| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
打开文档或运行程序都是依赖文件关联命令实现的,但它却十分脆弱,尤其易受木马的攻击。例如查杀一种关联EXE文件的木马后,会破坏系统中所有EXE可执行程序的关联,导致无法启动任何程序。既然后果如此严重,如何帮助用户检测隐藏的危险,并在被破坏时有效修复呢?本文以实例为依据讲解了3种解决方法。 网管bitscn_com
一、直接修复法 网管有家bitscn.net
以著名的“冰河”木马为例,该木马除了通过自启动键值来运行外,还更改了TXT文档的打开方式(将[HKEY_CLASSES_ROOT xtfileshellopencommand]键值修改为“C:WINDOWSSystem32Sysexplr.exe %1”),以此达到再次启动的目的。
1.检测:“冰河”更改TXT文档打开方式后,用户仍然可以打开文档,察觉不到关联已经被修改,所以具有极大迷惑性。但再狡猾的狐狸也难隐藏它的尾巴,对于这类更改文件关联木马,在打开关联文档的时候,它的进程都会出现在进程列表中,用户通过新增的进程可以判断出文件关联是否被更改。在终止木马进程的前提下,打开任务管理器,双击TXT文档后,可以发现系统新增2个进程“notepad.exe”和“kernel32.exe”,其中“kernel32.exe”就是“冰河”进程。 网管下载dl.bitscn.com
小技巧:借助“System Information Collect Tool ”(http://nj.onlinedown.net/soft/39719.htm)这款免费软件,可以快速检测到重要的文件关联是否被更改。运行该程序后,勾选“文件关联”,然后单击“开始”就可以看到结果(如图1)。 网管朋友网www_bitscn_net
网管u家u.bitsCN.com
2.修复:彻底查杀“冰河”后,双击任意一个TXT文档,系统就会弹出没有程序关联的提示。此时,用户可以直接在资源管理器中修复,右击任意TXT文档并选择“打开方式→选择程序”,然后单击“浏览”并选择“c:windows otepad.exe”,同时勾选“始终用选择的程序打开这种文件”,确认后即可修复。 网管联盟bitsCN@com
二、注册表键值修复法
电脑中文件类型众多,有些木马则可更改多种文件关联类型。例如中了名为“聪明基因”的木马会更改HLP文件和TXT文件关联,如果该木马还关联更多类型的文件,通过打开每种类型文件来发现木马,显然费时费力。其实,每种文件关联都是由[HKEY_CLASSES_ROOT文件类型shellopen]下的“command”键值来决定的。 网管论坛bbs_bitsCN_com
1.检测:文件类型很多时,检查很费时,而且初学者也不知道各文件的打开命令值是什么。此时,可预先导出正常系统的[HKEY_CLASSES_ROOT]键值为REG文件(如1.reg),当发现异常时再导出一份(如2.reg),然后通过系统FC命令(fc 1.txt 2.txt)比较后即可快速检测到被更改的关联。
小技巧:免费文本比较软件“WinMerge”较FC命令得出结果更直观(http://nj.onlinedown.net/soft/3910.htm)。运行程序后单击“File→Open”,按提示导入“1.reg”和“2.reg”,然后单击“OK”就可以看到用黄色标注的被更改的文件关联了(如图2)。
网管下载dl.bitscn.com
2.修复:用导出的备份文件(1.reg)恢复注册表即可修复被更改的文件关联。 网管u家u.bitscn@com
小提示:因为导出的是[HKEY_CLASSES_ROOT] 键值下所有数值,如果某些数据正被系统使用,会出现无法导入REG文件的提示,但并不影响文件关联的修复。 中国网管论坛bbs.bitsCN.com
三、系统命令修复法 网管u家u.bitscn@com
除前面2种方法外,还可以利用系统“FTYPE”命令快速查看和修改文件关联。例如,对于“聪明基因”木马,如果已经知道HLP和TXT文件关联被更改,在命令提示符依次键入:
ftype txtfile
ftype hlpfile
可以查看到当前TXT和HLP文件的关联程序,接着再依次键入:
ftype txtfile=e:windows otepad.exe
ftype hlpfile= e:windowswinhlp32.exe
网管u家bitscn.net
这样就可以快速修复文件的关联了(如图3)。同理,可以用上述方法查看怀疑被修改的任意文件类型。 网管论坛bbs_bitsCN_com
网管bitscn_com
小提示:木马如果更改EXE、COM、BAT文件的关联,会无法直接运行注册表编辑器修改。这时可以新建一个TXT文档,输入如下内容并保存为BAT文件:
c:windowssystem32cmd.exe
然后将BAT文件添加到开机脚本中,重启系统后就可以在“命令提示符下”使用ftype命令(ftype exefile="%1"%*)来修复文件关联了
网管联盟bitsCN@com
|
0
|
评论加载中…