“似乎在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan下面,多了几个键值,分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$,其内部键值如下: "Flags"=dword:00000302
"Type"=dword:00000000
"Path"="A://" 《-----路径是A到F
"Parm2enc"=hex:
"Parm1enc"=hex:
"Remark"="黑客帝国"
”
“这就对了,然后您在浏览器的地址栏输入//111.111.111.1/CJT_C$。” “啊!居然把我的C盘目录文档显示出来了。”
“现在您把CJT_C$改成matrix然后重启电脑,接着在浏览器的地址栏输入//111.111.111.1/matrix。” “前辈也显示C盘目录文档了,很奇怪的是,在我的电脑里面硬盘看上去并没有共享啊?”
“哈哈,那您再把"Flags"=dword:00000302的302改成402,reboot电脑。” “嘻嘻,硬盘共享已显示出来了。那么如何防止这种木马那?”
[NextPage]
“哈哈哈哈,这种木马只但是用了一个巧妙的方法隐藏起来而已。您现在把HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部删掉。假如您还放心不下,也能够把windows/system/下面的Vserver.vxd(Microsoft 网络上的文档和打印机共享,虚拟设备驱动程式)删掉,再把[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/下的VSERVER键值删掉。这样就能够了。另外,对于驱动程式/动态链接库木马,有一种方法能够试试,使用Windows的〖系统文档检查器〗,通过〖开始菜单〗-〖程式〗-〖附件〗-〖系统工具〗-〖系统信息〗-〖工具〗能够运行〖系统文档检查器〗,用〖系统文档检查器〗可检测操作系统文档的完整性,假如这些文档损坏,检查器能够将其还原,检查器还能够从安装盘中解压缩已压缩的文档。假如您的驱动程式或动态链接库在您没有升级他们的情况下被改变了,就有可能是木马,提取改变过的文档能够确保您的系统安全和稳定。” 六 “此外很多人中木马都会采用如下手段: 1.先跟您套近乎,冒充成漂亮的美眉或其他的能让您轻信的人,然后想方设法的骗您点他发给您的木马。 2.把木马用工具和其他的软件捆绑在一起,然后在对文档名字进行修改,然后修改图标,利用这些虚假的伪装欺骗麻痹大意的人。
3.另外一种方法就是把木马伪装好后,放在软件下载站中,着收渔翁之利。 所以我这里提醒您一些常见的问题,首先是不要随便从小的个人网站上下载软件,要下也要到比较有名、比较有信誉的站点,通常这些网站的软件比较安全。其次不要过于相信别人,不能随便运行别人给的软件。而且要经常检查自己的系统文档、注册表、端口等,而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文档后缀名的默认配置,这样能够让我们看清楚文档真正的后缀名字。最后要提醒您的是,假如有一天您突然发现自己的电脑硬盘莫名其妙的工作,或在没有打开任何连接的情况下,猫还在眨眼睛,就立即断线,进行木马的搜索。” “多谢前辈赐教,晚生无以为报,就送给前辈一个电子贺卡作为答谢吧。” “好的,不错很漂亮。” “哈哈哈哈,前辈没有发现自己的硬盘在转吗?您的木马端口秘籍我已得到了,前辈您真是聪明一世糊涂一时,我的贺卡中夹着一个木马,而且就是冰河,前辈没有想到吗?”
“您…………”(晕倒过去)
