实训08 木马和间谍常用工具 - 指导书(2)

◆将HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\command下的默认值由C:\\windows\\explore32.exe %1改为C:\\windows\\winhlp32.exe %1 。 9．清除“网络公牛Netbull” 1）特点

连接端口23444，服务器端程序Newserver.exe运行后，生在C:\\windows\\system下生成Checkdll.exe文件，计算机重启后自动启动Checkdll.exe，会自动捆绑文件如notepad.exe，regedit.exe，QQ.exe，realplay.exe等。 2）清除方法

◆ 删除自动启动程序C:\\windows\\System\\Checkdll.exe 。

◆ HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Runservices 下删除“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 删除HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 删除HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中的“Checkdll.exe”=“C:\\windows\\system\\checkdll.exe”项。

◆ 检查可能被捆绑的文件，若发现长度增加40K左右，则删除该文件。 ◆ 恢复被删除的文件。 10．清除“无赖小子” 1）特点

连接端口8011，又名火凤凰，对注册表有极强的操控功能，读写受控端的注册表和本地操作一样方便。服务器端程序运行后，在C:\\windows\\system下生成msgsvc.exe。 2）清除方法

◆ 删除C:\\windows\\system下的msgsvc.exe。

◆ 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 中键值为

C:\\windows\\system\\msgsvc.exe的Msgtask项。

任务二 360安全卫士和木马分析专家的使用

一．360安全卫士 1．安装

网址：http://www.360.cn中下载，安装 2．查杀木马程序 点击“杀木马”按钮 3．预防木马程序侵入 1）防范木马程序的基本措施 ◆ 树立预防为主的思想 ◆ 保护帐户的安全 ◆ 做好各种应急准备工作 ◆ 准备查杀木马软件 2）防范木马程序入侵的设置操作

◆ 启动“360安全卫生”→“实时保护” →开启所有防火墙 ◆ 单击“保护360安全卫士”，开启360安全卫士的自我保护 ◆ 使用360安全卫士修复操作系统和应用系统的漏洞 二．木马分析专家 1．安装

简介：木马分析专家能自动分析、终止可疑进程、窗体类型及木马详细资料(如创建时间,文件大小,分析 Config.sys、Autoexec.bat、Winstart.bat、System.ini、Win.ini、注册表Load键值等),并能随时在线升级木马病毒代码特征库,100%查杀各种未知木马。

新增显示与进程及窗体相关的所有详细信息：包括进程ID、优先级、包含的线程数、包含的模块数、进程文件大小、创建时间、访问时间、修改时间、文件的版本信息等。

点击安装程序按提示进行，即可完成 2．木马分析专家的使用 1）轻松防范

“开始——程序——木马分析专家——木马分析专家防火墙”，启动程序 随时监控系统中异常情况，当出现异常活动时立即弹出提示框。

小提示：如果自己计算机里的内容比较重要，当程序提示有异常活动时，建议立即断开网络连接对系统进行全面的检查。 2）防火墙全面应用