下邊先來說一下木馬是如何通過網(wǎng)頁進入你的電腦的，相信大家都知道，現(xiàn)在有很多圖片木馬，EML和EXE木馬，其中的圖片木馬其實很簡單，就是把木馬exe文件的文件頭換成bmp文件的文件頭，然后欺騙IE瀏覽器自動打開該文件，然后利用網(wǎng)頁里的一段JAVASCRIPT小程序調(diào)用DEBUG把臨時文件里的bmp文件還原成木馬exe文件并拷貝到啟動項里，接下來的事情很簡單，你下次啟動電腦的時候就是你噩夢的開始了，EML木馬更是傳播方便，把木馬文件偽裝成audio/x-wav聲音文件，這樣你接收到這封郵件的時候只要瀏覽一下，不需要你點任何連接，windows就會為你代勞自動播放這個他認為是wav的音樂文件，木馬就這樣輕松的進入你的電腦，這種木馬還可以frame到網(wǎng)頁里，只要打開網(wǎng)頁，木馬就會自動運行，另外還有一種方法，就是把木馬exe編譯到.JS文件里，然后在網(wǎng)頁里調(diào)用，同樣也可以無聲無息的入侵你的電腦，這只是些簡單的辦法，還有遠程控制和共享等等漏洞可以鉆，知道這些，相信你已經(jīng)對網(wǎng)頁木馬已經(jīng)有了大概了解，

簡單防治的方法：
開始-設置-控制面版-添加刪除程序-windows安裝程序-把附件里的windows scriptinghost去掉，然后打開InternetExplorer瀏覽器，點工具-Internet選項-安全-自定義級別，把里面的腳本的3個選項全部禁用，然后把“在中加載程序和文件”禁用，當然這只是簡單的防治方法，不過可能影響一些網(wǎng)頁的動態(tài)java效果，不過為了安全就犧牲一點啦，這樣還可以預防一些惡意的網(wǎng)頁炸彈和病毒，如果條件允許的話可以加裝防火墻，再到微軟的網(wǎng)站打些補丁，反正我所知道的網(wǎng)吧用的都是原始安裝的windows，很不安全哦，還有盡量少在一些小網(wǎng)站下載一些程序，尤其是一些號稱黑客工具的軟件，小心盜不著別人自己先被盜了，當然，如果你執(zhí)意要用的話，號被盜了也應該付出這個代價吧。還有，不要以為裝了還原精靈就很安全，據(jù)我所知，一般網(wǎng)吧的還原精靈都只還原c:盤即系統(tǒng)區(qū)，所以只要木馬直接感染你安裝在別的盤里的游戲執(zhí)行文件，你照樣逃不掉的。

下邊介紹一下木馬和如何簡單的檢查一下是否中了木馬。
木馬程序一般分為服務器端程序和客戶端程序兩個部分，當服務器端程序安裝在某臺連接到網(wǎng)絡的電腦后，就能使用客戶端程序?qū)ζ溥M行登陸。這和PcAnywhere以及NetMeeting的遠程控制功能相似。但不同的是，木馬是非法取得對對方電腦的控制權(quán)，一旦登陸成功，就可以取得管理員級的權(quán)利，對方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的“偽黑客”很少使用，因為一不小心就會引火上身，被對方反查過來就會偷雞不成蝕把米了，一般他們都會采用只有服務器端的小木馬，這類木馬通常會把截取的密碼發(fā)到一個免費郵箱里，不需要人為操作，有空去收趟郵件就可以了，這種木馬遍布互連網(wǎng)的各個角落，的確防不勝防，由于木馬程序眾多，加之不斷有新版本、新品種產(chǎn)生，使得軟件無法完全應付，所以手動檢查清除是十分必要的。

木馬會想盡一切辦法隱藏自己，別指望在任務管理器里看到他們的蹤影，有些木馬更是會和一些系統(tǒng)進程寄生在一起的，如著名的廣外幽靈就是寄生在MsgSrv32.exe里；當然它也會悄無聲息地啟動，木馬會在每次用戶啟動windows時自動裝載服務端，Windows系統(tǒng)啟動時自動加載應用程序的方法木馬都會用上，如啟動組、win.ini、system.ini、注冊表等等都是木馬藏身之地；下邊簡單說一下如何檢查，點開始-運行，輸入：
msconfig回車就會打開系統(tǒng)配置實用程序，先點system.ini，看看shell=文件名，正確的文件名應該是“explorer.exe”，如果explorer.exe后邊還跟有別的程序的話，就要好好檢查這個程序了，然后點win.ini，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號后面什么都沒有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上“木馬”了，當然你也得看清楚，因為如“AOL木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動文件；最后點“啟動”，檢查里面的啟動項是不是有不熟悉的，如果你實在不清楚的話可以把他們?nèi)咳∠缓笾匦逻\行msconfig，看一下有沒有取消的啟動項重新被選中的，一般木馬都會存在于內(nèi)存中，（就是線程插入，然后隱藏進程的木馬，DLL無進程木馬就不會駐留在內(nèi)存里面，我們在下一次中會講到）所以發(fā)現(xiàn)你取消他的啟動項就會自動添加上的，然后你就可以逐步添上你的輸入法，音量控制，防火墻等軟件的啟動項了；還有一類木馬，他是關(guān)聯(lián)注冊表的文件打開方式的，一般木馬經(jīng)常關(guān)聯(lián).exe，點開始-運行，輸入：regedit回車，打開注冊表編輯器，點第一條，也就是HKEY_CLASSES_ROOT，找到exefile，看一下\exefile\shell\open\command里面的默認鍵值是不是"%1"%*，如果是一個程序路徑的話就一定是中木馬了，另外配合兩種以上的殺毒軟件也是必要的，另外在windows下木馬一般很難清除，最后重新啟動到dos環(huán)境下再進行查殺。

一、赤手空拳防木馬

木瓜的WindowsXP系統(tǒng)可稱得上是一個“毒窩”了，不僅有木馬程序“潛伏”，各類惡意插件也在其中死纏爛打。而造成這種情況的主要原因就是給予了登錄帳戶和上網(wǎng)者過多的使用權(quán)限，使木馬和插件能夠堂而皇之的出入系統(tǒng)。所以，要想有效的加強系統(tǒng)安全，就要在帳戶權(quán)限上加以限制。

步驟一：建立受限帳戶

打開“運行”對話框，在其中輸入命令“net user xiaoyao 123456/add”，回車執(zhí)行后，即可在系統(tǒng)中添加一個名為“xiaoyao”的新帳戶，密碼為“123456”。

用“netuser”命令添加的新帳戶，其默認權(quán)限為“USERS組”，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設置，這樣便可避免大部分的木馬程序和惡意網(wǎng)頁的破壞。

步驟二：金蠶脫殼 加固IE

惡意網(wǎng)頁是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。

1．建殼

刪除桌面上的IE圖標，打開“C:Program FilesInternetExplorer”文件夾，右鍵點擊“Iexplore.exe”程序，選擇“發(fā)送到”→“桌面快捷方式”命令，在桌面上創(chuàng)建一個新的IE快捷圖標。接著回到桌面，右鍵點擊新建的IE圖標，選擇“屬性”命令，在彈出窗口中，切換到“快捷方式”選項卡，點擊“高級”按鈕，勾選“以其他用戶身份運行”選項（如圖1），確定后關(guān)閉對話框。

圖1

2．脫殼

現(xiàn)在以管理員帳戶或其它非“xiaoyao”帳戶登錄WindowsXP系統(tǒng)后，雙擊桌面上的IE快捷方式時，就會彈出一個運行身份對話框，在其中輸入之前新建的帳戶名“xiaoyao”及密碼，確定后便可進行正常上網(wǎng)操作（如圖2）。

圖2

接下來，我們試試IE是否還能受到惡意插件的騷擾。進入“www.baidu.com”，點擊百度頁面中的“把百度設為首頁”按鈕，修改IE的主頁。然后點擊頁面中的“更多”→“搜霸”鏈接，下載“百度搜霸”。當下載完畢后，該插件將自動運行安裝程序，此時會看到它彈出了一個身份認證對話框，默認是以“xiaoyao”身份進行安裝的（如圖3）。

圖3

在安裝完成后，以“xiaoyao”帳戶身份再次運行IE時，將會發(fā)現(xiàn)首頁已變成了百度。以非“xiaoyao”帳戶運行IE時，可看到IE首頁沒有任何改變。而之前安裝的百度搜霸，則無論以什么帳戶運行IE，都不會見到它的蹤影！

此時我們是以“xiaoyao”這個USERS組的帳戶，來進行上網(wǎng)操作的。由于“xiaoyao”帳戶在當前并未登陸，所以百度搜霸根本無法安裝并加載到IE中，網(wǎng)頁也僅能對“xiaoyao”帳戶的IE首頁進行修改。也就是說，以“xiaoyao”帳戶身份運行IE后，瀏覽到的惡意網(wǎng)頁只能對“xiaoyao”帳戶的IE設置進行修改，而惡意網(wǎng)頁中的流氓軟件或木馬間諜運行后，根本就無法對當前帳戶和系統(tǒng)產(chǎn)生任何影響。

3．換殼

如果“xiaoyao”帳戶的IE設置被更改或破壞，那么可在“運行”對話框中執(zhí)行“net user xiaoyao/delete”命令，來刪除“xiaoyao”帳號。之后，再次執(zhí)行創(chuàng)建帳戶命令，新建一個名為“xiaoyao”的帳戶，即可使IE“完好如初”。

步驟三：加固系統(tǒng)

通過網(wǎng)頁瀏覽感染系統(tǒng)，只是木馬病毒和流氓插件的一種途徑。如果不小心以當前帳戶身份運行了木馬病毒程序，系統(tǒng)還是會被破壞。只是這類破壞“跡象”都較明顯，不像惡意網(wǎng)頁在后臺進行“暗箱操作”，因此我們可提前阻止它們。

1．禁止程序啟動

很多木馬病毒都是通過注冊表加載啟動的，因此可通過權(quán)限設置，禁止病毒和木馬對注冊表的啟動項進行修改。

啟動注冊表編輯器，依次展開“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun”分支，在“Run”分支上點擊右鍵，選擇“權(quán)限”命令，將當前帳戶對該分支的“讀取”權(quán)限設置為“允許”，并取消對“完全控制”權(quán)限的選擇（如圖4）。使用同樣方法設置以下注冊表啟動鍵的權(quán)限：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
在“HKEY_CURRENT_USER”下，也有相同的多個注冊表啟動項需要設置權(quán)限。

圖4

2．禁止服務啟動

一些高級的木馬病毒會通過系統(tǒng)服務進行加載，對此可禁止木馬病毒啟動服務的權(quán)限。

可依次展開“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetServices”分支，將當前帳戶的“讀取”權(quán)限設置為“允許”，同時取消其“完全控制”權(quán)限。

3．系統(tǒng)安全設置

最厲害的木馬病毒會采用DLL注入方式，或者搶先系統(tǒng)啟動運行，對此可在注冊表中限制其啟動權(quán)限。

設置的方法同上，需設置權(quán)限的注冊表項有以下分支：
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonUserInit
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonShell
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonGinaDll
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsNTCurrentVersionWinlogonSystem
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

4．保護文件關(guān)聯(lián)

有些狡猾的木馬，還會通過更改系統(tǒng)文件關(guān)聯(lián)，達到啟動運行目的。對此可展開“HKEY_CLASSES_ROOT”分支，將其下的“.exe”、.“com”、“.cmd”、“.BAT”、“.VBS”等項目設置權(quán)限，操作方法同上。

使用設置了注冊表權(quán)限的帳戶登錄系統(tǒng)后，是無法安裝軟件或進行重要系統(tǒng)更改設置的。如要安裝軟件，可更換為管理員帳戶登錄系統(tǒng)，并進行正常的安裝操作。

二、另類“還原精靈”保系統(tǒng)

對于木瓜這種超級懶惰的人來說，使用手動設置來保護系統(tǒng)顯得太過繁瑣了，所以最好還是給他一款軟件來達到自動保護系統(tǒng)的目的。而他提出使用“還原精靈”之類的軟件，真是太耗費系統(tǒng)資源了，搞不好還會把硬盤鎖死了，這里我有更高級的“秘密武器”。

1．IE從此無憂’

安裝這款名為“Sandboxie”的軟件后，它會隨系統(tǒng)自動運行，利用軟件的沙盤功能，即可保護系統(tǒng)不受任何病毒和插件的侵襲。

右鍵點擊桌面上的IE圖標，在彈出菜單中選擇“RunSandboxed”命令，即可以沙盤保護方式運行IE（如圖5）。此時瀏覽任意惡意帶毒的網(wǎng)站，系統(tǒng)都會經(jīng)過“沙盤”的過濾保護，保證自身不會受到任何影響。即使木馬病毒程序已下載到硬盤中，也會隨著Sandboxie的關(guān)閉而自動消失。

圖5

如果要保存通過“沙盤”下載的文件，可右鍵點擊系統(tǒng)托盤區(qū)的沙盤圖標，在彈出菜單中選擇“從沙盤恢復文件”命令。在打開的對話框中，選擇沙盤中暫存的文件，點擊“恢復到同一文件夾”按鈕，即可將文件保存到硬盤中了（如圖6）。

圖6

2．告別木馬病毒

下載了好多軟件要安裝，但不能確定其中是否夾帶著流氓插件或木馬，這時可使用右鍵點擊程序文件，通過“RunSandboxed”命令運行安裝，此時程序?qū)ο到y(tǒng)所作的修改都會被沙盤攔截保護，在關(guān)閉沙盤后安裝的木馬病毒也將隨之消失。

如果在沙盤中安裝運行后，確認程序是安全的，那么就可再次以正常方式安裝運行程序了。

·系統(tǒng)保護只用兩三招 病毒木馬不上門（5）

三、程序權(quán)限輕松設

雖然限制用戶權(quán)限保護系統(tǒng)安全的方法很好用，但對于木瓜這種經(jīng)常安裝卸載軟件的用戶來說，不時彈出的“權(quán)限不夠”提示便顯得太過“煩人”了，這里就在給出一個兩全其美的方法。

安裝名為“DropMyRights”的軟件，用這個軟件啟動其它程序，這樣啟動的程序就只具有基本的權(quán)限，無法對系統(tǒng)產(chǎn)生破壞了。方法很簡單，以IE為例。

右鍵點擊桌面IE快捷圖標，選擇“屬性”→“快捷方式”，在“目標”位置中輸入如下命令（如圖7）：

"C:程序安裝目錄DropMyRights.exe" "C:ProgramFilesInternet ExplorerIexplore.exe" N
程序后面的參數(shù)“N”，代表以普通用戶權(quán)限運行程序。確定后關(guān)閉對話框，雙擊該快捷方式就能以指定的身份啟動IE瀏覽器，以后瀏覽到惡意網(wǎng)頁也不用擔心系統(tǒng)會遭到破壞了，所達到的效果與前面提到的“金蠶脫殼”法差不多（如圖8）。

圖7

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101012/119879.html