Trucos ocultos y métodos de verificación para eliminar troyanos del sistema
Chen Jian·Chen Jian
05 Computer Business School Universidad de Finanzas y Economía de Xinjiang 05 Computer Xinjiang University of Finance and Economics Business School
402444206@qq.com
Resumen: Cada vez hay más tipos y cantidades de troyanos en la red. Cómo encontrarlos y eliminarlos es una tarea difícil. Resumen: Cada vez hay más tipos y cantidades de troyanos en la red. Encontrarlos y eliminarlos es una tarea difícil.
Palabras clave: comprobación y eliminación de troyanos del sistema Palabras clave: comprobación y eliminación de troyanos del sistema
1. Prólogo
El "caballo de Troya" dentro del sistema es un dolor de cabeza. Primero, presentaremos los trucos ocultos y los métodos de carga automática de los programas troyanos, y luego presentaremos las contramedidas contra estos trucos. En el sistema, los "caballos de Troya" son algo muy problemático. A continuación, primero presentamos los trucos ocultos de los caballos de Troya, el método de carga automática y las contramedidas contra estos trucos.
2.
Los programas troyanos harán todo lo posible para ocultarse. Los métodos principales son: Los programas "caballo de Troya" se ocultarán solos. cualquier rastro. , sus principales métodos incluyen:
1. Ocultarse en la barra de tareas: Este es el más básico. Siempre que la propiedad Visible del formulario esté establecida en False y ShowInTaskBar esté establecida en False, el programa no aparecerá en la barra de tareas mientras se esté ejecutando. 1. La barra de tareas se oculta: esto es lo más básico, siempre que la propiedad Visible del formulario sea False y ShowInTaskBar esté configurada en False, no aparecerá en la barra de tareas en tiempo de ejecución.
2. Invisible en el Administrador de tareas: siempre que el programa esté configurado en "Servicio del sistema", el troyano puede disfrazarse fácilmente. 2. Invisible en el Administrador de tareas: siempre que el troyano esté configurado en "Servicio de ecosistema". Por supuesto, también empezará silenciosamente. Los usuarios no hacen clic en el icono del caballo de Troya para ejecutar el servidor cada vez que inician, por lo que el caballo de Troya cargará automáticamente el servidor cada vez que el usuario inicie, así como el método para cargar aplicaciones automáticamente cuando se inicia el sistema Windows, como grupo de inicio, win.ini, system.ini, registro, etc. son buenos lugares para que los caballos de Troya se escondan. Por supuesto, se iniciará silenciosamente. Los usuarios no siempre harán clic en el icono del "Caballo de Troya" para ejecutar el servidor después de iniciarlo. El "Caballo de Troya" cargará automáticamente el servidor cada vez que el usuario lo inicie, y el sistema Windows lo hará automáticamente. Cargue la aplicación cuando se inicie. Es posible que el "caballo de Troya" deba utilizar métodos como: Grupo de inicio, win.ini, system.ini, registro, etc., todos son buenos escondites para el "caballo de Troya".
Compruebe si el caballo de Troya se carga automáticamente en el archivo win.ini. En [WINDOWS], "run=" y "load=" son formas posibles de cargar programas troyanos, así que asegúrese de prestar mucha atención. Al ver que "Trojan" se carga automáticamente en el archivo win.ini en [WINDOWS], "run=" y "load=" pueden cargar el programa "Trojan", lo que significa que debe tener cuidado. En general, no tienen nada después del signo igual. Si encuentra un archivo de inicio con una ruta y un nombre de archivo con los que no está familiarizado, es posible que su computadora sea un caballo de Troya. En circunstancias normales, no hay nada que los pueda equiparar. Si descubrimos que su archivo de inicio sigue una ruta y un nombre de archivo desconocidos, su computadora puede estar infectada por un "caballo de Troya". Por supuesto, hay que ver con claridad. Porque muchos "troyanos", como "AOLTrojan Trojan", se disfrazarán como archivos command.exe. Si no tiene cuidado, es posible que no descubra que no son archivos de inicio del sistema reales.
Por supuesto, hay que mirar con atención, porque con muchos "troyanos", como "Oltrojan Trojan", que se identifica como command.exe, tenga en cuenta que es posible que no se encuentre si no es un archivo de inicio real del sistema. . En el archivo system.ini, hay un "shell=nombre de archivo" en [BOOT]. en el sistema. Hay un "shell=nombre de archivo" en el archivo ini. El nombre de archivo correcto debe ser "explorer.exe". Si no es "explorer.exe" sino "shell=nombre del programa explorer.exe", entonces el siguiente programa es un programa de "caballo de Troya", lo que significa que ha ganado el caballo de Troya. El nombre de archivo correcto debe ser "explorer.exe". Si no es "explorer.exe" sino "shell = nombre del programa explorer.exe", entonces el siguiente programa es un programa "caballo de Troya", lo que significa que tiene "troyano". caballo". La situación en el registro es la más compleja. Abra el Editor del Registro mediante el comando regedit. Haga clic en: "versión clave de Windows del software de la máquina local en ejecución" para verificar si hay un archivo de inicio automático desconocido en el valor clave con la extensión EXE. Recuerde aquí: los archivos generados por algunos "caballos de Troya" son muy similares a los archivos que vienen con el sistema, tratando de burlar el sistema disfrazándose. Por ejemplo, "AcidBatteryv1.0 Trojan", cambie el valor de la clave del Explorador en el registro "Ejecutar el software de la máquina local de la clave de la versión actual de Windows" a Explorer = "C:\Windows Explorer.Exe", y en el programa troyano y el real La única diferencia entre los Exploradores es "I" y "L". En el registro más complejo, abra el editor de registro mediante el comando regedit, haga clic en el directorio "HKEY-LOCAL-machinesoftwaremicrosoftwindowscurentversionrun" y vea que hay un archivo de inicio automático de clave de registro desconocido con la extensión EXE. Recuerde aquí: Sí, el. El programa "Caballo de Troya" genera un archivo similar al propio archivo del sistema, intentando pasar disfrazándolo. Por ejemplo, el "Caballo de Troya acitbatteryv 1.0" cambiará el registro "HKEY-LOCAL-machinesoftwaremicrosoftwindowscurentversion". lugares del registro donde se pueden ocultar los troyanos. Por ejemplo, "HKEY: se está ejecutando la versión actual del software del usuario actual de Microsoft Windows" y "HKEY: se está ejecutando la versión actual del software del usuario actual de Microsoft Windows". nombre del programa "caballo de Troya" en "Software de máquina local HKEY en ejecución" y luego búsquelo en todo el registro. Por supuesto, hay muchos lugares en el registro donde se puede ocultar el programa "caballo de Troya", como por ejemplo: Directorio "HKEY-current -User Software Microsoft Windows Secure Version Run", "HKEY-User Software Microsoft Windows Secure Version Run", la mejor manera puede ser encontrar el programa "HKEY-Local-Machine Software Microsoft Windows Secure Version Run" Trojan nombre del archivo, y luego puede buscar en todo el registro. Matar troyanos Sabiendo cómo funcionan los troyanos, matar troyanos se vuelve muy fácil. Matar "troyanos" sabe cómo funcionan los "troyanos". Si se encuentra un caballo de Troya, la forma más segura y efectiva es desconectar inmediatamente la computadora de la red para evitar que los piratas informáticos lo ataquen a través de la red. La forma más segura y efectiva es desconectar inmediatamente su computadora de Internet para evitar que los piratas informáticos ataquen. usted a través de Internet
¿Está lo suficientemente claro
?