|
|
知识路径: > 恶意代码防范技术原理 > 特洛伊木马分析与防护 > 特洛伊木马防范技术(基于查看开放端口检测特洛伊木马技术、基于重要系统文件检测特洛伊木马技术、基于系统注册表检测特洛伊木马技术、检测具有隐藏能力的特洛伊木马技术、基于网络检测特洛伊木马技术、基于网络阻断特洛伊木马技术、清除特洛伊木马技术等) >
|
相关知识点:7个
|
|
|
|
基本原理是根据特洛伊木马在受害计算机系统上对重要系统文件进行修改留下的痕迹进行判断,通过比对正常的系统文件变化来确认木马的存在。这些重要文件一般与系统的自启动相关,木马通过修改这些文件使得木马能够自启动。例如,在Windows系统中,Autostart Folder、Win.ini、System.ini、Wininit.ini、Winstart.bat、Autoexec.bat、Config.sys、Explorer Startup等常被木马修改。以检查System.ini文件为例,在[BOOT]下面有一个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是木马程序,就说明计算机系统已经被安装上木马。
|
|
|
|
|
|
|
|
|
|
|
|