简单木马程序编写代码_木马程序编辑器

hacker|
280

木马程序Trojan.Win32.Agent.fv怎么解决?

分类: 电脑/ *** 反病毒

问题描述:

我的机子 c盘windows里出现了木马程序!用卡巴查出来了但是不能处理!

帮忙解决一下

谢谢

路径是 C:\WINDOWS\system32\Com\cl.exe/PE_Patch/UPX

木马程序 Trojan.Win32.Agent.fv

解析:

Trojan.Win32.Agent病毒清除/删除 *** 及解决方案

这个 *** 病毒和以往的此类病毒更大的区别就是不是通过发送网址来让人点击进入,而是染毒计算机会自动向 *** 好友发送病毒文件,而且病毒文件大小不定,发送的病毒文件名具有一定诱惑性,诸如:

今年过年不收礼,收礼只收白骨精(搞笑版广告).exe

啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe

接啊,快接啊,推荐给你看看.exe

一个对你目前工作很有帮助的东东.exe

网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe

等等。

病毒文件图标是WINRAR的压缩包的图样。

病毒运行后首先建立HKLM\Sofare\Classes\MSipv项,然后病毒创建自身副本到系统目录下:

%System%\ .exe

%System%\notepad .exe

%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)

%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)

并修改EXE和TXT的文件关联:

HKLM\Sofare\Classes\exefile\shell\open\mand

EXE文件关联被修改为“ %1 %*”

HKLM\Sofare\Classes\txtfile\shell\open\mand

TXT文件关联被修改为“notepad %1”

注:其中“ ”不是单纯的一个空格,而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框:“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”

再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外,病毒还会检查被感染系统是否安装 *** ,如果安装有 *** ,病毒则通过注册表找到 *** .EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记:

HKLM\Sofare\Classes\MSipv\MainSetup

HKLM\Sofare\Classes\MSipv\MainUp

HKLM\Sofare\Classes\MSipv\MainVer

其中MainSetup和MainUp值相同,但不固定。

病毒的清除

由于病毒关联了EXE文件,我们建议这样处理:

首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭(否则再次启动应用程序的时候使病毒又重新加载,或者将“.exe”的后缀名改为“”也可以。),然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:

%System%\ .exe

%System%\notepad .exe

%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)

%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)

还有一步,到 *** 安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。

注:推荐使用工具来恢复TXT文件关联。

木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里。Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的,这就是木马运行起来的方式。但关键是如果你以为删除掉这些木马程序就万事大吉的话,你会发现在删除之后哭都来不及:系统也出了故障,所有应用程序都打不开了。因为在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,但是木马程序则修改了应用程序(EXE文件)的并联方式,它将EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,也就是说,系统是通过调用木马程序将原来的.exe程序打开。所以当你把木马杀死后,没有东西给被改变并联方式的.exe文件传递参数,就没法启动这些程序,自然你的电脑的应用程序就打不开了。

一种最最最方便简捷有效的 *** 来恢复.exe文件的关联文件:新建一个记事本文件,把下面的复制进去

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\mand]

@="\"%1\" %*"

直接保存,然后右键点此文件,选打开方式-〉选择程序-〉浏览到windows文件夹里双击regedit,把信息加到注册表就可以了 。

木马的 ***

概念:特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具 *** 置,往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。

从木马的发展来看,基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的 *** 和编程知识。

而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。

所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。

原理:“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。

这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的Explorer 键值改为Explorer=“C:/WINDOWS/expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能,更好的办法就是在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。

知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 对你进行攻击。

然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序。

有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。

重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。

木马一词的来源:

“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从 *** 上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪

注册表编辑器中了木马程序 Trojan.Win32.Pakes.x3 该怎么办?

卡巴斯基的这个提示说明你的这个木马可能将你机器里所有的exe后缀的病毒都感染了或者通过改写注册表的方式,让你运行任何exe文件都变成运行木马进程了。

建议你用木马杀客这样的木马查杀软件到安全模式下去查杀了看看,

怎么编辑木马程序

你想干什么?如果你只想玩玩,建议你学一下vbs脚本或bat脚本,如果你想把脚本做成exe程序,最简单的 *** 就是把脚本压缩到自解压文件里,再用16进制编辑器修改一下某个数值,就成功了。

如果你想干坏事,嘻嘻,木马也不是那么好写的,首先你要成为一个出色的程序员,不仅要打好C语言基础,更要精通汇编语言和计算机硬件以及操作系统原理,逻辑思维要强,当然要学的还很多,如mfc,C#等等,所以,如果你不是非常痴迷于编程,我劝你玩玩就行了,当然,更不要走上违法犯罪的道路吆!

good luck。

呀,还有,请采纳我吧,宝贝儿,嘻!

0条大神的评论

发表评论