跟关联木马说拜拜 |
| 说道关联木马,很多人都不是很清楚怎么回事情。诸如,什么是关联木马?关联木马会产生什么危害?如何预防关联木马? |
| 这些都是一系列问题。 |
| 通过一个生动的实验,大家就可以明白什么是关联木马,以及对关联木马的危害就非常清楚了。 |
| 实验步骤如下: |
| 1、打开注册表编辑器; |
| 2、依次展开到HKEY_CLASSES_ROOT/exefile/shell/open/command,这里是exe文件的打开方式,默认键值为:“%1”%*。如 |
| 果把默认键值改为NOTEPAD.EXE“%1”%*会发生什么情况呢?大家试着修改一下。 |
| 3、修改好键值之后,不要关闭注册表编辑器(不要忘记哦!如果忘记的话,嘿嘿,够戗!假如您真的忘记而关闭注册表编辑 |
| 器,碰到不解时,请找到C:WINDOWSregedit.exe,并把regedit.exe更名为regedit.com即可解您燃眉之急!),返回到桌面,您 |
| 试着运行任何一个exe文件,这个NOTEPAD.EXE文件(记事本进程)就会被执行。看看是否如此?木马灰鸽子就采用关联exe文件的 |
| 打开方式,而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。 |
| 4、修改command为默认数值。不要忘记了啊! |
| 好了,实验结束了。通过这个实验,大家在惊奇的同时,是否也吓出了一身冷汗?呵呵······您是否想过,如果这里 |
| 的NOTEPAD.EXE不是记事本进程,而是一个木马进程,那会怎样?好了.至此,相信大家对关联木马有了清楚的认识和深刻的理解. |
| 那么该如何预防这样的木马了呢?预防关联木马的方法N多,这里就简单的介绍一个通过注册表修改的方法来预防关联木马。 |
| 步骤如下: |
| 1、回到刚才做实验的这个位置:HKEY_CLASSES_ROOT/exefile |
| 2、exefile上,右键,权限; |
| 3、弹出的对话框上,exefile的权限设置界面,看到了什么? |
| 您将会看到,有几个不同权限的用户(即Administrators、SYSTEM、CREATOR OWNER、Power Users、Users),以及每个用户 |
| 所拥有的权限。 |
| 他们主要是:完全控制、读取、特别的权限、好了,问题的关键到了。预防关联木马的小技巧就在这里。 |
| 4、选择高级 |
| 高级安全设置对话框上,会出现几个用户。默认下都是允许的权限。您试着在Administrators、SYSTEM、CREATOR OWNER、 |
| Power Users、Users用户上,点击编辑,将会看到这样的一些权限。 |
| 这些权限主要包括这样几个: |
| 完全控制、查询数据、设置数据、创建子项、枚举子项、通知、创建链接、删除、写入DAC、写入所有者、读取控制、每个用户所 |
| 拥有的权限是不同的。 |
| 5、预防核心技巧到了。注意:下面的步骤一定要小心了!千万别搞错了! |
| 请您在Administrators用户上,点击编辑(SYSTEM、CREATOR OWNER、Power Users、Users用户雷同,就不罗嗦了),出现的 |
| 对话框上,您将会看到Administrators拥有的权限。默认下是完全控制的权限。还有,您是否看到在权限选项里有允许和拒绝两 |
| 个选项了吗? 好的,修改的关键就在这里。请在拒绝下面,钩选如下几个: |
| 设置数据、创建子项、创建链接、删除、写入DAC、写入所有者钩选完之后,再仔细检查一下,不要钩选错了哦!(如果钩选 |
| 出错,不要找偶啊!)好了,点击确定。返回高级安全设置主界面,再分别给SYSTEM、CREATOR OWNER、Power Users、Users用户 |
| 都进行类似设置。即都拒绝他们拥有。 |
| 如下的权限: |
| 设置数据、创建子项、创建链接、删除、写入DAC、写入所有者,当然,有些用户默认下就没有设置数据、创建子项、创建 |
| 链接、删除、写入DAC、写入所有者的权限,比如Users用户等。您可以不设置他拒绝的权限。不过个人认为,设置会更加妥当。 |
| ——注意:每个用户设置完都请再仔细检查一遍!出错了偶不负责哦! |
| ——只要您按照我说的去做,完全没有任何危险!也不要太担心了!呵呵······ |
| 6、此时,您一定对每个用户拥有的权限都设置完毕,并回到高级安全设置对话框主界面。请您仔细看,您将发现,多了一些 |
| 拒绝的权限。这就是您刚才设置的结果。好了,点击运用,返回exefile的权限设置界面。再点击确定。 |
| 好了。EXE文件关联木马跟您没有缘分了。 |
| 其他的,如,TXT、COM、OCX、SCR、ZIP、RAR、HTM、HTML等等关联木马设置,参照即可。通过这样的设置之后,已经被您设 |
| 置为防范对象的关联木马就可以对他说拜拜了! |
| 经过这样的设置,对系统、程序运行一般不会有什么影响。我记得好象对注册为系统服务的软件有影响,导致那些软件不能 |
| 注册为系统服务。针对这样的情况,可以修改回去,等软件安装之后,再改回来即可。 |
| 事先声明:我自己设置时,试过EXE、TXT、OCX、COM、BAT、SCR等等关联设置,没有任何问题。没有试过修改全部文件关联 |
| 的情况。所以,如果您试图修改所有的文件关联注册表键值,并以此进行防御,其结果如何,尤其对系统有无影响,我不做评价 |
| 。个人认为,主要设置几个就够了。还有,留心网络动态,合理设置才比较好。 |
