免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

　　隨著黑客技術(shù)的日益發(fā)展，各種“裝備先進”的木馬在網(wǎng)上大面積傳播。如果大家遇到殺毒軟件能夠查出來，但卻無法清除的病毒，那么多半就是現(xiàn)在網(wǎng)上非常流行的DLL動態(tài)嵌入式木馬，相對普通木馬來說，DLL木馬的查殺不易。難道我們就拿它們沒有辦法了嗎？如何清除木馬呢？下面我們就一步一步來刪掉這個如蛆附骨的DLL木馬。
小知識：什么是動態(tài)嵌入式DLL木馬？
　　這種木馬是將DLL木馬文件嵌入到正在運行的系統(tǒng)進程中如“explorer.exe”、“svchost.exe”、“smss.exe”或系統(tǒng)常見的進程如“iexplore.exe”、“notepad.exe”，而在任務(wù)管理器里出現(xiàn)的就只是DLL的載體EXE文件，由于這些進程就是系統(tǒng)本身的進程，因此DLL木馬具有極強的隱蔽性。
驚現(xiàn)病毒——殺毒軟件束手無策
　　近日,筆者的Norton報警發(fā)現(xiàn)病毒“E:\windows\sagent\mssasu.com”（注：筆者系統(tǒng)安裝在E盤）如圖1。從病毒名稱可以判斷是一個黑客后門程序，看來是有人在電腦上安裝了后門。

　　發(fā)現(xiàn)病毒自然是殺毒，將病毒庫升級，啟動Norton進行全面查殺，Norton又提示發(fā)現(xiàn)其他兩個病毒，不過Norton既無法隔離也無法將病毒刪除，如圖2所示。

尋根究底——木馬現(xiàn)原形
　　Norton無法刪除病毒，原因顯然是由于病毒進程正在運行導(dǎo)致的。由于Norton總是彈出發(fā)現(xiàn)病毒窗口而無法查殺，筆者便將Norton的自動防護暫時關(guān)閉。打開任務(wù)管理器，奇怪的是并沒有發(fā)現(xiàn)有什么陌生的進程，不過其中的“iexplore.exe”引起筆者的警覺，因為此時筆者并沒有運行IE瀏覽器，進程列表里怎么會出現(xiàn)這個進程？
　　右擊進程選擇“打開所在目錄”，通過查看“iexplore.exe”屬性，發(fā)現(xiàn)這的確是系統(tǒng)自帶的IE瀏覽器，難道是IE染毒了？然后我又發(fā)現(xiàn)在關(guān)閉Norton自動防護情況下，每次終止“iexplore.exe”后，不到2秒它就會立刻復(fù)活，而啟動Norton的防護后，則會發(fā)現(xiàn)“E:\WINDOWS\msagent\msdwix.com”病毒的提示。顯然“msdwix.com”就是“iexplore.exe”的守護進程，當它發(fā)現(xiàn)監(jiān)視的進程被終止后會立刻使它復(fù)活。
　　結(jié)合Norton發(fā)現(xiàn)的“Dxdgns.dll”這個病毒，筆者初步判斷這應(yīng)該是一個動態(tài)嵌入式DLL木馬，它把“Dxdgns.dll”木馬文件插入“iexplore.exe”進程里了。為了便于比較，筆者又啟動一個“iexplore.exe”進程。進程調(diào)用的DLL文件，通過“Windows優(yōu)化大師”組件“Windows進程管理”來查看。啟動程序后選中“iexplore.exe”，單擊“模塊信息”，通過和正常IE進程詳細對比，可以看到“e:\windows\dxdgn.dll”的確被IE調(diào)用，這就是病毒真身了，如圖3所示。

先治標——清除病毒文件
　　對于此類病毒，筆者使用了“系統(tǒng)權(quán)限法”來阻止進程運行（注意：使用該法前提是系統(tǒng)采用NTFS格式）。打開“我的電腦”，單擊“工具→文件夾選項→查看”，然后在“高級設(shè)置”選項下去除“簡單文件共享（推薦）”前的小鉤。
　　現(xiàn)在打開“E:\WINDOWS\msagent”，找到“msdwix.com”右擊選擇“屬性”，然后單擊“安全”標簽，接著在屬性窗口單擊“高級”，在彈出的窗口清除“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目”復(fù)選框，在彈出窗口單擊“刪除”，去除所有繼承的權(quán)限，依次單擊“確定”后退出，這樣電腦上就沒有任何用戶可以運行“msdwix.com”了。
　　提示：對于采用FAT32格式的用戶，可以將電腦重啟到純DOS下，手工刪除“msdwix.com”文件。此外，對于通過系統(tǒng)的“rundll32.exe”命令調(diào)用DLL文件作惡的木馬，也可以利用上述方法去除DLL文件的運行和讀取權(quán)限。
　　現(xiàn)在使用任務(wù)管理器終止“iexplore.exe”，由于“msdwix.com”無法運行，自然它也不能重新加載“Dxdgns.dll”木馬了。將電腦注銷一下進入“e:\windows”，順利刪除了“Dxdgns.dll”。現(xiàn)在進入“E:\WINDOWS\msagent”，找到“msdwix.com”右擊選擇“屬性”，重復(fù)前面的操作，勾選“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目”復(fù)選框。最后按照Norton查毒的提示，刪除其它病毒文件。
再治本——清除木馬啟動程序
　　因為每次啟動這個木馬病毒會運行，顯然它在注冊表添加了自啟動項目，查看自啟動項目軟件有很多，筆者這里向大家推薦一款軟件Autoruns 7.01 漢化版（下載地址http://www.d66.net/soft/6942.htm），它可以詳細列出電腦上所有的自啟動項目，運行程序后單擊“查看”，依次勾選所要顯示的項目（如服務(wù)、DLL文件、瀏覽器加載項、空位置），單擊“刷新”后就可以看到檢測結(jié)果了，它會列出所有啟動位置。
　　從Autoruns檢測可以看到，這個木馬的啟動鍵值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服務(wù)，原來木馬還通過注冊為系統(tǒng)服務(wù)的方式啟動。右擊查找到的啟動項目選擇“跳轉(zhuǎn)到具體位置”。這樣可以直接打開注冊表并定位到相應(yīng)啟動鍵值，按提示刪除COM服務(wù)鍵值即可修復(fù)注冊表。至此順利將這個難纏的DLL木馬掃地出門！