\shell\open\command 看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %* HKEY_CLASSES_ROOT\inffile\shell\open\command 看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEP AD.EXE %1 HKEY_CLASSES_ROOT\inifile\shell\open\command 看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEP AD.EXE %1 HKEY_CLASSES_ROOT\txtfile\shell\open\command 看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEP AD.EXE %1 记录下来,暂时不要更改 3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载 一个 Active Ports 用来看端口与进程的关系,找出使用异常端口的进程 4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护 文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来 5、开始->程序->启动中是否有奇怪的启动文件 综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了 :D 6、清除木马的顺序是: 先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件 注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者 自己写写试试,就当是练习 coding) 另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件 一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进 程在监视这个表项。 |
| B9层 发表时间: 11/02 09:34 |
 | 回复: lzf1981721 [lzf1981721]  论坛用户 |
登录 |
|
把输入法,声音留下好了 |
| B10层 发表时间: 11/04 17:35 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 一个很菜的问题,但对我来说很重要。