1.前言:
木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、盗窃密码、甚至用你的QQ发一些乱七八糟的东西给你的好友……
木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。
正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。
毫不夸张地说:木马就是从网线上走进你家里的小偷强盗。防杀木马,已成为现代电脑用户的必修课。
2.原理:
木马危害,虽然手段繁多,但是万变不离其宗,其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手,阻止木马建立用户。这样,即便你的电脑已经感染了木马病毒,但是由于不能建立用户,木马就不能发挥远程控制的功能。换句话说,就是废了它,让他变成废物。当然,废物明也需要清理,但这已经不在本文的讨论范围之内了。
3.方法:
运行 regedt32.exe 打开你的注册表,里面有一个目录树:
打开其中目录 HKEY_LOCAL_MACHINE
再打开其中目录 SAM
再打开其中目录 SAM
再打开其中目录 Domains
再打开其中目录 Account
再打开其中目录 Groups
好了,就是这个 Groups 就是负责建立用户的。删掉它,系统就不能建立用户了。无论木马怎样折腾,都无法建立用户,更谈不上提升为管理员了。这个目录里的文件如果被删除,是没有办法还原的。所以,在这个操作之前,你必须要进行备份,必要的时候,可以还原。
备份方法:右键点击 Groups 选择“导出”,给导出的文件起个名字,保存好,就可以了。
4.说明:
可能你进入注册表的时候,只能看到第一个 SAM 目录,其他的都看不到。别着急,那是因为你权限不够,右键点击相应目录选择“权限”,把你自己(通常是 Administrators )设置为“允许完全控制”就可以了。设置完权限后关了,重进regedt32.exe ,以此类推,一直找到 Groups 目录为止。
5.还原:
很简单,找到你导出的那的文件,直接点击就可以了。
由于删除 Groups 目录之后,你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能,因此,备份文件很重要。需要使用相应功能的时候,先还原一下,就跟以前一样了。当然,如果你是一个个人用户,一直都是你一个人使用这台计算机,那就无所谓了。
看看吧,对大家很有用处的,呵呵~~~~某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了 为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。 什么是“并联方式”呢?根据我的老师(网上很有名的,北大青鸟西苑的老于)介绍:在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。 根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项KEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。 如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧重启后别忘记恢复以前的Explorer.exe。 对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。。。。
其实服务器安装一个mcafee就可以了,具体的设置可以参考
https://www.jb51.net/hack/40724.html
木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、盗窃密码、甚至用你的QQ发一些乱七八糟的东西给你的好友……
木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。
正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。
毫不夸张地说:木马就是从网线上走进你家里的小偷强盗。防杀木马,已成为现代电脑用户的必修课。
2.原理:
木马危害,虽然手段繁多,但是万变不离其宗,其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手,阻止木马建立用户。这样,即便你的电脑已经感染了木马病毒,但是由于不能建立用户,木马就不能发挥远程控制的功能。换句话说,就是废了它,让他变成废物。当然,废物明也需要清理,但这已经不在本文的讨论范围之内了。
3.方法:
运行 regedt32.exe 打开你的注册表,里面有一个目录树:
打开其中目录 HKEY_LOCAL_MACHINE
再打开其中目录 SAM
再打开其中目录 SAM
再打开其中目录 Domains
再打开其中目录 Account
再打开其中目录 Groups
好了,就是这个 Groups 就是负责建立用户的。删掉它,系统就不能建立用户了。无论木马怎样折腾,都无法建立用户,更谈不上提升为管理员了。这个目录里的文件如果被删除,是没有办法还原的。所以,在这个操作之前,你必须要进行备份,必要的时候,可以还原。
备份方法:右键点击 Groups 选择“导出”,给导出的文件起个名字,保存好,就可以了。
4.说明:
可能你进入注册表的时候,只能看到第一个 SAM 目录,其他的都看不到。别着急,那是因为你权限不够,右键点击相应目录选择“权限”,把你自己(通常是 Administrators )设置为“允许完全控制”就可以了。设置完权限后关了,重进regedt32.exe ,以此类推,一直找到 Groups 目录为止。
5.还原:
很简单,找到你导出的那的文件,直接点击就可以了。
由于删除 Groups 目录之后,你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能,因此,备份文件很重要。需要使用相应功能的时候,先还原一下,就跟以前一样了。当然,如果你是一个个人用户,一直都是你一个人使用这台计算机,那就无所谓了。
看看吧,对大家很有用处的,呵呵~~~~某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了 为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。 什么是“并联方式”呢?根据我的老师(网上很有名的,北大青鸟西苑的老于)介绍:在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。 根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项KEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。 如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧重启后别忘记恢复以前的Explorer.exe。 对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。。。。
其实服务器安装一个mcafee就可以了,具体的设置可以参考
https://www.jb51.net/hack/40724.html
标签:
所有木马
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件!
如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
暂无“win2003服务器一招废掉所有木马(防提权)”评论...
RTX 5090要首发 性能要翻倍!三星展示GDDR7显存
三星在GTC上展示了专为下一代游戏GPU设计的GDDR7内存。
首次推出的GDDR7内存模块密度为16GB,每个模块容量为2GB。其速度预设为32 Gbps(PAM3),但也可以降至28 Gbps,以提高产量和初始阶段的整体性能和成本效益。
据三星表示,GDDR7内存的能效将提高20%,同时工作电压仅为1.1V,低于标准的1.2V。通过采用更新的封装材料和优化的电路设计,使得在高速运行时的发热量降低,GDDR7的热阻比GDDR6降低了70%。
更新动态
2024年11月23日
2024年11月23日
- 凤飞飞《我们的主题曲》飞跃制作[正版原抓WAV+CUE]
- 刘嘉亮《亮情歌2》[WAV+CUE][1G]
- 红馆40·谭咏麟《歌者恋歌浓情30年演唱会》3CD[低速原抓WAV+CUE][1.8G]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[320K/MP3][193.25MB]
- 【轻音乐】曼托凡尼乐团《精选辑》2CD.1998[FLAC+CUE整轨]
- 邝美云《心中有爱》1989年香港DMIJP版1MTO东芝首版[WAV+CUE]
- 群星《情叹-发烧女声DSD》天籁女声发烧碟[WAV+CUE]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[FLAC/分轨][748.03MB]
- 理想混蛋《Origin Sessions》[320K/MP3][37.47MB]
- 公馆青少年《我其实一点都不酷》[320K/MP3][78.78MB]
- 群星《情叹-发烧男声DSD》最值得珍藏的完美男声[WAV+CUE]
- 群星《国韵飘香·贵妃醉酒HQCD黑胶王》2CD[WAV]
- 卫兰《DAUGHTER》【低速原抓WAV+CUE】
- 公馆青少年《我其实一点都不酷》[FLAC/分轨][398.22MB]
- ZWEI《迟暮的花 (Explicit)》[320K/MP3][57.16MB]