特洛伊木马精品文稿.ppt

《特洛伊木马精品文稿.ppt》由会员分享，可在线阅读，更多相关《特洛伊木马精品文稿.ppt（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机病毒与反病毒技术 计算机病毒与反病毒技术合肥工业大学计算机学院 张仁斌1特洛伊木马第1 页，本讲稿共44 页主要内容u 特洛伊木马的概念u 特洛伊木马的伪装方式、隐藏方式、自动启动方式u 特洛伊木马的原理及其危害u 特洛伊木马的自动启动技术、隐藏技术、远程监控技术第第77章 章 特洛伊木马 特洛伊木马第2 页，本讲稿共44 页7.1.1 特洛伊木马的定义u 特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件

2、、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息u 古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控7.1 7.1 特洛伊木马概述特洛伊木马概述第3 页，本讲稿共44 页7.1.1 特洛伊木马的定义u 木马与病毒8 一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的8 特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的8 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术

3、寄生在合法程序的进程中8 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类u 木马的最终意图是窃取信息、实施远程监控u 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性7.1 7.1 特洛伊木马概述特洛伊木马概述第4 页，本讲稿共44 页7.1.2 特洛伊木马的结构u 木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成7.1 7.1 特洛伊木马概述特洛伊木马概述第5 页，本讲稿共44 页7.1.3 特洛伊木马的基本原理u 运用木马实施网络入侵的基本

4、过程7.1 7.1 特洛伊木马概述特洛伊木马概述第6 页，本讲稿共44 页7.1.3 特洛伊木马的基本原理u 用netstat查看木马打开的端口7.1 7.1 特洛伊木马概述 特洛伊木马概述第7 页，本讲稿共44 页7.1.3 特洛伊木马的基本原理u 木马控制端与服务端连接的建立8 控制端要与服务端建立连接必须知道服务端的木马端口和IP地址8 由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址8 获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描7.1 7.1 特洛伊木马概述特洛伊木马概述第8 页，本讲稿共44 页7.1.3 特洛伊木马的基本原理木马控制端与服务端

5、连接的建立7.1 7.1 特洛伊木马概述特洛伊木马概述第9 页，本讲稿共44 页7.1.3 特洛伊木马的基本原理u 木马通道与远程控制8 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道8 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作7.1 7.1 特洛伊木马概述特洛伊木马概述第10 页，本讲稿共44 页7.1.3 特洛伊木马的基本原理u 木马的基本原理8 特洛伊木马包括客户端和服务器端两个部分，也就是说，木马其实是一个服务器-客户端程序8 攻击者通常利用一种称为绑定程序(exe-binder)的工

6、具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程8 攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马8 获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的7.1 7.1 特洛伊木马概述 特洛伊木马概述第1 1 页，本讲稿共44 页7.1.4 特洛伊木马的传播方式u 木马常用的传播方式，有以下几种：8 以邮件附件的形式传播 控制端将木马伪装之后添加到附件

7、中，发送给收件人8 通过OICQ、QQ等聊天工具软件传播 在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方8 通过提供软件下载的网站(Web/FTP/BBS)传播 木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马8 通过一般的病毒和蠕虫传播8 通过带木马的磁盘和光盘进行传播7.1 7.1 特洛伊木马概述特洛伊木马概述第12 页，本讲稿共44 页7.1.5 特洛伊木马的危害u 木马的危害即木马能实现的功能，包括：8 窃取数据8 接受非授权操作者

8、的指令8 远程管理服务端进程8 篡改文件和数据8 删除文件和数据8 操纵注册表8 监视服务器的一切动作8 释放病毒8 使系统自毁7.1 7.1 特洛伊木马概述特洛伊木马概述第13 页，本讲稿共44 页7.2.1 特洛伊木马的特性u 特洛伊木马具有如下特性：8 隐蔽性8 非授权性8 欺骗性8 自动运行性8 自动恢复性8 主动性8 功能的特殊性7.2 7.2 特洛伊木马的特性与分类特洛伊木马的特性与分类第14 页，本讲稿共44 页7.2.2 特洛伊木马的分类u 按照对计算机的破坏方式分类8 破坏型8 密码发送型8 远程访问型8 键盘记录型8 DoS攻击型8 代理型8 FTP型8 程序杀手型u 按传

9、输方式分类8 主动型8 反弹端口型8 嵌入式木马7.2 7.2 特洛伊木马的特性与分类特洛伊木马的特性与分类第15 页，本讲稿共44 页7.3.1 木马的伪装方式u 木马通过伪装达到降低用户警觉、欺骗用户的目的8 修改图标8 捆绑文件8 出错提示8 自我销毁8 木马更名7.3 7.3 特洛伊木马的伪装、隐藏与启动特洛伊木马的伪装、隐藏与启动第16 页，本讲稿共44 页7.3.2 木马的隐藏方式u 木马的隐藏方式8 在任务栏里隐藏8 在任务管理器里隐藏8 定制端口8 隐藏通讯8 新型隐身技术7.3 7.3 特洛伊木马的伪装、隐藏与启动特洛伊木马的伪装、隐藏与启动第17 页，本讲稿共44 页7.3

10、.3 木马的启动方式u 经常用的方法主要有以下几种8 集成(捆绑)到应用程序中8 隐藏在Autoexec.bat和Config.sys中8 潜伏在Win.ini中8 在System.ini中藏身8 隐蔽在Winstart.bat中8 隐藏在应用程序的启动配置文件中8 伪装在普通文件中8 内置到注册表中8 隐形于启动组中8 修改文件关联8 修改运行可执行文件的方式8 设置在超级链接中7.3 7.3 特洛伊木马的伪装、隐藏与启动特洛伊木马的伪装、隐藏与启动第18 页，本讲稿共44 页7.4.1 特洛伊木马技术的发展u 木马的发展及成熟，大致也经历了两个阶段8 Unix阶段8 Windows阶段u

11、木马技术发展至今，已经经历了4代8 第一代木马 只是进行简单的密码窃取、发送等，没有什么特别之处8 第二代木马 在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一8 第三代木马 在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度8 第四代木马 在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(ProcessStatusAPI)，实现木马程序的隐藏7.4 7.4 透视木马开发技术透视木马开发技术第19 页，本讲稿共44 页7.4.2 木马程序的自动启动技

12、术u 木马程序的第一次运行，需要用户主动执行，这一次主要是利用伪装方式诱骗用户运行安装木马程序。此后，一般会在用户启动系统的同时自动加载木马程序u 让程序自动运行的方法比较多8 加载程序到启动组，写程序启动路径到注册表的自动启动键值8 修改Boot.ini8 通过注册表里的输入法键值直接挂接启动8 通过修改Explorer.exe启动参数等方法7.4 7.4 透视木马开发技术透视木马开发技术第20 页，本讲稿共44 页7.4.3 木马的伪隐藏技术u 进程、线程和服务8 进程 一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程，同时，每个进程，分别对应了一个不同的PID(P

13、rogressID，进程标识符)。这个进程会被系统分配一个虚拟的内存地址空间，一切相关的程序操作，都会在这个虚拟的空间中进行8 线程 一个进程，可以存在一个或多个线程，线程之间同步执行多种操作。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃8 服务 一个进程当以服务的方式工作的时候，它将在后台工作，Windows9x下不会出现在进程列表中，但是，在WindowsNT/2000下，仍然会显示在进程列表中，并且可以通过服务管理器检查任何的服务程序是否被启动运行7.4 7.4 透视木马开发技术透视木马开发技术第21 页，本讲稿共44 页7.4.3 木马的伪隐

14、藏技术u 伪隐藏与真隐藏8 隐藏木马的服务器端，可以伪隐藏，也可以是真隐藏 伪隐藏 指程序的进程仍然存在，只不过是让他消失在进程列表中 真隐藏 程序彻底地消失，不是以一个进程或者服务的方式工作8 伪隐藏的方法 把木马服务器端的程序注册为一个服务就可以从进程列表中消失，因为系统不认为它是一个进程。但是，这种方法只适用于Windows9x的系统，对于WindowsNT、Windows2000等，通过服务管理器，照样会发现在系统中注册过的服务7.4 7.4 透视木马开发技术透视木马开发技术第22 页，本讲稿共44 页7.4.3 木马的伪隐藏技术 WindowsNT/2000下的伪隐藏 API的拦截技

15、术，也称作进程欺骗技术。在Windows中有多种方法能够看到进程的存在：PSAPI（ProcessStatusAPI）、PDH（PerformanceDataHelper）、ToolHelpAPI。如果能够欺骗用户或入侵检测软件用来查看进程的函数(例如截获相应的API调用，替换返回的数据)，就完全能实现进程隐藏 例如，通过建立一个后台的系统钩子，拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制，当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过，这样就实现了进程的隐藏7.4 7.4 透视木马开发技术透视木马开发技术第23 页，本讲

16、稿共44 页7.4.3 木马的伪隐藏技术8 通过注册服务程序，实现进程伪隐藏WINAPI WinMain(HINSTANCE,HINSTANCE,LPSTR,int)try DWORD dwVersion=GetVersion();/取得Windows的版本号 if(dwVersion=0 x80000000)/Windows 9x隐藏进程列表 int(CALLBACK*rsp)(DWORD,DWORD);HINSTANCE dll=LoadLibrary(KERNEL32.DLL);/装 入KERNEL32.DLL/找到RegisterServiceProcess的入口:rsp=(int(C

17、ALLBACK*)(DWORD,DWORD)GetProcAddress(dll,RegisterServiceProcess);rsp(NULL,1);/注册服务 FreeLibrary(dll);/释放DLL模块 catch(Exception&exception)/处理异常事件 return 0;7.4 7.4 透视木马开发技术透视木马开发技术第24 页，本讲稿共44 页7.4.4 木马的真隐藏技术u 真隐藏则是让程序彻底地消失，不是以一个进程或者服务的方式工作u 当进程为真隐藏的时候，那么这个木马服务器运行之后，就不应该具备一般进程的表现，也不应该具备服务的表现，也就是说，完全溶进了系

18、统的内核8 不把木马作为一个应用程序，而把它作为一个线程、一个其他应用程序的线程，将其注入到其他应用程序的地址空间，而这个应用程序对于系统来说，是一个必不可少、绝对安全的程序，这样，就达到了彻底隐藏的效果，这样的结果，增加了查杀木马的难度7.4 7.4 透视木马开发技术透视木马开发技术第25 页，本讲稿共44 页7.4.4 木马的真隐藏技术u 利用DLL实现简单隐藏8 假设编写了一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现该进程而并不会出现该木马DLL8 如果该进程是可信进程(如资源管理器Explorer.exe)，那么木马DLL作为该进程的一部分

19、，也将成为被信赖的一员而为所欲为8 运行DLL文件最简单的方法是利用RunDLL32.exe Rundll32.exeMyDllMyFunc8 如果在MyDll.DLL的MyFunc函数中实现了木马的功能，在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也是木马的一种简易欺骗和自我保护方法7.4 7.4 透视木马开发技术 透视木马开发技术第26 页，本讲稿共44 页7.4.4 木马的真隐藏技术u DLL木马8 使用RunDLL32的方法进行进程隐藏是简易的，但非常容易被识破8 比较高级的方法是使用DLL木马 工作原理是替换常用的DLL文件，截获并处理特定的消息

20、，将正常的调用转发给原DLL 例如，Windows的Socket1.x的函数都存放在wsock32.dll中，可以写一个wsock32.dll文件，替换原先的wsock32.dll(将其重命名为wsockold.dll，完全实现原DLL的功能是比较麻烦的事情，一般也没这个必要)DLL木马wsock32.dll只做两件事：一是如果遇到不认识的调用，就直接转发给wsockold.dll(使用函数转发器forward)；二是遇到特殊的请求(事先约定的)就解码并处理。这样，理论上只要木马编写者通过Socket远程输入一定的暗号，就可以控制wsock32.dll(木马DLL)做任何操作7.4 7.4 透

21、视木马开发技术 透视木马开发技术第27 页，本讲稿共44 页7.4.4 木马的真隐藏技术 DLL木马技术是比较古老的技术，因此微软也对此做了相当的防范 在Windows2000的system32目录下有一个dllcache目录，一旦操作系统发现被保护的DLL文件被篡改(利用数字签名技术)，就会自动从dllcache中恢复该文件 这个方法也不能算是DLL木马的最佳选择8 采用动态嵌入技术的DLL木马 DLL木马的最高境界是动态嵌入技术 动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术。Windows系统中的每个进程都有自己的私有内存空间，一般不允许别的进程对这个私有空间进行操作，但是实际上

22、，仍然可以利用种种方法进入并操作进程的私有内存。在多种动态嵌入技术(窗口钩子即Hook函数、挂接API、远程线程)中，常用的是远程线程技术7.4 7.4 透视木马开发技术透视木马开发技术第28 页，本讲稿共44 页7.4.4 木马的真隐藏技术 在进程中，可以通过CreateThread函数创建线程 通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程的地址空间 创建一个远程线程，进入远程进程的内存地址空间，就拥有了该远程进程的权限，可以启动一个DLL木马，甚至随意篡改该进程的数据7.4 7.4 透视木马开发技术透视木马开发技术第29

23、页，本讲稿共44 页7.4.4 木马的真隐藏技术u 动态嵌入的实现步骤8 通过OpenProcess函数打开试图嵌入的进程 因为需要写入远程进程的内存地址空间，所以必须申请足够的权限，包括远程创建线程、远程VM操作、远程VM写权限8 为LoadLibraryW函数线程启动DLL木马准备参数 LoadLibraryW函数是在kernel32.dll中定义的一个功能函数，用于加载DLL文件，它只有一个参数，就是DLL文件的绝对路径名(也就是木马DLL文件的全路径文件名)。由于木马DLL是在远程进程内调用的，所以还需要将这个文件名复制到远程地址空间8 计算LoadLibraryW的入口地址，启动远程

24、线程LoadLibraryW，通过远程线程调用木马DLL7.4 7.4 透视木马开发技术 透视木马开发技术第30 页，本讲稿共44 页7.4.4 木马的真隐藏技术u 可以用远程线程技术启动木马DLL，也可以事先将一段代码复制到远程进程的内存空间，然后通过远程线程起动这段代码u 无论是采取哪种方式，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己u 此时的木马，不仅欺骗、进入用户的计算机，甚至进入了用户进程的内部。从某种意义上说，这种木马已经具备了普通病毒的很多特性，如寄生性(与宿主同生共死)7.4 7.4 透视木马开发技术透视木马开发技术第31 页，本

25、讲稿共44 页7.4.5 木马的秘密信道技术u 木马程序的数据传递方法8 利用TCP、UDP传输数据 利用WinSock与目标机的指定端口建立连接，使用send和recv等API进行数据的传递 这种方法的隐蔽性比较差，在命令行状态下使用netstat命令，就可以查看到当前的活动TCP、UDP连接8 攻击者为了不让用户察觉其与木马程序之间的通信，经常使用各种协议来建立控制服务端的秘密通信隧道 利用ICMP协议建立秘密通道 利用HTTP协议建立秘密通道7.4 7.4 透视木马开发技术 透视木马开发技术第32 页，本讲稿共44 页7.4.5 木马的秘密信道技术u 利用ICMP协议建立秘密通道8 IC

26、MP回显请求(type=0)和回显应答(type=8)报文8 规范约定ICMP报文中的标识符和序列号字段由发送端任意选择，因此在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息8 由于防火墙、入侵检测系统等网络设备通常只检查ICMP报文的首部，因此使用ICMP建立秘密通道时往往直接把数据放到选项数据中8 这类秘密信道可以实现直接的客户端和服务端通信，具有准实时的特点7.4 7.4 透视木马开发技术透视木马开发技术第33 页，本讲稿共44 页7.4.5 木马的秘密信道技术u 利用HTTP协议建立秘密通道8 利用反弹端口型木马的“逆向连接”技术建立木马连接8 是合并端口法 使用特殊的

27、手段，在一个端口上同时绑定两个TCP或者UDP连接，通过把木马端口绑定于特定的服务端口之上，比如HTTP的80端口，使得其秘密通信对防火墙更具迷惑性，从而降低秘密通信流量被发现的风险8 使用报文伪装技术建立秘密信道 将数据插入到HTTP协议报文的一些无用的段内，然后利用建立TCP连接的三次握手规则进行秘密通信7.4 7.4 透视木马开发技术透视木马开发技术第34 页，本讲稿共44 页7.4.6 木马的远程监控技术u 木马的远程监控技术，包括8 远程监视技术 对服务端计算机的监视，包括对鼠标、键盘以及屏幕显示、甚至网络流量流向的监视，也包括对服务端计算机系统信息(如磁盘信息、操作系统信息、硬件信

28、息)的搜集8 远程控制技术 远程控制则是攻击者控制服务端计算机按照自己的意愿，运行某程序或关闭某服务，包括控制服务端计算机的鼠标、键盘、操作系统、文件系统，或者让其启动/停止某种服务程序，甚至关闭服务端计算机8 远程监控功能是木马最主要的功能，也是木马的最终目的7.4 7.4 透视木马开发技术透视木马开发技术第35 页，本讲稿共44 页7.5.1 中木马后常出现的状况u 发现以下异常，应当检查计算机是否感染了木马8 当浏览一个网站时，弹出来一些广告窗口是很正常的事情，可是如果用户根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么，就要怀疑是否中了木马8 正在操作计算机，突然一个警

29、告框或者是询问框弹出来，问一些用户从来没有在计算机上接触过的问题8 Windows系统配置经常被莫名其妙地自动更改8 总是无缘无故地读硬盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象8 计算机意外地打开了某个端口，用嗅探器发现存在异常的网络数据传输8 拨号上网用户离线操作计算机时，突然弹出拨号对话框7.5 7.5 检测和清除特洛伊木马 检测和清除特洛伊木马第36 页，本讲稿共44 页7.5.2 检测和清除木马的方法u 反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具u 扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化u 许多管理员过分依赖某些专门针对特洛伊木马的工具来

30、检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任，更何况任何工具软件在防治新木马时都存在一定的滞后性7.5 7.5 检测和清除特洛伊木马检测和清除特洛伊木马第37 页，本讲稿共44 页7.5.2 检测和清除木马的方法u 检测和清除木马的一般流程(对于动态嵌入式DLL木马，一般不是查看端口，而是查看内存模块)8 特洛伊木马入侵的一个明显证据是受害计算机上意外地打开了某个端口7.5 7.5 检测和清除特洛伊木马 检测和清除特洛伊木马用Netstat检测BO木马第38 页，本讲稿共44 页7.5.2 检测和清除木马的方法8 WindowsXP的Netstat工具提供了一个新的-o选项，能

31、够显示出正在使用端口的程序或服务的进程标识符(PID)。有了PID，用任务管理器就可以方便地根据PID找到对应的程序，以便终止之进程标识符PID与映射名称7.5 7.5 检测和清除特洛伊木马检测和清除特洛伊木马第39 页，本讲稿共44 页7.5.3 木马“广外女生”的分析和清除u 木马“广外女生”简介8 是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于Windows98、Windows98SE、WindowsME、WindowsNT、Windows2000或已经安装Winsock2.0的Windows95/97上8 该木马把启动项设在HKLMSOFTWAREClassesexefil

32、eshellopencommand下，这个注册表项的作用是定义运行可执行文件的格式8 木马将HKLMSOFTWAREClassesexefileshellopencommand下的键值由原来的“%1%*”修改为“C:WINDOWSSystem32DIAGCFG.EXE%1%*”，包含了木马程序DIAGCFG.EXE，此后每次再运行任何可执行文件时都要先运行DIAGCFG.EXE，即启动木马7.5 7.5 检测和清除特洛伊木马检测和清除特洛伊木马第40 页，本讲稿共44 页7.5.3 木马“广外女生”的分析和清除u 木马端口8 Fport是FoundStone出品的一个用来列出系统中所有打开的T

33、CP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行中运行fport.exe，可以看到：E:ToolsFport-2.0fportPid Process Port Proto Path584 tcpsvcs-7 TCP C:WINDOWSSystem32tcpsvcs.exe464 msdtc-3372 TCP C:WINDOWSSystem32msdtc.exe1176 DIAGCFG-6267 TCP C:WINDOWSSystem32DIAGCFG.EXE836 inetinfo-7075 TCP C:WINDOWSSystem32inets

34、rvinetinfo.exe836 inetinfo-3456 UDP C:WINDOWSSystem32inetsrvinetinfo.exe7.5 7.5 检测和清除特洛伊木马 检测和清除特洛伊木马第41 页，本讲稿共44 页7.5.3 木马“广外女生”的分析和清除u 清除木马8 由于“广外女生”木马自启动项的特殊性，如果先删除C:WINDOWSSystem32目录下的DIAGCFG.EXE，将无法在系统中运行任何可执行文件。因此，清除该木马应按如下步骤，不能颠倒：(1)按“开始”菜单，选择“运行”，输入regedit，按确定，打开下面键值：HKEY_LOCAL_MACHINESOFTWA

35、REClassesexefileshellopencommand，但是不要修改，因为如果这时就修改注册表，DIAGCFG.EXE进程仍然会立刻把它改回来(2)打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时又会启动DIAGCFG.EXE7.5 7.5 检测和清除特洛伊木马 检测和清除特洛伊木马第42 页，本讲稿共44 页7.5.3 木马“广外女生”的分析和清除(3)把HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencomma

36、nd的键值由原来的“C:WINDOWSSystem32DIAGCFG.EXE%1%*”改为“%1%*”。这样，即使不删除DIAGCFG.EXE文件，只要用户不再双击运行之，木马就会因无激活机会而不能继续实施破坏(4)删除C:WINDOWSSystem32目录下的DIAGCFG.EXE8 如果要深入分析这个木马，可以在第(4)步中不删除它，而是把它拷贝到其他的目录以便研究7.5 7.5 检测和清除特洛伊木马检测和清除特洛伊木马第43 页，本讲稿共44 页思考题u 1简述特洛伊木马的基本原理。u 2如何理解木马与病毒的关系？u 3木马有哪些伪装方式、隐藏方式、自动启动方式？u 4针对木马利用Windows注册表实现自动启动的各种途径(诸键值)，查阅与注册表操作相关的API函数，编程实现敏感键值的监视与自动清除或恢复。u 5如何预防木马？结合木马的藏身之所、隐藏技术，总结清除木马的方法。第44 页，本讲稿共44 页