|
|
木马也称特洛伊木马,有相当部分的网络入侵是通过木马来实现的。木马的危害性在于它对电脑强大的控制能力。一旦木马的服务端被植入了计算机,那么木马客户端的拥有者就可以像操作自己的机器一样控制你的计算机,这不前几天笔者的一位好友就让“广外女生”给黑了一把,可怜的他被折磨了两天后,最后只能忍痛割爱重装了系统。
他的遭遇使我产生了一个想法,如果我们能为自己的“爱机”接种一个“木马疫苗”,那么就不那么容易被黑了!
★理论篇
疫苗是为了防御,且只能针对已知的木马进行防御。
木马病毒都有两个共同特征,也是它们的共同的弱点:
1. 它们都需要向本地计算机植入木马程序文件;
2. 它们都需要激活木马“服务端”才能运行生效。
我们只要破坏其中的任何一个条件就能使木马无法运行,比较起来破坏木马程序文件要容易得多。木马病毒不是老想在计算机中植入木马服务端程序文件吗?我们何不“将计就计”,利用Windows操作系统“不允许在同一目录下创建两个文件名完全相同的文件”这一特性,在病毒要植入木马文件的所有位置都放上一个与木马文件完全同名的0字节文件,然后对这些假木马的属性、访问权限进行最严格的限制,这样,木马在植入时就会因为不能修改文件而失败。
★应用篇
下面以最为普及的木马病毒“冰河”为例,为大家介绍如何人工为“爱机”植入木马病毒“疫苗”。
首先来看看“冰河”木马病毒的特性:
一旦激活了冰河的服务端程序G-Server.exe,那么它将在C:\Windows\system目录下生成Kernel32.exe和Sysexplr.exe两个文件。即使删除了Kernel32.exe,只要你打开TXT文本文件,Sysexplr.exe就会被激活,它会再次生成一个Kernel32.exe,这样冰河就会又回来了!这就是冰河屡删不止的原因。
根据这一原理:(这里要注意的是:首先要确保你的“爱机”没有感染该木马程序),我们就先在C:\Windows\system的目录下建立Kernel32.exe和Sysexplr.exe的两个空文件,过程如下:点击[开始]→[控制面板]→[文件夹选项],选择“查看”选项卡(如图1),找到“隐藏已知文件扩展名”选项,把它前面的对勾去掉。新建文本,将文件名(包括“扩展名”)改成Kernel32.exe和Sysexplr.exe,然后将文件属性设为只读、系统。在 Windows NT/2000/XP中,如果是多用户系统,将访问权限设置为“everyone”都“拒绝访问”(注意:该文件的其他继承权限也要作相应的设置)。
对付其他木马也都可如法炮制。要说明的是,人工为“爱机”植入木马病毒“疫苗”做法只是在没有安装杀毒软件时的应急措施。平时的安全防范,更加重要。另外,对系统进行上述处理时,应当完全弄清楚木马“服务端”的工作机制,尽可能地把它的所有攻击门路都堵死,否则这个“疫苗”会失效的
|
|
