加拿大华人论坛 加拿大百科IT数码及移动互联 - 【转贴】教你防木马+查木马+杀木马
在加拿大
作者: idyoukao123 2004-02-09 10:22 以下是本人转帖我在网上找了好长时间才找到这些我本人前几天染过木马深感体会所以我就在网上在了这些转贴到这里希望大家以后不会再让那些TNND的木马骚扰了 游戏ID被盗;QQ密码被改;邮箱被人登录……这些情况你是否遇到过?虽然你不想,但总有那么一些“盗贼”围绕着你。我一个朋友的传奇ID被盗了n次,不但装备全失,最后竟连人物也给删掉了,他现在对盗号者深恶痛绝。下面我们就让“盗号者”与“防盗者”来一次“实话实说”吧,看看到底是道高一尺,还是魔高一丈。 ??盗号者:各位,我是一名盗号者,并不是我成心和大家过不去,只因有前辈将我的号给盗了,无奈!我只能盗别人的号补偿我自己了(找借口给盗号行为作托词,也不能博取同情)。 ??我的常用方法有: ??1.当你输入ID密码时,我正悄悄地站在你后面偷看,并暗自记下。这可是最普通且有效的盗号方法了(这种形式,谁不会盗呀!)。 ??2.在网吧内,为每一台电脑安装上后台程序(如冰河、键盘幽灵等)。在服务器端控制冰河客户端的计算机,使用暴力关闭形式,强行关掉你当前使用的程序,游戏也好,QQ也好!你一定会抱怨网吧的电脑系统问题,并重新打开程序,输入ID,哈哈……这就中计了!这时候冰河的键盘记录功能开始生效了。你输入的账号以及密码都会自动传给我了。如果使用“键盘幽灵”更方便,可以完全记录使用者的键盘操作过程,等你用完了计算机,我再调出键盘记录,研究里面的日志文件,你的ID准能被我找到。 ??3.听说还有一种方法更绝!在使用完电脑10分钟左右,输入过的账号和密码会驻留与内存中,如果懂得使用Debug命令,并对汇编语言有一定了解的人,马上可以把你刚才输入过的账号和密码从内存中调出来。 ??防盗者:盗取ID的现象一般出现在网吧等公众场合,如果你在家里上网,密码都被人“盗”了,那可真是够“衰”的。好了,下从两方面来谈谈如何防盗。 非技术性防止盗号 ??1.既然盗号者采取偷看盗取的手段,那输入密码时,要看看你背后或者旁边是否有人在窥视,建议先左右环顾一圈。 ??2.在输入ID密码时,通常情况可以采用粘贴复制的方法,比如:你可以将密码写入QQ的个人文件里,需要时,直接复制过来。这样就可以有效防范“按键精灵”形式的木马。或者输入密码时,采取乱序输入,譬如密码是sever1980,可以先输入1980;再用鼠标将热点指到最前方,再输入server。 ??3.遇到程序被异常关闭时,不要立即重新进入,可以先看看网页,做些别的事情然后再继续。 ??4.使用完计算机以后,最好是重新启动一次,清空内存中的信息。 ??技术性防止盗号 ??1.删除含密码信息的存档文件,这些文件是一些记录文件,删除后不会影响系统的其他程序。以QQ为例,在使用后会在QQ的目录里留下以QQ号码为名称的文件夹,里面就包含用户的密码。再以游戏“传奇”为例,在游戏目录的DATA文件夹里,有登录者的相关信息,包括密码。在使用完计算机以后,删除相应的遗留文件,就可以很好地保护ID,但对程序不够了解的人不建议这么做,以免会误删其他的文件。 ??2.安装使用工具软件,病毒防火墙,杀毒软件是必不可少的。除此之外,网络上还有很多专用于防止盗号的软件,如:网吧密码防盗专家、眼睛专杀工具等等。它们主要是针对一些专用于盗取ID的木马程序制作,即使计算机已经感染木马,它也可以以伪装的形式,防止木马窃取ID。 ??最后给大家提个醒,如果是使用公共计算机(这里的公共计算机主要指:网吧计算机、图书馆计算机等由多人使用的计算机)一定要格外小心。使用自己的计算机上网的朋友也应该注意,木马无处不在,来自网上的东西应该小心处理。 手把手教你删木马 如果您是一位程序高手,一位软件专家,一位系统工程师,甚至是一位黑客,那么您看到这里大可不必再看下去,徒浪费您宝贵的时间。这不是什么专业技术性文章,完全是通俗的最简单的应付方法。 那么,我就不口水了,还是进入正题吧。 先说预防:防范于未然是很重要的 1、尽量不要去浏览那些非官方性的外挂综合网站,特别是那些在城里用喊话大肆传播的网站,千万不要访问,试一试也不行。 2、安装放火墙。在浏览那些非官方性网页的时候防火墙显的很重要。当然你会说,开着防火墙玩游戏会影响游戏数据的流动速度。那么其实你可以在计算机启动的时候不要自动启动防火墙,而是在你要去浏览网页时再手动启动便可以了。而平时玩游戏就不用启动了,如果你不知道怎么做到assistant.3721.com/?fb=client选择电脑启动加速一项,对启动要自动运行的程序做修改。 3、不要相信陌生人,或者不是很熟的人送的外挂,用QQ发送的也不行,也不要随便受了人妖MM的骗让你到哪里看“她”的照片或者接受“她”发给你的照片。当然我这样说肯定有重情谊的人要站出来反对了,“不相信人怎么叫朋友,怎么泡MM”云云。。。所以,我也不再多加解释,您自己去判断谁该信谁不该信吧。笔者爱说一句话“害人之心不可有,防人之心亦不可无”。 那么,如果中了木马。或者您怀疑您的计算机中了木马,该怎么办呢?如果您对计算机不是那么能应付,那么就让我来教你最简单的方法吧。 木马,通俗点讲就是潜伏在你的计算机里,伺机盗取你的帐号和密码等有关程序的黑客软件。这个相信凡是玩传奇的玩家都明白。木马不属于破坏性病毒,它不会干扰你正常的操作的操作系统,不会让你无法运行计算机,所以要杀它,即使你没有一点计算机知识也能办到。 第一步,首先进入http://www.duba.net/antiscan/scan.htm这个是金山公司的在线查毒系统(或者直接在地址栏输入“在线查毒”也可以找到这个网站),然后点取“C:”一般的木马都潜伏在系统盘,如果你不放心,也可以把其他盘一起点上做个全面查毒。然后点“开始查毒”就可以开始检查了,等个几分钟,就有结果了。如果你还不放心就再进入online.rising.com.cn/ravonline/online.htm这是瑞星在线查毒系统,注册会员后就可以使用了。 第二步,如果很不幸的,出现了这样的信息:“发现病毒文件 c:windowsprofilesXXXlocal settingsTemporary Internet FilesContent.IE5Kujzcdk9c[1]Text.htm”这样的字样(这里只是举个比较常见的例子,实际上不一定所有的病毒都在这个位置),那么恭喜!您的电脑中木马了!你点文件会看见介绍,“病毒类型:特洛伊木马,此程序会假装成一个很有用的文件。。。。。。”等等字样。然后系统会等待你的处理命令,有“隔离”“清除”“删除文件”“跳过”等选项。然而实际上,你选择“清楚”和“删除文件”都没有用,会跳出类似“因为压缩包不能打开,待打开后再作处理”的提示。如果你不是很能应付电脑,可能就被难住了,那么就跟着我进入第三步吧。 第三步,让跳过病毒文件让查毒系统继续查毒。而你就去找个纸和笔,然后把查到的所有木马的地址抄下来,不要嫌麻烦,这已经是很简单的步骤了。 第四步,查毒完毕,并且你将查到的木马的地址全部抄下来之后,你就可以重新启动计算机,然后进入“安全模式”,切记一定要是安全模式。然后,你再参照你抄下的地址,打开C盘,打开C盘下的WINDOWS目录,然后寻找那个叫profilesde的文件夹,接下来是local setting(这是以刚才我举的例子为准,实际要看你抄下的地址),最后一个打开的文件应该是Temporary Internet Files吧,以笔者的经验,木马都是藏在这个名字的文件夹里的。但是当你再点开这个文件夹的时候竟然没有几个文件,也找不到那个叫Content.IE5的文件夹了。这里也可能会把您难住了。那么就进入第五步吧。 第五步,这里找不到Content.IE5文件夹是因为狡猾的木马把它隐藏起来了,而且即使你更改文件夹设置,变成“显示所有文件”也不行。那么怎么办呢?有个很简单的方法,退回到Temporary Internet Files,再单击它,然后点鼠标右键选择“重命名”(或者按F2),然后删掉最后一个字母“s"(当然删别的字母也行只是删最后一个好记),然后确定。会弹出一个提示栏说“Temporary Internet Files是系统文件夹更改名字可能会使系统不能正常运行”等等,不用理它点“确定”,更改名字成功。这时你再双击改名后的Temporary Internet File文件夹,进去后就可以看见亲爱的Content.IE5文件夹了,然后再找到Kujzcdk9文件夹(以上全是以第二步中的例子为参照,实际操作要以你抄下来的病毒文件地址为准)。然后这个文件夹下的所有文件全部删掉(如果你不进入安全模式就不能删掉啦)。如果还有其他病毒文件再照这个方法去做,删掉就可以了。最后,退出Temporary Internet File再将它最尾的那个“s"加回去就行了。 第六步,到http://www.duba.net/download/3/8.shtml上去下载注册表修复工具,对你的注册表进行修复。到这里所有的杀毒就完成了,你再去网上查毒就查不到病毒文件了,嘿嘿~! 第七步,下一次不要又中毒哦~! 好了,在下献丑就到这里吧,希望对那些和我一样的菜鸟们多少有一些帮助,希望大虾不要见笑才是!谢谢~!祝大家天天开心
评论
2001/12 bj2004 /8 ielts2005/2 me2005/4/4 132005/4/7 拿到visa2005/5/26 登陆温哥华--------------------------------------------------------如果您觉得我说的对您有帮助,请点击左下角图标给我加身望!多谢您的鼓励[size=+2]祝广大移友 [/size] 超赞 赏 反馈:waitingME, 太阳雨, 缤纷落叶 和另外1个人 masjhw 0$(VIP 0) 1,4472005-07-19#2 有用,收藏!加SW谢谢楼主的劳动!
评论
上网上成网虫,灌水灌成顾问。跟帖跟成精通,加分加成富翁! 超赞 赏 缤纷落叶普通游神§大智若愚 0$(VIP 0) 5,8542005-07-19#3 加SW
评论
超赞 赏 S so_so580 0$(VIP 0) 872005-08-06#4 加sw,楼主,为什么到第五部时改不了名?说是有写保护?请教了
评论
so_so580 说:加sw,楼主,为什么到第五部时改不了名?说是有写保护?请教了点击展开...计算机启动时按f8键,进入安全模式,便可以更改了
评论
2001/12 bj2004 /8 ielts2005/2 me2005/4/4 132005/4/7 拿到visa2005/5/26 登陆温哥华--------------------------------------------------------如果您觉得我说的对您有帮助,请点击左下角图标给我加身望!多谢您的鼓励[size=+2]祝广大移友 [/size] 超赞 赏 S so_so580 0$(VIP 0) 872005-08-07#6 谢谢你的回复,可是我是在安全模式下做的。不行!请教Traking cookie 和Atdmt cookie是什么木马呀,每次都看见。清楚了下次开机又有。你说的安全模式下也改不了名,很是忧闷~~~~~
评论
对了,它在Documents and setting 内
评论
收藏!
评论
麻烦先看这里:配偶及小孩团聚资料 整理帖http://forum.iask.ca/showthread.php?t=59279 超赞 赏 B bullnew 0$(VIP 0) 3292006-10-25#9 不错啊,谢谢
评论
up
评论
加纷纷
·中文新闻 昆士兰青少年在穆伦巴唐斯(Murrumba Downs)开着被盗汽车闯红灯
·中文新闻 澳洲航空在悉尼机场发动机“爆炸”迫使紧急迫降