【正文】 ，運行，沒有任何反應（廢話！?。┤缓?，我查看進程，先把exelinks進程殺掉，然后運行regedit找不到這個文件?。。‰y道是exe文件被關(guān)聯(lián)無法打開了？查找，居然是這個文件丟了（朋友那里沒丟，看來不具備共性），呵呵發(fā)現(xiàn)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面多了一個網(wǎng)絡服務 啟動程序名字為 ，這個當然是他了，刪除，呵呵這個時候，我重起系統(tǒng)，運行regedt32，發(fā)現(xiàn)run里又有了他，殺進程，刪除文件既然又有，說明還有啟動的來源，來源是什么？對了，我不是運行了regedt32嗎？這個可是exe文件啊。，寫的exefile，沒問題查看exefile內(nèi)容，shell\open\mand里的內(nèi)容為winnt/system32/ %1 %*，呵呵，果然關(guān)聯(lián)了修改回來，%1 %*另外根據(jù)zer4tul提示，我在winnt/system32/start 目錄找到了它估計是想做個自動啟動吧，呵呵，這個文件也刪除掉重起系統(tǒng)，看進程，看注冊表，一切正常了，這樣，木馬就殺完了文件并聯(lián)型木馬的查殺:　　某些用戶經(jīng)常會很郁悶，自己明明已經(jīng)刪除了木馬文件和相應的啟動項，可是不知道什么時候它自己又原封不動的回來了，這還不算，更悲慘的是有時候殺掉某個木馬后，系統(tǒng)也出了故障：所有應用程序都打不開了。這時候，如果用戶對計算機技術(shù)的了解僅限于使用殺毒軟件，那可只能哭哭啼啼的重裝系統(tǒng)了！　　為什么會這樣？難道這種木馬還惡意修改了系統(tǒng)核心？其實答案很簡單，因為這種木馬修改了應用程序（EXE文件）的并聯(lián)方式。　　什么是“并聯(lián)方式”呢？在Windows系統(tǒng)里，文件的打開操作是通過注冊表內(nèi)相應鍵值指定的應用程序來執(zhí)行的，這個部分位于注冊表的“HKEY_CLASSES_ROOT”主鍵內(nèi)，當系統(tǒng)收到一個文件名請求時，會以它的后綴名為依據(jù)在這里識別文件類型，進而調(diào)用相應的程序打開。而應用程序自身也被視為一個文件，它也屬于一種文件類型，同樣可以用其他方式開啟，只不過Windows設置它的調(diào)用程序為“%1 %*”，讓系統(tǒng)內(nèi)核理解為“可執(zhí)行請求”，它就會為使用這種打開方式的文件創(chuàng)建進程，最終文件就被加載執(zhí)行了，如果有另外的程序更改了這個鍵值，Windows就會調(diào)用那個指定的文件來開啟它。一些木馬程序把EXE后綴名對應的exefile類型的“打開方式”改成了“木馬程序 %1 %*”，運行程序時系統(tǒng)就會先為“木馬程序”創(chuàng)建進程，把緊跟著的文件名作為參數(shù)傳遞給它執(zhí)行，于是在我們看來程序被正常啟動了。因為木馬程序被作為所有EXE文件的調(diào)用程序，使得它可以長期駐留內(nèi)存，每次都能恢復自身文件，所以在一般用戶看來，這個木馬就做到了“永生不死”。然而一旦木馬程序被刪除，Windows就會找不到相應的調(diào)用程序，于是正常程序就無法執(zhí)行了，這就是所謂的“所有程序都無法運行”的情況來源，并不是木馬更改了系統(tǒng)核心，更沒必要因此重裝整個系統(tǒng)?！　「@種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序，立即停止這個程序的進程，如果它還產(chǎn)生了其他木馬文件的話，也一起停止，然后在保持注冊表編輯器開啟著的情況下（否則你的所有程序都會打不開了）刪除掉所有木馬文件，把exefile的“打開方式”項（HKEY_CLASSES_ROOT\exefile\shell\open\mand）改回原來的“”%1“ %*”即可?！　∪绻麆h除木馬前忘記把并聯(lián)方式改回來，就會發(fā)現(xiàn)程序打不開了，這時候不要著急，如果你是Win9x用戶，請使用“外殼替換大法”：重啟后按F8進入啟動菜單選擇MSDOS模式，，再次重啟后會發(fā)現(xiàn)進入Windows只剩下一個注冊表編輯器了，趕快把并聯(lián)方式改回來吧！.　　對于Win2000/XP用戶而言，這個操作更簡單了，只要在開機時按F8進入啟動菜單，選“命令提示符的安全模式”，系統(tǒng)就會自動調(diào)用命令提示符界面作為外殼，直接在里面輸入REGEDIT即可打開注冊表編輯器！XP用戶甚至不需要重啟，直接在“打開方式”“命令提示符”。　　偷梁換柱——追回被盜的系統(tǒng)文件　　除了添加自己到啟動項、路徑欺騙和更改文件并聯(lián)以外，一般的木馬還有一種計倆可以使用，那就是替換系統(tǒng)文件。由于如今的操作系統(tǒng)都是由許多文件共同構(gòu)造的，并不是所有用戶都能明白系統(tǒng)文件夾里每個文件的作用，這就給了木馬可乘之機，它們盯上了系統(tǒng)里那些不會危害到系統(tǒng)正常運行而又經(jīng)常會被調(diào)用的程序文件，、。木馬先把系統(tǒng)原來的文件改名成只有它們自己知道的一個偏僻文件名，再把自己改名成那個被替換的文件，這樣就完成了隱藏極深的感染工作，從此只要系統(tǒng)需要調(diào)用那個被替換的程序進行工作，木馬就能繼續(xù)駐留內(nèi)存了。那么文件被替換會不會導致系統(tǒng)異常呢？只要木馬沒有被刪除，就不會造成系統(tǒng)異常，因為木馬在作為原來的程序而被系統(tǒng)啟動時，會獲得一個由系統(tǒng)傳遞來的運行參數(shù)，這就是系統(tǒng)要求該程序工作的關(guān)鍵所在，木馬會直接把這個參數(shù)傳遞給被改名的程序執(zhí)行，像接力比賽那樣完成數(shù)據(jù)操作，這樣在系統(tǒng)看來就是命令被正常執(zhí)行了，自然不會出現(xiàn)異常。但是也因為這樣的特性導致木馬被查殺后，系統(tǒng)的某些命令無法傳遞到本該執(zhí)行操作的程序中，反而讓系統(tǒng)出錯了?！　∫迯退鋵嵑芎唵?，只要記住這個木馬的文件名，在刪除它之后再從系統(tǒng)光盤復制一個“原配”文件就可以了，如果沒有系統(tǒng)光盤，就必須通過工具追蹤木馬傳遞參數(shù)的目標程序名，再把它改回來。第三章、木馬的防御篇上面說了一些殺木馬的方法，但這畢竟是很無奈的事，學會怎樣防范木馬的入侵，這才是關(guān)鍵防范木馬的幾點建議：(1)絕對不要輕易相信從任何地方得來的任何文件，就算是以你最好的朋友的名義給你的文件也不例外。如果你確實需要這個文件，請一定做好徹底檢查。 (2)雙擊文件之前，搞清楚文件的類型、? (3)堅持每天升級你的反病毒軟件和反木馬軟件程序?，F(xiàn)在很多這種軟件都有任務編輯功能，你完全可以讓軟件在夜晚你睡覺的時候，自動執(zhí)行殺毒和升級程序，何樂而不為? (4)確保你所使用的軟件是最新版，并且關(guān)注各大軟件BBS討論版，爭取最大限度地了解你所使用的軟件。很多軟件都有自動檢查版本更新的選項，只要打上一個勾，每次執(zhí)行該程序，都會自動檢查有無更新版本發(fā)布，非常方便。 (5)經(jīng)常檢查計算機上運行的進程，這不光可以有習很多計算機知識。助于你發(fā)現(xiàn)木馬，還可以幫助你學 (6)從不知名的小站下載軟件使用是非常危險的，切忌! (7)一些共享軟件和免費軟件也有含有惡意代碼的可能，請留意各大網(wǎng)站的通報。 (8)仔細閱讀你的殺毒軟件的說明書，爭取發(fā)揮軟件的最大攻用。 (9)、config等文件。 (10)注意系統(tǒng)中常用文件的長度，木馬如果捆綁在其中，長度就會發(fā)生變化，這是發(fā)現(xiàn)捆綁木馬的好方法。 (11)注意上網(wǎng)時腦所用端口，對1024端口以上的不連續(xù)端口要密切注意 (可以通過鍵入netstara命令來查看輸出列表中的 LocalAddress項，看看有什么端口是開啟的。下面的地址是一個著名木馬常用端口列表: (12)如果你是一個木馬愛好者喜歡收集和研究各種木馬。那么你也要對你的計算機分外小心。 (13)最后一條是特別建議:發(fā)現(xiàn)情況不對立即斷線。盡管造成上網(wǎng)速度突然變慢的原因有很多，但有理由懷疑由特洛伊木馬造成的也是有根據(jù)的:當入侵者使用特洛伊的客戶端程序訪問你的機器時，會與你的正常訪問搶占帶寬。特別是當入侵者從遠端下載用戶硬盤上的文件時，正常訪問會變得奇慢無比!這時，你可以雙擊任務欄有下角的連接圖際，仔細觀察一下已發(fā)送字節(jié)項，如果數(shù)字變化成13kps(每秒13000字節(jié))，幾乎可以確認有人在下載你的硬盤文件!除非你正在使用FTP功能。當發(fā)現(xiàn)上述可疑跡象后，你所能做的就是立即斷線，然后對硬盤有無特洛伊木馬進行認真的檢查。 (14)多多觀察進程列表。在Windows 2000/XP中，Ctrl＋Shift＋Esc組合鍵能快速調(diào)出任務管理器，而Windows 9X為Ctrl＋Alt＋Del組合鍵。1.“主角”進程 　　首先來熟悉一下系統(tǒng)中的基本進程，它們是系統(tǒng)運行的基本條件，一般情況下不能關(guān)閉它們，否則會導致系統(tǒng)崩潰。 　　Windows 2000/XP：、、(可以同時存在多個)、System Idle Process； 2. 　　它位于系統(tǒng)目錄的System32文件夾，是從動態(tài)鏈接庫(DLL)運行服務的一般性宿主進程。在任務管理器中，不要大驚小怪，這可能是多個DLL文件在調(diào)用它。不過，正因為如此，它也成為了病毒利用的對象，以前的“藍色代碼”病毒就是一例。另外，如果感染了沖擊波病毒，系統(tǒng)也會提示“”。 3.“配角”進程 　　這些系統(tǒng)進程雖然不是系統(tǒng)運行必須的，但也經(jīng)常在進程列表中拋頭露面。、、、它們都是正常的系統(tǒng)進程。 　　建議在安裝完Windows后，點擊“開始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”，在打開的“系統(tǒng)信息”窗口中再點擊“軟件環(huán)境→正在運行任務”(在此進程列表中，可看到更詳細的屬性，其中程序路徑是非常重要的信息)，接著點擊“操作→另存成文本文件”，以后系統(tǒng)出現(xiàn)異常時則對照進行分析。另外，“優(yōu)化大師”也提供了保存進程快照的功能。 最后要說的是，雖然木馬的危害如此之大，我們平常使用計算機的時候注意防范，多多注意，還是可以保護自己，不受木馬攻擊的。第四章、結(jié)語木馬的發(fā)展促進了安全技術(shù)的提高，而安全技術(shù)的提高又迫使木馬必須往更高的級別發(fā)展，到現(xiàn)在木馬已經(jīng)形成了多個派系的共存，偵測它們的方法也不能再像以前那樣簡單了，例如檢測異常端口的方法對于反彈木馬而言是無效的，它并不在本機開放端口；就算防火墻能阻止內(nèi)部未授權(quán)程序訪問網(wǎng)絡，但那只能針對TCP/UDP協(xié)議的木馬，別忘記了還有ICMP后門的存在，防火墻通常不會阻止這類報文的。雖然ICMP協(xié)議的數(shù)據(jù)報文能完成的事情相對較少，但是對于一般的命令控制，它已經(jīng)足夠了……Internet上每天都有新的木馬冒出來，所采取的隱蔽措施也是五花八門。在信息社會里，計算機用戶對自己的資料進行保密、防止泄漏也變得越來越重要。防范木馬襲擊也只是提高計算機安全性的一個方面。技術(shù)的發(fā)展，本文所講述的檢測、刪除木馬方法也總有一天會失效，最主要還是要靠用戶提高警惕，防范所有的不安全事件于未然。參考文獻：劉強?！赌抉R出師表》。慶出版社。205~206頁。2003年3月。陳仕云。《黑客功防對策》。清華大學出版社。267~317頁。2002年4月。Donald 著 朱崇高 譯?！稊r截黑客—計算機安全入門》（第二版）。清華大學出版社。2003年820/