【正文】 ，運(yùn)行，沒(méi)有任何反應(yīng)（廢話?。。┤缓?，我查看進(jìn)程，先把exelinks進(jìn)程殺掉，然后運(yùn)行regedit找不到這個(gè)文件！??！難道是exe文件被關(guān)聯(lián)無(wú)法打開(kāi)了？查找，居然是這個(gè)文件丟了（朋友那里沒(méi)丟，看來(lái)不具備共性），呵呵發(fā)現(xiàn)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面多了一個(gè)網(wǎng)絡(luò)服務(wù) 啟動(dòng)程序名字為 ，這個(gè)當(dāng)然是他了，刪除，呵呵這個(gè)時(shí)候，我重起系統(tǒng)，運(yùn)行regedt32，發(fā)現(xiàn)run里又有了他，殺進(jìn)程，刪除文件既然又有，說(shuō)明還有啟動(dòng)的來(lái)源，來(lái)源是什么？對(duì)了，我不是運(yùn)行了regedt32嗎？這個(gè)可是exe文件啊。，寫(xiě)的exefile，沒(méi)問(wèn)題查看exefile內(nèi)容，shell\open\mand里的內(nèi)容為winnt/system32/ %1 %*，呵呵，果然關(guān)聯(lián)了修改回來(lái)，%1 %*另外根據(jù)zer4tul提示，我在winnt/system32/start 目錄找到了它估計(jì)是想做個(gè)自動(dòng)啟動(dòng)吧，呵呵，這個(gè)文件也刪除掉重起系統(tǒng)，看進(jìn)程，看注冊(cè)表，一切正常了，這樣，木馬就殺完了文件并聯(lián)型木馬的查殺:　　某些用戶經(jīng)常會(huì)很郁悶，自己明明已經(jīng)刪除了木馬文件和相應(yīng)的啟動(dòng)項(xiàng)，可是不知道什么時(shí)候它自己又原封不動(dòng)的回來(lái)了，這還不算，更悲慘的是有時(shí)候殺掉某個(gè)木馬后，系統(tǒng)也出了故障：所有應(yīng)用程序都打不開(kāi)了。這時(shí)候，如果用戶對(duì)計(jì)算機(jī)技術(shù)的了解僅限于使用殺毒軟件，那可只能哭哭啼啼的重裝系統(tǒng)了！　　為什么會(huì)這樣？難道這種木馬還惡意修改了系統(tǒng)核心？其實(shí)答案很簡(jiǎn)單，因?yàn)檫@種木馬修改了應(yīng)用程序（EXE文件）的并聯(lián)方式?！　∈裁词恰安⒙?lián)方式”呢？在Windows系統(tǒng)里，文件的打開(kāi)操作是通過(guò)注冊(cè)表內(nèi)相應(yīng)鍵值指定的應(yīng)用程序來(lái)執(zhí)行的，這個(gè)部分位于注冊(cè)表的“HKEY_CLASSES_ROOT”主鍵內(nèi)，當(dāng)系統(tǒng)收到一個(gè)文件名請(qǐng)求時(shí)，會(huì)以它的后綴名為依據(jù)在這里識(shí)別文件類型，進(jìn)而調(diào)用相應(yīng)的程序打開(kāi)。而應(yīng)用程序自身也被視為一個(gè)文件，它也屬于一種文件類型，同樣可以用其他方式開(kāi)啟，只不過(guò)Windows設(shè)置它的調(diào)用程序?yàn)椤?1 %*”，讓系統(tǒng)內(nèi)核理解為“可執(zhí)行請(qǐng)求”，它就會(huì)為使用這種打開(kāi)方式的文件創(chuàng)建進(jìn)程，最終文件就被加載執(zhí)行了，如果有另外的程序更改了這個(gè)鍵值，Windows就會(huì)調(diào)用那個(gè)指定的文件來(lái)開(kāi)啟它。一些木馬程序把EXE后綴名對(duì)應(yīng)的exefile類型的“打開(kāi)方式”改成了“木馬程序 %1 %*”，運(yùn)行程序時(shí)系統(tǒng)就會(huì)先為“木馬程序”創(chuàng)建進(jìn)程，把緊跟著的文件名作為參數(shù)傳遞給它執(zhí)行，于是在我們看來(lái)程序被正常啟動(dòng)了。因?yàn)槟抉R程序被作為所有EXE文件的調(diào)用程序，使得它可以長(zhǎng)期駐留內(nèi)存，每次都能恢復(fù)自身文件，所以在一般用戶看來(lái)，這個(gè)木馬就做到了“永生不死”。然而一旦木馬程序被刪除，Windows就會(huì)找不到相應(yīng)的調(diào)用程序，于是正常程序就無(wú)法執(zhí)行了，這就是所謂的“所有程序都無(wú)法運(yùn)行”的情況來(lái)源，并不是木馬更改了系統(tǒng)核心，更沒(méi)必要因此重裝整個(gè)系統(tǒng)?！　「@種木馬的最簡(jiǎn)單方法只需要查看EXE文件的打開(kāi)方式被指向了什么程序，立即停止這個(gè)程序的進(jìn)程，如果它還產(chǎn)生了其他木馬文件的話，也一起停止，然后在保持注冊(cè)表編輯器開(kāi)啟著的情況下（否則你的所有程序都會(huì)打不開(kāi)了）刪除掉所有木馬文件，把exefile的“打開(kāi)方式”項(xiàng)（HKEY_CLASSES_ROOT\exefile\shell\open\mand）改回原來(lái)的“”%1“ %*”即可?！　∪绻麆h除木馬前忘記把并聯(lián)方式改回來(lái)，就會(huì)發(fā)現(xiàn)程序打不開(kāi)了，這時(shí)候不要著急，如果你是Win9x用戶，請(qǐng)使用“外殼替換大法”：重啟后按F8進(jìn)入啟動(dòng)菜單選擇MSDOS模式，，再次重啟后會(huì)發(fā)現(xiàn)進(jìn)入Windows只剩下一個(gè)注冊(cè)表編輯器了，趕快把并聯(lián)方式改回來(lái)吧！.　　對(duì)于Win2000/XP用戶而言，這個(gè)操作更簡(jiǎn)單了，只要在開(kāi)機(jī)時(shí)按F8進(jìn)入啟動(dòng)菜單，選“命令提示符的安全模式”，系統(tǒng)就會(huì)自動(dòng)調(diào)用命令提示符界面作為外殼，直接在里面輸入REGEDIT即可打開(kāi)注冊(cè)表編輯器！XP用戶甚至不需要重啟，直接在“打開(kāi)方式”“命令提示符”?！　⊥盗簱Q柱——追回被盜的系統(tǒng)文件　　除了添加自己到啟動(dòng)項(xiàng)、路徑欺騙和更改文件并聯(lián)以外，一般的木馬還有一種計(jì)倆可以使用，那就是替換系統(tǒng)文件。由于如今的操作系統(tǒng)都是由許多文件共同構(gòu)造的，并不是所有用戶都能明白系統(tǒng)文件夾里每個(gè)文件的作用，這就給了木馬可乘之機(jī)，它們盯上了系統(tǒng)里那些不會(huì)危害到系統(tǒng)正常運(yùn)行而又經(jīng)常會(huì)被調(diào)用的程序文件，、。木馬先把系統(tǒng)原來(lái)的文件改名成只有它們自己知道的一個(gè)偏僻文件名，再把自己改名成那個(gè)被替換的文件，這樣就完成了隱藏極深的感染工作，從此只要系統(tǒng)需要調(diào)用那個(gè)被替換的程序進(jìn)行工作，木馬就能繼續(xù)駐留內(nèi)存了。那么文件被替換會(huì)不會(huì)導(dǎo)致系統(tǒng)異常呢？只要木馬沒(méi)有被刪除，就不會(huì)造成系統(tǒng)異常，因?yàn)槟抉R在作為原來(lái)的程序而被系統(tǒng)啟動(dòng)時(shí)，會(huì)獲得一個(gè)由系統(tǒng)傳遞來(lái)的運(yùn)行參數(shù)，這就是系統(tǒng)要求該程序工作的關(guān)鍵所在，木馬會(huì)直接把這個(gè)參數(shù)傳遞給被改名的程序執(zhí)行，像接力比賽那樣完成數(shù)據(jù)操作，這樣在系統(tǒng)看來(lái)就是命令被正常執(zhí)行了，自然不會(huì)出現(xiàn)異常。但是也因?yàn)檫@樣的特性導(dǎo)致木馬被查殺后，系統(tǒng)的某些命令無(wú)法傳遞到本該執(zhí)行操作的程序中，反而讓系統(tǒng)出錯(cuò)了?！　∫迯?fù)它其實(shí)很簡(jiǎn)單，只要記住這個(gè)木馬的文件名，在刪除它之后再?gòu)南到y(tǒng)光盤(pán)復(fù)制一個(gè)“原配”文件就可以了，如果沒(méi)有系統(tǒng)光盤(pán)，就必須通過(guò)工具追蹤木馬傳遞參數(shù)的目標(biāo)程序名，再把它改回來(lái)。第三章、木馬的防御篇上面說(shuō)了一些殺木馬的方法，但這畢竟是很無(wú)奈的事，學(xué)會(huì)怎樣防范木馬的入侵，這才是關(guān)鍵防范木馬的幾點(diǎn)建議：(1)絕對(duì)不要輕易相信從任何地方得來(lái)的任何文件，就算是以你最好的朋友的名義給你的文件也不例外。如果你確實(shí)需要這個(gè)文件，請(qǐng)一定做好徹底檢查。 (2)雙擊文件之前，搞清楚文件的類型、? (3)堅(jiān)持每天升級(jí)你的反病毒軟件和反木馬軟件程序。現(xiàn)在很多這種軟件都有任務(wù)編輯功能，你完全可以讓軟件在夜晚你睡覺(jué)的時(shí)候，自動(dòng)執(zhí)行殺毒和升級(jí)程序，何樂(lè)而不為? (4)確保你所使用的軟件是最新版，并且關(guān)注各大軟件BBS討論版，爭(zhēng)取最大限度地了解你所使用的軟件。很多軟件都有自動(dòng)檢查版本更新的選項(xiàng)，只要打上一個(gè)勾，每次執(zhí)行該程序，都會(huì)自動(dòng)檢查有無(wú)更新版本發(fā)布，非常方便。 (5)經(jīng)常檢查計(jì)算機(jī)上運(yùn)行的進(jìn)程，這不光可以有習(xí)很多計(jì)算機(jī)知識(shí)。助于你發(fā)現(xiàn)木馬，還可以幫助你學(xué) (6)從不知名的小站下載軟件使用是非常危險(xiǎn)的，切忌! (7)一些共享軟件和免費(fèi)軟件也有含有惡意代碼的可能，請(qǐng)留意各大網(wǎng)站的通報(bào)。 (8)仔細(xì)閱讀你的殺毒軟件的說(shuō)明書(shū)，爭(zhēng)取發(fā)揮軟件的最大攻用。 (9)、config等文件。 (10)注意系統(tǒng)中常用文件的長(zhǎng)度，木馬如果捆綁在其中，長(zhǎng)度就會(huì)發(fā)生變化，這是發(fā)現(xiàn)捆綁木馬的好方法。 (11)注意上網(wǎng)時(shí)腦所用端口，對(duì)1024端口以上的不連續(xù)端口要密切注意 (可以通過(guò)鍵入netstara命令來(lái)查看輸出列表中的 LocalAddress項(xiàng)，看看有什么端口是開(kāi)啟的。下面的地址是一個(gè)著名木馬常用端口列表: (12)如果你是一個(gè)木馬愛(ài)好者喜歡收集和研究各種木馬。那么你也要對(duì)你的計(jì)算機(jī)分外小心。 (13)最后一條是特別建議:發(fā)現(xiàn)情況不對(duì)立即斷線。盡管造成上網(wǎng)速度突然變慢的原因有很多，但有理由懷疑由特洛伊木馬造成的也是有根據(jù)的:當(dāng)入侵者使用特洛伊的客戶端程序訪問(wèn)你的機(jī)器時(shí)，會(huì)與你的正常訪問(wèn)搶占帶寬。特別是當(dāng)入侵者從遠(yuǎn)端下載用戶硬盤(pán)上的文件時(shí)，正常訪問(wèn)會(huì)變得奇慢無(wú)比!這時(shí)，你可以雙擊任務(wù)欄有下角的連接圖際，仔細(xì)觀察一下已發(fā)送字節(jié)項(xiàng)，如果數(shù)字變化成13kps(每秒13000字節(jié))，幾乎可以確認(rèn)有人在下載你的硬盤(pán)文件!除非你正在使用FTP功能。當(dāng)發(fā)現(xiàn)上述可疑跡象后，你所能做的就是立即斷線，然后對(duì)硬盤(pán)有無(wú)特洛伊木馬進(jìn)行認(rèn)真的檢查。 (14)多多觀察進(jìn)程列表。在Windows 2000/XP中，Ctrl＋Shift＋Esc組合鍵能快速調(diào)出任務(wù)管理器，而Windows 9X為Ctrl＋Alt＋Del組合鍵。1.“主角”進(jìn)程 　　首先來(lái)熟悉一下系統(tǒng)中的基本進(jìn)程，它們是系統(tǒng)運(yùn)行的基本條件，一般情況下不能關(guān)閉它們，否則會(huì)導(dǎo)致系統(tǒng)崩潰。 　　Windows 2000/XP：、、(可以同時(shí)存在多個(gè))、System Idle Process； 2. 　　它位于系統(tǒng)目錄的System32文件夾，是從動(dòng)態(tài)鏈接庫(kù)(DLL)運(yùn)行服務(wù)的一般性宿主進(jìn)程。在任務(wù)管理器中，不要大驚小怪，這可能是多個(gè)DLL文件在調(diào)用它。不過(guò)，正因?yàn)槿绱?，它也成為了病毒利用的?duì)象，以前的“藍(lán)色代碼”病毒就是一例。另外，如果感染了沖擊波病毒，系統(tǒng)也會(huì)提示“”。 3.“配角”進(jìn)程 　　這些系統(tǒng)進(jìn)程雖然不是系統(tǒng)運(yùn)行必須的，但也經(jīng)常在進(jìn)程列表中拋頭露面。、、、它們都是正常的系統(tǒng)進(jìn)程。 　　建議在安裝完Windows后，點(diǎn)擊“開(kāi)始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”，在打開(kāi)的“系統(tǒng)信息”窗口中再點(diǎn)擊“軟件環(huán)境→正在運(yùn)行任務(wù)”(在此進(jìn)程列表中，可看到更詳細(xì)的屬性，其中程序路徑是非常重要的信息)，接著點(diǎn)擊“操作→另存成文本文件”，以后系統(tǒng)出現(xiàn)異常時(shí)則對(duì)照進(jìn)行分析。另外，“優(yōu)化大師”也提供了保存進(jìn)程快照的功能。 最后要說(shuō)的是，雖然木馬的危害如此之大，我們平常使用計(jì)算機(jī)的時(shí)候注意防范，多多注意，還是可以保護(hù)自己，不受木馬攻擊的。第四章、結(jié)語(yǔ)木馬的發(fā)展促進(jìn)了安全技術(shù)的提高，而安全技術(shù)的提高又迫使木馬必須往更高的級(jí)別發(fā)展，到現(xiàn)在木馬已經(jīng)形成了多個(gè)派系的共存，偵測(cè)它們的方法也不能再像以前那樣簡(jiǎn)單了，例如檢測(cè)異常端口的方法對(duì)于反彈木馬而言是無(wú)效的，它并不在本機(jī)開(kāi)放端口；就算防火墻能阻止內(nèi)部未授權(quán)程序訪問(wèn)網(wǎng)絡(luò)，但那只能針對(duì)TCP/UDP協(xié)議的木馬，別忘記了還有ICMP后門(mén)的存在，防火墻通常不會(huì)阻止這類報(bào)文的。雖然ICMP協(xié)議的數(shù)據(jù)報(bào)文能完成的事情相對(duì)較少，但是對(duì)于一般的命令控制，它已經(jīng)足夠了……Internet上每天都有新的木馬冒出來(lái)，所采取的隱蔽措施也是五花八門(mén)。在信息社會(huì)里，計(jì)算機(jī)用戶對(duì)自己的資料進(jìn)行保密、防止泄漏也變得越來(lái)越重要。防范木馬襲擊也只是提高計(jì)算機(jī)安全性的一個(gè)方面。技術(shù)的發(fā)展，本文所講述的檢測(cè)、刪除木馬方法也總有一天會(huì)失效，最主要還是要靠用戶提高警惕，防范所有的不安全事件于未然。參考文獻(xiàn)：劉強(qiáng)?！赌抉R出師表》。慶出版社。205~206頁(yè)。2003年3月。陳仕云?！逗诳凸Ψ缹?duì)策》。清華大學(xué)出版社。267~317頁(yè)。2002年4月。Donald 著 朱崇高 譯?！稊r截黑客—計(jì)算機(jī)安全入門(mén)》（第二版）。清華大學(xué)出版社。2003年820/