[历史] RO防盗技巧(扫电脑盲专用)

大家好~!又是我!!!

文章比较长,但非常实用,近日为了学木马,自己的电脑可以说是遍体鳞伤,还记得第1天学做木马,电脑都种满了毒,马上打电话给师傅,他回我的话就是:"草!哪个学木马的自己电脑里没木马!"想想也对...而且自己也算是半个电脑盲,真开始有点佩服自己了

相信今天下午我发的"关于近日SY服黑货数量上涨问题与防盗技巧!"的贴子很多人都有看过,有正方有反方,有顶我的有草我的.但确实写的不太完善,所以现在拿起书本来把里面教的内容写上来,给大家分享下!~在之前那个贴子里提到"没事别乱下外挂",这句话现在需要更正一下,因为刚才翻开书本的目录,发现上面有几篇写着"做黑客,用IE就行"和"网业挂木马",这才发现原来单单用IE也能实现远程控制,至于"网页挂木马",时间有限,没多去看,总之,没事别乱上那些不知名的网站.目前那个http://kebot.XXX.cn网站的真实性我还不太确定,我在上面特意下载了12次,没有1次能成功打开EXE程序的,但是杀毒软件没提示,我经验尚浅所以不敢肯定是否病毒.

进入正题:

什么是特洛伊木马
"特洛伊木马"(trojan horse)简称"木马"据说这个名字起源于希腊神话<木马屠城记>,相信大家都听过,不作介绍了,如今黑客程序借用其名,有"一经侵入,后患无穷"的意思.一个完整的木马由两部分组成:一个是服务器程序,另外一个是控制器程序."中了木马"就是指安装了木马的服务器程序,如果你的电脑被安装了服务器程序,则拥有控制器程序的一方就可以通过网络控制你的电脑,为所欲为.
木马程序不能算是一种病毒,但现在的杀毒软件已经可以查杀一些木马了,所以也有不少人称木马程序为--病毒.

最简单的木马防御技巧
以下几点非常重要,想不被盗号请尽量做到以下几点:
1：防火墙，安全更新基本电脑安全服务打开。

2：各种密码项设置为强密码，字母+符号+数字----这样基本就能避免暴力破解的可能性！

3：关闭有害端口 (这个在百度里搜索一下"有害端口自动关闭器"便有得下载了)

4：第3方软件及时做到更新！（这很重要）

5：避免到陌生或不良信息的网站浏览！（IE可把工具--INTE选项--安全---自定义--这里调到最高，这样虽然安全，但是有很多效果不能实现）

6：下载软件尽量到天空软件华军等下载站下载！（因为软件可能会捆绑木马，从而直接进入你的PC）
PS：以上均一般防护要点，但是只要你做到以上几点，保证你的电脑不装杀软也能比装咯杀软的机器安全！  （当然：0day 在外！）

什么是真正的电脑裸奔？
1.不装微软的系统基本中毒几率减小95%以上 2.系统盘改为其他，不使用C。中毒率在1%（木马压根就找不到路径了，呵呵）

木马的诊断与清除
说实话没几个杀毒软件对木马能做到完全防御,你装杀毒,别人就会做免杀.防御木马最好最直接的方法,当然就是不上网!但,这个不太可能.
以下内容引用别的网站的,但不太方便透露出处

很多时候你会看到QQ医生工具栏显示不正常,机器变卡.CPU工作50%以上,网页打不开,ID被盗等等等...........

这是怎么回事呢?

当然这可能是你自己机器或供应商的因素,但可能性最大的是!你中木马咯!

因为木马这一类的东东有的费资源N大.如DDOS一类,

现在都是DLL的马,插入到别的进程里面.机器不好的一插就挂掉!呵呵

今天在这教大家一点简单的木马识别与清除!

首先如发现机器有如上特点的

请看1 进程判断

组合键Ctrl+Alt+Del来到任务管理器
点击进程看看有什么特殊的进程没有! 如果IE或其他的什么进程显示为红色，那么表明这个进程是隐藏的。如震荡波病毒 Msgsvr16.exe → Acid Shiver Bbeagle.exe → 恶鹰蠕虫病毒

Msie5.exe → Canasson Brainspy.exe→BrainSpy vBeta Msstart.exe

在查看进程的时候最好把不需要的程序都关掉! 如发现IEXPLORE.EXE仍在运行! 哈哈那么恭喜你!你中木马咯!

具体常用进程列表如下:
Csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
　　System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。
　　Smss.exe：这是一个会话管理子系统，负责启动用户会话。
　　Services.exe：系统服务的管理工具。
　　Lsass.exe：本地的安全授权服务。
　　Explorer.exe：资源管理器。
　　Spoolsv.exe：管理缓冲区中的打印和传真作业。
　　Svchost.exe：这个进程要着重说明一下，有不少朋友都有这种错觉：若是在“任务管理器”中看到多个Svchost.exe在运行，就觉得是有病毒了。其实并不一定，系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调用它.

2.驱动判断
IceSword冰刃
这款属于系统底层的工具手杀木马可是牛B的哦!
这里我们先说说驱动级别的木马判断!这里值得一提的是自带驱动与非自带驱动的区别,

点内核模块选项,大家会发现有些驱动前面有个问号  ?  这是怎么回事呢?
有问号的就是系统非自带驱动咯! 有问号的,大家就要注意咯!  但是杀软也会产生驱动的如\??\C:\Program Files\360safrbox\safeboxbkrnl.sys 这个东西就是360的保险箱咯!

3.开始查杀
好咯  废话咯这么多!终于论到实战咯!

如发现以上的可疑处!请看下文!

拿出冰刃,对咯..冰刃上的红色信息是指隐藏进程之类的东西!如发现红色的IE!那你就可以直接把它K掉咯!

有的朋友问!有的进程怎么K也K不掉啊?阻止访问什么的!这时候就可以通过冰人显示出来的路径找到木马.然后改掉木马的名字.重起一下机器!OK再删除!

如果当进程被插入木马该怎么办呢？

例：当IE呈现为红色时，此时你需要用冰刃选中IE进程，然后查看模块信息和线程信息，需找到一个正常的IE做比较。然后还需要考虑讯雷等常用软件的插入。发现恶意的

DLL后找出后删除，需先结束再删除。

问题又来咯!有的进程K掉咯!马上又出现咯,该怎么办呢? 呵呵,并刃提供咯一个不错的功能!只要选择禁止进程创建就OK咯!

提示：冰刃不能和安天安全工具同时使用，可能会造成蓝屏现象！

      冰刃属于底层级的工具，使用文件功能可以看到你看不到的文件！这些文件有可能是潜在的木马！

备注：如果发现有可疑文件，而又不知道具体安全不安全，可上传至http://www.virustotal.com/zh-cn/免费查毒中心，33种国内外流行杀软为你检测！

顺便在这做个广告,SY服出售+93青拳刃,有兴趣者请联系QQ:530769396

[ 本帖最后由 351601560 于 2008-10-3 20:55 编辑 ]