關(guān)于清除注冊表中木馬若干措施的探討

摘要：本文結(jié)合筆者對網(wǎng)絡(luò)木馬對服務(wù)器安全造成危害及木馬是如何入侵服務(wù)器的了解，就如何防御木馬入侵，并且提出自己的一些建議和方法。

關(guān)鍵詞：木馬注冊表路徑 預(yù)防 清除

1、前言

木馬的危害性在于它對電腦系統(tǒng)強(qiáng)大的控制和破壞能力，竊取密碼、控制系統(tǒng)操作、進(jìn)行文件操作等等，一個功能強(qiáng)大的木馬一旦被植入機(jī)器，攻擊者就可以像操作自己的機(jī)器一樣控制別人的機(jī)器，甚至可以遠(yuǎn)程監(jiān)控別人的所有操作，給用戶帶來的危害是非常嚴(yán)重的。所以，還是要學(xué)會預(yù)防和如何破解木馬，這樣才不怕被黑客攻擊，網(wǎng)絡(luò)中也要講安全第一！

2、實(shí)例分析清理注冊表中木馬

2.1清除AcidBatteryv1.0木馬

⑴預(yù)防木馬破壞的注冊表路徑為：

首先，在開始菜單里找到“運(yùn)行”然后輸入“regedit”按回車鍵，接下來就按下面的路徑尋找，點(diǎn)擊目錄至：HKEY_LOCAL_MACHINE\\Software\\Microsoft

Windows\\CurrentVersion\\RunServices下；如果在右邊窗口中如發(fā)現(xiàn)了“Explorer”鍵值，那就說明中了YAI木馬，將它刪除即可。

⑵清除木馬的步驟：

首先，在開始菜單里找到“運(yùn)行”然后輸入“regedit”按回車鍵，接下來就按下面的路徑尋找，點(diǎn)擊目錄至：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

Windows\\CurrentVersion\\Run

刪除右邊的Explorer=\\\"C:\\WINDOWS\\expiorer.exe\\\"

關(guān)閉Regedit

重新啟動到MSDOS方式

刪除c:\\windows\\expiorer.exe木馬程序

注意：不要刪除正確的ExpLorer.exe程序，它們之間只有i與L的差別。

重新啟動。

2.2清除Eclipse2000木馬

⑴預(yù)防木馬破壞的注冊表路徑為

首先，在開始菜單里找到“運(yùn)行”然后輸入“regedit”按回車鍵，接下來就按下面的路徑尋找，點(diǎn)擊目錄至：HKEY_LOCAL_MACHINE

Software\\Microsoft\\Windows\\CurrentVersion\\RunServices下；若在右邊窗口中如發(fā)現(xiàn)了“bybt”鍵值，則將它刪除。

然后在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

RunServices下刪除右邊的鍵值“cksys”，重新啟動電腦。

⑵清除木馬的步驟：

首先，在開始菜單里找到“運(yùn)行”然后輸入“regedit”按回車鍵，接下來就按下面的路徑尋找，點(diǎn)擊目錄至：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

Windows\\CurrentVersion\\Run刪除右邊的項(xiàng)目：bybt=\"c:\\windows\\system

eclipse2000.exe\"

點(diǎn)擊目錄至：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

CurrentVersion\\RunServices刪除右邊的項(xiàng)目cksys=\"c:\\windows\\system\\couldbeanything.exe\"

關(guān)閉保存Regedit，重新啟動Windows

查找到eclipse2000.exe木馬文件，并刪除。

2.3清除BO2000木馬

Bo2000包括服務(wù)端的BO2K.EXE、BO2KCFG.EXE、和用戶端的BO2KGUI.EXE、BO3DES.DLL、BO_PEEP.DLL.其功能非常完美，這個木馬可以對用戶電腦進(jìn)行系統(tǒng)控制和文件管理，并且也可以進(jìn)行注冊表管理；可以控制音頻和視頻，可以控制網(wǎng)絡(luò)，可以查看服務(wù)器上的所有的域名、網(wǎng)絡(luò)接口、服務(wù)器，并可以列出當(dāng)前的共享名、共享驅(qū)動器和共享目錄，及權(quán)限和密碼。

⑴預(yù)防木馬破壞的注冊表路徑為：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServi

ces下若在右邊窗口中如發(fā)現(xiàn)了“umgr32.exe”鍵值，則說明中了BO2000，將它

刪除。

⑵清除木馬的步驟：

在c:\\windows\\system下如果沒有一個名為UMGR32~1.exe的文件，如NT系統(tǒng)，則在c:\\winnt\\system32下，當(dāng)然這樣并不安全，因?yàn)檫@個文件自己會改變文件名。bo2000的文件大小為114688字節(jié)，可以查找符合這個長度的文件，當(dāng)然也許程序會外加一些文件，文件的大小并不是上述的那個字節(jié)，那就需要自己查找，然后用記事本打開，用查找功能，如找到字符串“orifice\"，那么該系統(tǒng)已經(jīng)被放置后門。清除方法是：先進(jìn)入DOS實(shí)模式，在c:\\windows\\system下清除UMGR32~1.exe。再刪除。

在注冊表中的位置為：

[Hkey_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CurrentVesion\\RunServices\"umgr32.exe=\"c:\\windows\\system\\UMGR32~1.exe\"

2.4清除KeyboardGhost木馬

運(yùn)行于Windows98/NT/XP/2000/2003/VISTA系統(tǒng)下。Windows系統(tǒng)是一個以消息循環(huán)為基礎(chǔ)的操作系統(tǒng)。系統(tǒng)的核心部分保留了一定數(shù)量的字節(jié)作為鍵盤輸入的緩沖區(qū)，其數(shù)據(jù)結(jié)構(gòu)形式是隊(duì)列。鍵盤幽靈正是通過直接訪問這一隊(duì)列，然后記錄鍵盤上輸入的賬號和密碼，同時(shí)也包括顯示在屏幕上的是星號密碼，同時(shí)也會把電子郵箱、代理的賬號、密碼等都會同時(shí)記錄下來，總之，一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來。

⑴清除木馬的步驟：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServ

ice]下的kg.exe這一鍵值刪除，并將文件kg.exe從Windows\\System目錄下刪除。還有C:\\KG.DAT文件也要刪除。

2.5清除NetSpy黑客程序

運(yùn)行于Windows98/NT/XP/2000/2003/VISTA系統(tǒng)下。NetSpy是一個基于TCP/IP的簡單文件傳送軟件，實(shí)際上可以將它看作是一個沒有權(quán)限控制的增強(qiáng)型FTP服務(wù)器軟件。黑客可以通過這個軟件神不知鬼不覺地下載和上傳目標(biāo)機(jī)器上的任意文件，并可以執(zhí)行一些特殊的操作。中招后屏幕上會奇怪地出現(xiàn)一個標(biāo)題為“信使服務(wù)”的對話框，其內(nèi)容是黑客在其監(jiān)控端上指定的；正常執(zhí)行的程

序(游戲、Internet瀏覽器、NetTerm、AutoCAD、Word等等)在無任何提示下關(guān)

閉；按“Ctrl+Alt+Del”鍵，在出現(xiàn)的任務(wù)欄中會清楚地看到NetSpy這個進(jìn)程。電腦是自己的，上網(wǎng)費(fèi)是自己交的，但這臺電腦別人卻可以用，甚至還可以操控你的上網(wǎng)歷史、電腦操作全在別人眼里、毫無隱私可言。據(jù)說，它的最新版本戾氣消失，但運(yùn)行仍很隱蔽，可記錄裝上這個軟件的電腦的所有上過的網(wǎng)站地址和上網(wǎng)使用記錄。

⑴清除木馬的步驟：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下，在右邊的窗口中尋找鍵\"NetSpy\"，如果存在，就說明已經(jīng)裝有NetSpy黑客程序，把它刪除。

3、結(jié)語

總之，多數(shù)木馬的運(yùn)行方法和隱藏都大同小異，只要你細(xì)心的找，都會找到一定的規(guī)律，他們想運(yùn)行，就得有個EXE文件，當(dāng)然也會在注冊表里注冊，所以，上面木馬破解的例子也是一部，規(guī)律還需要日常操作中總結(jié)。

作者簡介

吳文淵女1959.11月浙江省杭州市助工浙江省氣象信息網(wǎng)絡(luò)中心從事氣象行業(yè)相關(guān)的計(jì)算機(jī)通信及網(wǎng)絡(luò)安全