RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [教學]徹底清除登錄檔中的駭客程式   字型大小:||| 
spc4956
青銅驢友
等級: 11等級: 11等級: 11等級: 11


今日心情

 . 積分: 272
 . 文章: 209
 . 收花: 2611 支
 . 送花: 0 支
 . 比例: 0
 . 在線: 277 小時
 . 瀏覽: 2050 頁
 . 註冊: 6976
 . 失蹤: 1077
#1 : 2009-3-6 10:22 PM     只看本作者 引言回覆

本文摘錄自旗標 F038「Windows XP 登錄檔嚴選密技」一書

近來由於 ADSL 十分普及, 加上連線費用都採無限時數上網的月費方式, 因此包括筆者在內, 許多人已經習慣讓電腦持續連線, 保持 Always-online 的狀態。不過此舉卻也增加了電腦被駭客入侵的風險, 而本章的主角『駭客程式』正是不肖之徒的作案工具。

駭客程式運作的原理

駭客程式也稱為後門程式,它通常是由一對 Server 端與 Client 端程式所組成,一般 Server 端會常駐於被害者的電腦提供入侵管道,而 Client 端則負責與 Server 端連絡,也就是駭客實際入侵的工具。這兩者只要缺了一個,駭客們就無法成事。

至於 Server 端程式是如何進入被害人電腦中,想必也令許多曾被駭客入侵的使用者感到莫名奇妙。其實散佈 Server 端的手法,依據駭客本身的功力而有所不同,一般比較常見的有下列 4 種途徑:

◇利用 E-Mail 散佈:將 Server 端程式隱藏於圖片或遊戲程式中,然後利用 E-Mail 附加檔案發送出去,收件者只要開啟圖片或啟動遊戲,後門程式就會開始運作。

◇暗藏於免費軟體供人下載:有些不肖的軟體下載網站,常會將 Server 端程式整合於一些常見、好用的工具程式中 (如:WinZip、Winamp),然後供網友免費下載。使用者只要執行這些動過手腳的程式,連帶就會將後門程式安裝到系統中。

◇透過網頁技術:為方便網站和瀏覽者間的互動, 目前有許多網路技術都可以將資料寫入使用者的電腦中,如:ActiveX、Java 等。一些深諳程式設計的高手,便會利用這種技術來散播server 端程式, 使用者只要瀏覽網頁就會遭殃。

◇使用軟體漏洞:最後一種方式是最難防範的, 就是利用軟體或作業系統先天設計不良所產生的安全性漏洞,來入侵被害者的電腦。有心人士會利用這種漏洞, 誘騙軟體或系統主動執行駭客程式, 便可在使用者電腦安插隱秘的後門, 以供日後入侵之用。此種散佈管道唯一的防範方法, 就是隨時注意軟體設計公司是否有釋出修補程式, 並確實依照說明將修補程式安裝到電腦上,以防堵無孔不入的駭客。

駭客程式常駐足的機碼

看到這裡您可能還是一頭霧水, 『駭客入侵和登錄檔有什麼關係?』

前面說過, Server 端與 Client 端兩者都是駭客入侵必備的工具, 不過即使駭客想盡辦法將 Server 端程式植入被害者的電腦中, 如果 Server 端程式未被執行, 整個入侵行動還是無法進行。那要如何確保 Server 端在植入電腦後會被執行, 甚至在重新開機後也繼續運作?答案就是利用登錄檔。

一般電腦在開機之時, 有不少程式會自行啟動, 甚至常駐於系統中, 這都是系統根據登錄檔中的內容來執行的結果。而駭客們只要將後門程式偷偷加入這個啟動清單中, 日後 Server 端程式就會不斷在被害人的電腦中反覆執行。

駭客程式最常駐足的登錄檔機碼多半都是位於 " HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion" 或 " HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion" 兩個機碼之下, 詳細的位置如下表所示:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

雖然目前網路上有流傳不少清除後門程式的工具軟體 (如:Trojan Remover、Iparmor ), 都可以有效對付這些不速之客。不過一般人往往是等到電腦被明顯破壞、或是資料遺失了, 才會發覺電腦被入侵, 然後才思考補救之道。

其實如果平時能多留意上述說明的這些機碼位置, 看看系統中是否有莫名的程式會在開機之時自行啟動;如果查覺到不對勁, 可以先移除可疑的登錄值, 或是利用一些工具清除駭客程式, 就可收到防患未然的效果。

NetSpy 程式的清除實例

接著我們便以一個網路上知名的駭客程式 - NetSpy 為例, 說明如何靠著查找登錄檔, 找出駭客作亂的根源,並進一步將之清除殆盡。

NetSpy 是由大陸玩家所設計的程式, 它的操作簡單、功能單純, 即使不具網路基本概念也能輕鬆使用, 因此深受不少功力不深的駭客玩家們喜愛。目前該軟體雖然已經逐漸轉型為正當的遠端監控程式, 但是舊版程式在網路上仍廣被流傳。

由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電腦不幸被植入 Server 端程式, 一般人往往也無法察覺。不過和其他駭客程式相同, NetSpy 也會在登錄檔中寫入登錄值, 以確保被害人每次開機時 Server 端程式都會運作, 因此您只要一一清查前面提及駭客程式時常駐足的機碼, 很容易就可以把它揪出來:

1. 執行「Regedit」

2. 假設在" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netspy "。

3. 選取" Netspy "按" Delete "鍵將其刪除。

PS.提醒您,不要任意更改其他的機碼,以免造成系統毀損如果在機碼中找不到 Netspy 表示電腦中沒有被此駭客程式入侵。

詳細的操作畫面請參考:F038 Windows XP 登錄檔嚴選密技

5. 重新開機後,執行「開始 / 搜尋」找出" NetSpy.exe "後,將其刪除即可。

刪除 NetSpy 的 Server 端程式後, 駭客就無法再輕易入侵您的電腦, 為求慎重起見, 您也可以再以 Trojan Remover 等後門程式清除工具, 徹底清查系統上是否還有其他可疑的程式在活動。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-22 06:38 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.018600 second(s), 8 queries , Qzip disabled