104种木马的清除方法

内容提要：1. 冰河v1.1 v2.2 　　这是国产最好的木马 　　清除木马v1.1 　　打开注册表Regedit 　　点击目录至： 　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　　查找以下的两个路径，并删除 　　 ……

IP或WinRAR中显露原形。而用本方法隐藏的目录不会被显示在上述软件中，它们只能看到受保护文件夹的上一层目录，而无法看到里面隐藏的内容。
以ACDSee为例，左上窗口有Windows树型目录结构，右边主窗口能显示文件夹中的文件，包括具有“隐藏”属性的文件。找到我们隐藏目录和文件的那个E盘，看，根本无法看到goodluck123文件夹里面的test目录，如图3所示。同理，使用杀毒软件也无法扫描该文件夹的内容，在资源管理器中也无法删除该目录。
为了更好地隐藏木马文件，入侵者还可能在此方法的基础上略微变通一下。比如，进入C: ecycled（回收站）目录下，用文中刚开始提到的方法建立超长目录，并把要隐藏的木马文件移动到其中，选定这些文件后按右键，在弹出菜单中选择“属性”，将其属性设置为“隐藏”，这样，在Windows中就看不到这些文件了，清空回收站也依然存在。而且，入侵者利用特殊文件夹同样可以取得这样的功效，比如C:windows onts等。

图3
接下来修改一下注册表，让文件更彻底地隐藏起来。在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支，修改DWORD值CheckedValue的键值为0（默认为1，如果没有该DWORD值，可以新建），如图4所示，关闭注册表编辑器，按F5键刷新桌面，这些文件就隐藏得更深了。我们进入隐藏文件的那个回收站后，将什么都看不到。

图4

利用这种方法隐藏目录和文件非常巧妙，原因有三：一是别人想不到回收站中藏有秘密；二是修改注册表后这些隐藏起来的文件和目录更隐蔽了，在Windows下根本发现不了；三是即便发现了这些隐藏的目录和文件，也会由于绝对路径太长而无法进入该目录查看文件。这就让木马可以在我们的电脑中“安居乐业”了。
对方要在我们的电脑中建立如此特殊的目录，必定要进行远程操作，所以我们平时必须要及时给系统打补丁，把系统漏洞都堵上，再安装上网络防火墙，不随意浏览不了解的网页，不随意查看陌生的电子邮件，做到这些，对普通用户来说就会安全多了。
如果发现系统中有这样特殊的文件夹存在，只要给最外层的目录改名，比方说将goodluck123改名为g，然后就可以进入下一级目录，进而可以进入test子目录，进行相关的操作。当然，您也可以自己编写一个程序来读这个目录。

木马对文件关联的利用

我们知道，在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序，使之开机时自动运行，类似“Run”这样的子键在注册表中还有几处，均以“Run”开头，如RunOnce、RunServices等。除了这种方法，还有一种修改注册表的方法也可以使程序自启动。
具体说来，就是更改文件的打开方式，这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说，打开注册表，展开注册表到HKEY_CLASSES_ROOTexefileshell
opencommand，这里是exe文件的打开方式，默认键值为：“%1”%*。如果把默认键值改为Trojan.exe“%1”%*，您每次运行exe文件，这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式，而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。
对付这种隐藏方法，主要是经常检查注册表，看文件的打开方式是否发生了变化。如果发生了变化，就将打开方式改回来。最好能经常备份注册表，发现问题后立即用备份文件恢复注册表，既方便、快捷，又安全、省事。

木马对设备名的利用

大家知道，在Windows下无法以设备名来命名文件或文件夹，这些设备名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹，让木马可以躲在那里而不被发现。
具体方法是：点击“开始”菜单的“运行”，输入cmd.exe，回车进入命令提示符窗口，然后输入md c:con\命令，可以建立一个名为con的目录。默认请况下，Windows是无法建立这类目录的，正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux\命令，可以建立aux目录，输入md c:prn\可以建立prn目录，输入md c:com1\目录可以建立Com1目录，而输入md c: ul\则可以建立一个名为nul的目录。在资源管理器中依次点击试试，您会发现当我们试图打开以aux或com1命名的文件夹时，explorer.exe失去了响应，而许多“牧马人”就是利用这个方法将木马隐藏在这类特