病人:我是一名网管,最近在网吧下班时碰到一件烦心事。网吧里的电脑经常一次性性感化七八种病毒(审核发现,关键有“cmdbc木马”、“AVPSrv”、“Torjan.Diskman”等),肃清后不用多久又会智能生成,就像牛皮癣一样。咱们网吧的电脑可都是装有恢复卡的啊,怎样还会感化病毒呢?医生:依据你的形容,这应该是近段期间比拟盛行的“机器狗”病毒,这种病毒相似于“下载者”,会将少量的木马和病毒下载到你的电脑中,其下载的木马关键就是你刚才提到的那几种病毒。最关键的是,“机器狗”病毒是目前对恢复软件、恢复卡破坏才干最强的病毒。“机器狗”目前可以破坏冰点恢复、影子系统等恢复软件,还能破坏三茗、小哨兵等配件恢复卡。被破坏的恢复卡会失去作用,让系统彻底泄露在病毒下。“机器狗”怎样打破恢复卡病人:谢谢医生的解答,我如今对这个“机器狗”病毒有点了解了,可我还想知道它是怎样破解恢复卡的?医生:“机器狗”的运作流程并不复杂,比起熊猫烧香、AV终结者来说要繁难不少。运转后首先会交流系统的Userinit.exe文件,Userinit.exe是Windows操作系统的一个关键进程,用于治理不同的启动顺序,例如用于建设网络链接和Windows壳的启动。病毒应用Userinit.exe的目标是成功隐蔽启动。WWw.iTcOmputeR.COM.cn接着在Windows\system32\drivers文件夹中生成一个名为Pcihdd.sys的驱动文件,病毒正是借助这个驱动文件来成功恢复软件和恢复卡破解的。咱们知道恢复软件和恢复卡之所以能够包全硬盘数据,是由于它具有很高的权限,能够攫取硬盘的控制权,在系统启动之前,将硬盘中的数据恢复。而Pcihdd.sys这个文件会和恢复软件或恢复卡争夺硬盘的控制权,大局部恢复软件和恢复卡的控制权都会被Pcihdd.sys攫取,它们就失去了恢双数据的才干,这样病毒就可以避开恢复卡在硬盘中安营扎寨了。
彻底肃清“机器狗”病毒病人:“机器狗”果真是一个难缠的病毒,尤其是像我这样的网吧治理员,刚处置了烦人的“熊猫烧香”,如今来了个更狠的,真是不胜其烦。请问我该如何肃清“机器狗”病毒?医生:肃清“机器狗”的方法比拟繁难,操作步骤如下:第一步:用反常的Userinit.exe文件交流被修正的Userinit.exe文件。首先新建一个记事本,输入如下内容:@echo offtaskkill /f /im userinit.exedel userinit.exe /f/q/a将这个记事本文件保留为kill.bat,双击运转。而后从其余洁净的电脑中拷贝一份Userinit.exe文件,将它放到system32目录中。第二步:删除pcihdd.sys文件,该文件位于Windows\system32\drivers文件夹中。用记事本关上位于Windows\system32\drivers\etc的HOSTS文件,在最后减少这样一行:127.0.0.1 www.tomwg.com,修正完后保留文件。第三步:用《360安捍卫士》配合杀毒软件肃清系统中残留的盗号木马病毒。第四步:为了更好地预防“机器狗”病毒,咱们可以用批处置将Pcihdd.sys 的文件夹设置为制止修正。批处置关键代码如下:md %systemroot%\system32\drivers\pcihdd.syscacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:ncacls %systemroot%\system32\userinit.exe /e /p everyone:r
总结恢复卡和恢复软件并不是万能的,假设仅宿愿依托它们来防止中毒不太事实。这段期间病毒技术开展得较快,网管和普通用户必定要多加关注,以把握最新病毒的肃清方法。
如何绕过Vista登录验证Vista的一大卖点就是其牢靠的安保性,UAC、内置防火墙等配置把Vista打造得似乎铜墙铁壁。难道真的无法被攻破吗?其实应用输入法破绽,无需输入明码,就可以间接以系统治理员的权限登录系统,口头恣意操作。如此低级但重大的破绽究竟是如何在Vista上重演的呢?发生这样低级的破绽其实也不能齐全怪Vista,存在破绽的《极点五笔输入法》才是罪魁祸首。疑问出在其6.0版本(2007.2.26.0.98)中,当Vista系统装置上该版本的《极点五笔输入法》后,就像两种独立的化学物质,自身不会有反响,但当两者融合在一同的时刻,就会发生猛烈的化学反响,低级的破绽由此降生。破绽触发条件这个破绽的危害性很大,然而要触发这个破绽,也是须要有必定条件的:条件1:6.0版本(2007.2.26.0.98)的《极点五笔输入法》输入法。这是必要前提,只要该版本的输入法存在此破绽,最新的版本曾经填补了破绽。此外,Google输入法最后的1.0版本也存在此破绽。条件2:系统处于锁定形态(按“Windows+L”组合键成功)。当Vista启动到登录界面时,是不会触发破绽的,只要当系统处于锁定形态时,破绽才会被激活。满足这两点后,咱们就可以轻松绕过Vista的明码验证,间接进入系统了。上方咱们来对这个破绽启动测试。绕过系统验证登录Step1:假定以后登录界面处于锁定形态下,点击界面左下角的输入法选用按钮,在发生的菜单当选用《极点五笔输入法》。Step2:点击一下登录界面的空白处,这时会发生《极点五笔输入法》的输入法形态条,在上方点右键,在发生的菜单中依次选用“输入法设置→设置另存为”。Step3:在登录界面会弹出一个文件保留对话框,在这个对话框中咱们可以阅读硬盘中的恣意文件,包含创立和删除文件(图2)!Step4:在对话框中操作文件很不繁难,况且并不能算是真正的入侵,因此咱们可以应用破绽创立一个具有治理员权限的账户,用这个账户进入系统。在对话框的地址栏中输入“c:\windows\system32\net.exe user hacker 123456 /add”(图3),输入终了后点击一下旁边的“行进”按钮,这时会有一个“命令揭示符”窗口一闪而过。只管登录界面看起来没有什么变动,但咱们曾经在系统中创立了一个名为hacker,明码为123456的普通账户。Step5:接上去咱们将它优化为系统的治理员,再次在地址栏中输入“net localgroup administrators hacker /add”并回车,依旧是一个“命令揭示符”窗口一闪而过。OK,如今咱们曾经是系统的治理员了,封锁以后的对话框窗口,点击登录界面上的“切换用户”按钮。接下去请置信你的眼睛,hacker账户曾经俨然出如今了登录界面上(图4)。上方就不用多说了,用hacker账户登录,在Vista系统中纵情的爽吧。至此,咱们曾经成功绕过了Vista的明码验证,成为了系统的治理员。而入侵的环节只要短短的几个步骤,甚至不用借助任何工具,可见这个破绽一旦构成,危害十分渺小。那么关于这个破绽,咱们该如何防范呢?破绽防范技巧在上文中咱们曾经提到破绽构成的两个必要条件,因此只需咱们能处置其中一条,即可防范破绽。方法1:更新《极点五笔输入法》的版本,目前最新版本为6.1正式版,只需更新到最新的版本就可以填补破绽,这是最繁难也是最有效的方法。假设你经常使用的是其余的输入法程序,也倡导启动一下更新,由于Vista系统作为一个新系统,不少输入法都还没做好预备,或多或少都或者存在一些潜在的瑕疵。方法2:假设没有条件更新输入法版本,也没有相关,只需不对以后用户启动“锁定”操作就可以了,咱们也可以用“切换用户”替代,成果是一样的,然而“切换用户”后的登录界面不存在破绽。总结在Windows 2000时代,也发生了一些相似的输入法破绽,为什么输入法会频繁发生这种疑问呢?关键还是输入法自身设计的疑问,由于输入法的协助文件能口头CMD命令,可以被用来减少治理员账户,造成黑客绕过登录验证。很多用户都有不更新输入法的习气,一旦该版本的输入法发生破绽,结果就会很重大。倡导大家活期更新自己的输入法,防止被人偷偷登录。
如何肃清盗号木马网络中胡作非为众多的木马盗取网络买卖账号、失掉用户私密消息以谋取利益,普通用户往往由于对木马不够了解和对安保防范麻木大意,形成重大的结果。许多人都有中木马的教训,那么中了木马怎样肃清,往常怎样防护,请看上方的文章。怎样判别中了木马病人:木马危害真实太大了,那我怎样知道自己的电脑中了木马呢?医生:电脑中了木马后,有时刻会有一些十分典型的症状,比如杀毒软件智能封锁、电脑运转速度变慢、经常有一些生疏网页窗口弹出、系统中某些程序无法运转等;也有时刻症状并不显著,不过咱们可以经过一些蛛丝马迹来初步剖析电脑能否中了木马,比如检查“义务治理器”能否有不相熟的进程(一旦发现则到网上启动搜检查能否是病毒程序),从系统文件夹、注册表、启动程序等检查能否有可疑的文件或名目。上方咱们以感化了近期比拟生动的SoundMan木马的电脑为例来了解一下木马的一些经常出现行为。小知识:SoundMan木马SoundMan木马是应用Realtek声卡相关程序以及图标蛊惑用户的一款“网游木马下载器”,它除了具有普通木马能够屏蔽显示暗藏文件的配置外,还可以用交流服务等形式启动自身,并具有完结杀毒软件和在后盾下载少量网游木马的配置。1.暗藏文件曾经无法显示关上一个文件夹,在上方菜单当选用“工具/文件夹选项”,在“检查”中勾选“显示一切文件和文件夹”,并去掉“暗藏已知文件类型的裁减名”前面的勾。经过这样的操作后,暗藏文件还是无法显示。
揭示:一旦发现设置了“显示一切文件和文件夹”,而系统仍无法显示暗藏文件的话,必定要惹起足够的注重,极有或者有木马入侵。2.检查System32文件夹进入System32文件夹中(假定Windows XP装置在C盘),可以发现木马创立了ineters.exe、SoundMan.exe、tthh3.ini这三个文件(编注:之前咱们曾经对显示暗藏文件做了处置)。揭示:木马普通会在系统文件夹System32中监禁病毒文件以及相关的ini文件,假设疑心中了木马,留意审核此文件夹中那些在发生中毒症状前后所创立的文件。3.检查用户账户单击“开局/设置/控制面板”,双击“用户账户”,假设发现电脑中的Guest账户无端被激活,或是多出其它的生疏账号,例如名为Microsoft的账户,也要提高警觉,这也是感化木马的一个典型特色。4.检查auto文件当系统中了SoundMan.exe木马后,只需有新的可移动存储接入,此木马便会写入auto.exe和autorun.inf 文件,所以咱们在鼠标右键菜单中发现有auto、autorun任何一个选项,或是在移动硬盘或闪存根目录下检查发现auto.exe和autorun.inf 这两个文件,则证实中毒。揭示:如今的木马普通都会应用移动存储设置的智能播放配置启动病毒的写入和流传,所以假设在硬盘分区以及移动存储设施根目录下发现auto.exe和autorun.inf 这两个文件,则电脑与移动硬盘都曾经中毒。除了审核上方那些中央外,咱们还可以从以下几个木马青睐青睐藏身的中央来查找蛛丝马迹。一是从“Win.ini”文件判别能否中毒。应用记事本关上“C:\Windows”目录下的Win.ini文件。在文件的[windows]字段中查找启动命令“load=”和“run=”前面能否跟有程序,在普通状况下“=”前面是空白的,假设在“=”号前面跟着程序(图2),那普通是中了木马病毒。二是从“System.ini”文件判别能否中毒。应用记事本形式关上位于“C:\Windows”目录下的“System.ini”文件,假设发现[boot]字段中“shell=Explorer.exe”后减少了程序,普通都是木马服务端程序。另外,在System.ini中的[386Enh]字段,要留意审核在此段内的“driver=门路\程序名”,这里也有或者被木马所应用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是减少木马程序的好场合,所以也须要启动审核。三是关上注册表编辑器启动查找。木马普通会应用注册表中的Run、RunServices、RunOnce等子项来加载,在“开局”/“运转”中输入“regedit”进入注册表编辑器,在以下几个中央启动检查。(1)注册表中的启动项检查“HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”下的RunServices、Run、RunOnce下能否有可疑名目。假设发现其中加载了一些生疏程序到系统文件夹中,那么则或者中了木马病毒。(2)文件关联键有些木马还会经过修正注册表中的某一类型文件的键值来加载程序。审核“HKEY_CLASSES_ROOT\XXX(编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile)\shell\open\command”子键中“自动”值:““%1” %*”;审核“HKEY_LOCAL_MACHINE\Software\CLASSES\ XXX(编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile)\shell\open\command”子键中“自动”值:““%1” %*”。这些“%1 %*”可以被赋值,假设发现自动值被修正,例如病毒木马将其改为“muma.exe %1 %*”,则或者中毒。横扫网络木马病人:我曾经中了木马,应当怎样肃清?医生:假设电脑系统分区中没有关键数据,那么应用备份及一键恢复间接从新恢复系统是最繁难的方法。假设无法这样做,可以用一些工具软件来帮助清算木马。目前很多木马病毒,譬如本例中的SoundMan.exe能够删除安保软件的启动名目、劫持安保/杀毒软件,并且衔接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安保软件,而后应用杀毒软件或专杀工具来肃清木马。下载SREng软件并更改称号运转,首先对注册表中的RUN键启动修复,选用“系统修复”选项中的“注册表”选项卡,删除未知的启动名目,比如门路为系统文件夹(C:\win dows\system32或C:\winnt\system32)中的Sound Man.exe木马病毒程序启动项(图3)。揭示:除了“注册表”启动项外,咱们最好进入 “启动名目”中的“Win.ini”、“System.ini”等选项中启动检查并肃清相关联的病毒加载项,免得病毒死灰复燃。而后再选用“系统修复”中的“文件关联”选项,勾选失误的文件关联,单击“修复”按钮,修复被木马病毒劫持的程序,包含杀毒软件和一些安保工具等。为了防止激活木马,在“系统修复”的“初级修复”选项中单击下方“修复安保形式”对电脑安保形式启动修复,最后进入到安保形式下启动杀毒软件病毒库的更新及病毒查杀,同时下载木马病毒的专杀工具对木马及病毒启动扫描肃清。揭示:除了应用SREng软件启动修复 ,咱们还可以应用小工具包来启动系统修复,小工具包在电脑报网站启动下载,关上工具包后,双击恢复显示暗藏文件.REG导入注册表,再关上Icesword软件,肃清系统文件夹中的病毒文件、经常使用IFEO映像劫持修停工具修复被劫持的杀毒软件及安保软件,最后就是用杀毒软件启动查杀。小工具下载上去后改名后再经常使用,免得被木马病毒劫持。如何预防木马病人:木马只管曾经肃清了,然而我怎样防止以后电脑再被木马侵袭呢?医生:为了更好的包全系统不遭到破坏,打好咱们的网游账号捍卫战,除了为一个齐全洁净无毒系统做个备份,咱们还可以经过以下的方法来启动网游木马的预防。1.必定装置杀毒软件及防火墙,并对其启动更新,相应系统补丁也要随时更新,还要活期启动病毒木马扫描。2.装置游戏账号包全软件目前有很多专门针对网游账号包全的安保工具,它们采取的原理不同,但对游戏账号都有必定的包全作用,条件准许的状况下可装置这样的包全软件。如何选用,可参考本期F7版的评测。3.经过注册表设置,阻止病毒经过IFEO劫持杀毒软件,详细操作方法:单击“开局”→“运转”,在命令行中输入regedt32,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,右键单击此选项,在弹出的菜单当选用“权限”,而后把Administrors用户组和Users用户组的权限所有敞开。
应用注册表限度IFEO的读写权限
总结养成安保的电脑操作习气+严密的安保设置+活期审核这三大强效剂,咱们齐全可以让病毒木马远离自己的电脑系统,玩网络游戏时再也不用担忧和木马亲密接触!然而由于杀毒软件以及安保工具的设置及经常使用须要必定的电脑基础,整个木马产业链由于缺少相关法律有效的监控而开展的越来越大,造成许多对电脑安保设置不相熟的用户遭逢木马侵袭围歼,用户的私密消息一旦被不法分子把握,将会给用户形成重大的结果。咱们呐喊除了电脑用户增强自身的电脑安保看法和技艺外,还须要国度法律以及网络监管部门一同携手,独特打造一个安保的网络环境!