无忧启动论坛

标题: [注意]澄清关于多张盘中出现木马的问题 [打印本页]

作者: crshen 时间: 2004-4-13 22:32
标题: [注意]澄清关于多张盘中出现木马的问题
[这个贴子最后由crshen在 2004/04/13 10:34pm 第 1 次编辑]

链接到相关帖子

作者: koe 时间: 2004-4-13 23:25
标题: [注意]澄清关于多张盘中出现木马的问题
对不起，朋友，你代表谁回答问题？我们如何相信你的权威？请告示。

作者: crshen 时间: 2004-4-14 15:06
标题: [注意]澄清关于多张盘中出现木马的问题
[UploadFile=34_1572_2.rar]

下面引用由koe在 2004/04/13 11:25pm 发表的内容：
对不起，朋友，你代表谁回答问题？我们如何相信你的权威？请告示。

我只是出于对论坛各位制作系统维护光盘及贡献技术的人的敬佩，并在需要的时候坚持一下事实，因为我很喜欢用他们的盘，不具备任何权威，大家可以信，也可以不信。
不过我今天总算找到了比较好的办法来进一步验证光盘中的木马：
1.可以把盘中“有木马的”程序全部拷出来，到网上找到相应的原版程序，用aspack2.12压缩后，与光盘中拷出的程序进行字节比较或MD5校验;
2.直接运行“有木马的”程序，用木马克星或杀毒软件扫描内存;
3.关闭所有网络连接，直接运行“有木马的”程序，用端口扫描器扫描打开的端口;
4.运行“有木马的”程序一次后，用附件中的程序查看注册表自启动项，和用windows自带的sysedit，查看win.ini、system.ini中的启动项。（此种方法对大部分木马有效，但对文件注入型木马无效）
5.所谓有木马的程序确实执行了原来的程序功能，因此即使真的有木马，也肯定是文件捆绑（我刚开始时曾怀疑程序本身就是木马，只不过改了图标），可以用filemon监视文件的操作，因为它必然要释放出木马文件。

作者: ppp519 时间: 2004-4-15 02:41
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)