注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

蓝调5301438的知识仓库

蓝调千人QQ群:189619078

 
 
 

日志

 
 

3..菜鸟除马记  

2012-04-17 14:32:14|  分类: 电脑知识 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

  电脑木马知识

3..菜鸟除马记 - 张佩辰 - 张佩辰之家

3..菜鸟除马记 

        3..菜鸟除马记 - 张佩辰 - 张佩辰之家

 作为一名菜鸟,我对电脑的安全问题一向不太重视,即使在查看防火墙日志时也不过感叹一声了事,至于为什么每天都有那么多男男女女、老老少少拼命要挤进我的机器里却从未深究。直到有一天,我的同事在她的电脑上接到一条莫名其妙的Message。上面写道:“Hello啊,goodluck到此一游,能不能交个朋友?”同事一看花容失色,病急乱投医,委我以除“马”重任,于是乎上演了一出“菜鸟除‘马’记”。

  因为不知道中的到底是什么木马,我首先打开任务管理器进行了一番侦察,果然在这里看到一个名为Diagcfg的陌生进程,一查原来这个Diagcfg有个官名叫“广外女生”。按照网上所教的清除方法首先在任务管理器中关闭了它的进程,再启动到纯DOS模式下,删除了System目录下的Diagfg.exe。随后找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”。回到Windows模式下,运行Windows目录下的Regedit.com程序找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其值改为“"%1" %*”就万事大吉了。可我却怎么也打不开这个更名后的注册表,系统不厌其烦地提示“找不到用来打开.com文件的Diagcfg程序”,找不到,就是找不到。

  我愁啊愁,忽然想到打不开扩展名为COM和EXE的文件是不是可以通过修改文件扩展名关联的文件类型来恢复呢?于是重启Windows 2000,按[F8],选择带命令行的提示的安全模式,这次可以使用命令提示符了。在提示符c:\下输入help,看到下面两条命令:

  ASSOC Displays or modifies file extension associations

  显示或修改文件名扩展关联

  FTYPE Displays or modifies file types used in file extension associations

  显示或者修改在文件名扩展关联中使用的文件类型

  接着在c:\下输入命令ftype |more,找到这样两条语句:

  comfile=c:\winnt\system32\diacfg.exe(大概是这样,有点记不清了)

  exefile=c:\winnt\system32\diacfg.exe

  果然comfile和exefile成了diacfg的傀儡,而实际上正确的语句应该是:

  comfile="%1" %*

   exefile="%1" %*

  终于找到问题的根本了,现在只要将comfile和exefile的路径改回来,就离成功不远了吧?好吧,来看看ASSOC和FTYPE的正确用法。

  C:\>help assoc

  显示或修改文件扩展名关联

  ASSOC .ext=fileType

  .ext 指定跟文件类型关联的文件扩展名

  fileType 指定跟文件扩展名关联的文件类型

  键入 ASSOC 而不带参数,显示当前文件关联。如果只用文件扩展名调用 ASSOC,则显示那个文件扩展名的当前文件关联。如果不为文件类型指定任何参数,命令会删除文件扩展名的关联。

  然后再看看ftype:

  C:\>help ftype

  显示或修改用在文件扩展名关联中的文件类型

  FTYPE fileType=openCommandString

  fileType 指定要检查或改变的文件类型

  openCommandString 指定调用这类文件时要使用的开放式

  键入 FTYPE 而不带参数显示当前有定义的开放式命令字文件类型。 FTYPE 仅用一个文件类型启用时,它显示那个型目前的开放式命令字符串。如果不为开放式命令字符串指FTYPE 命令将删除那个文件类型的开放式命令字符串。在一开放式命令字符串之内,命令字符串 %0 或 %1 被通过关联的文件名所代替。%* 得到所有的参数,%2 得到第一个参数%3 得到第二个,等等。 %~n 得到其余所有以 nth 参数打头参数;n 可以是从 2 到 9 的数字。例如:

  ASSOC .pl=PerlScript

  FTYPE PerlScript=perl.exe %1 %*

  看明白这两个命令的用法后,就该动手操作了。

  C:\>assoc .exe=exefile

  系统提示:exe=exefile

  C:\>ftype exefile=″%1″ %

  系统提示:exefile=″%1″ %]

  再ftype一下,comfile和exefile已经修改成功。重启系统,试着点击Regedit.com,呵呵,注册表大人终于跳了出来,EXE文件也死而复生了,删除掉注册表中Diagcfg的相关项,菜鸟激动地向MM宣布:“木马被本帅驱逐出境了”。

  然而我高兴得太早了,还没等我合上嘴巴,另一种木马灰鸽子又堂而皇之地窜了进来, 并且明目张胆地盘踞在启动栏上,做翘首盼望状。

  菜鸟痛哭着进入注册表,依次打开HKEY_LOCAL_MACHINE、SOFTWARE、WINDOWS CURRENTVERSION,只见Run和Runservices均有HGZ的魔影,路径是c:\winnt\system32\HGServer.exe。

  根据经验,菜鸟依葫芦画瓢首先到任务管理器中关闭了灰鸽子的进程,然后进入DOS状态下。执行del hgserver.exe,哪知系统一点儿情面不给,提示“找不到c:\winnt\system32\hgserver.exe”,用dir hgserver.exe查看,同样提示“找不到文件”。看来修改了文件的属性,只好一不做,二不休,干脆来个attrib -r -a -s -h hgserver.exe ,这回再del hgserver.exe,总算提示删除成功了。随后赶紧修改注册表,关闭了一些不必要的服务和端口,又急急忙忙装了个防火墙,这才松了一口气。

  值得庆幸的是,幸亏这次遇到的黑客好像也是菜鸟级的,不然以我菜鸟级的功力怎么能抵挡得住?今后再也不能掉以轻心了。

 

                          

3..菜鸟除马记 - 张佩辰 - 张佩辰之家

 

  评论这张
 
阅读(102)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017