从您的报错提示来看,加密服务可能被临时禁止或是已受损。
我们可以先手动启动一下加密服务,看是否可以启动。
1 点击开始菜单,在搜索栏中输入“servicesmsc”(输入时不要打引号),并按下回车。如果此时d出用户账户控制窗口,请您点击“继续”。
2 双击打开“Software Protection service”服务。
3 点击“常规”选项卡,确保“启动类型”是“自动”或者“手动”。然后点击“服务状态”下面的“启用”按钮。
4 以同样的步骤对 “Cryptographic Services”服务进行启用。
5 哪个服务没有启动呢?
如果有服务没法启动,麻烦您将无法启动的服务的名称和您的 *** 作系统的位数回复给我们,我们可以通过导入无损的注册表键值来重建服务您好!
从您的报错提示来看,加密服务可能被临时禁止或是已受损。
我们可以先手动启动一下加密服务,看是否可以启动。
1 点击开始菜单,在搜索栏中输入“servicesmsc”(输入时不要打引号),并按下回车。如果此时d出用户账户控制窗口,请您点击“继续”。
2 双击打开“Software Protection service”服务。
3 点击“常规”选项卡,确保“启动类型”是“自动”或者“手动”。然后点击“服务状态”下面的“启用”按钮。
4 以同样的步骤对 “Cryptographic Services”服务进行启用。
5 哪个服务没有启动呢?
如果有服务没法启动,麻烦您将无法启动的服务的名称和您的 *** 作系统的位数回复给我们,我们可以通过导入无损的注册表键值来重建服务建议:
在企业应用中,服务器网络环境一般都是不允许访问外网的,可以从微软官方网站根据自己的系统类型Windows 2008 R2 Enterprise下载补丁包,而且微软一般过一段时间会出一个补丁包合集,可以下载之后,根据提示安装即可。
win7最新版本补丁是由微软提供的,所以应在微软官方网站下载。由于微软更新服务器速度比较慢,建议采用第三方软件下载,例如金山卫士,方法如下:
1、下载安装金山卫士;
2、运行金山卫士,点击修复漏洞,开始自动扫描;
3 、扫描完成后显示可安装补丁,点击立即修复;
4、自动下载安装补丁,等待完成即可。
INF
重起
ata iaa
dxdiag
补丁
2000的话
w2ksp4_cnexe
Windows2000-KB823980-x86-CHSexe
Windows2000-KB824105-x86-CHSexe
Windows2000-KB828028-x86-CHSexe
Windows2000-KB828749-x86-CHSexe
Windows2000-KB835732-x86-CHSexe
Windows2000-KB837001-x86-CHSexe
等防冲击波补丁木马基本上采用了Windows系统启动时自动加载应用程序的方法,包括有winini、systemini和注册表等。
在winini文件中,[WINDOWS]下面,“run=”和“load=”行是Windows启动时要自动加载运行的程序项目,木马可能会在这现出原形。必须要仔细观察它们,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目,那么你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan,它把自身伪装成commandexe文件,如果不注意可能不会发现它,而误认它为正常的系统启动文件项。
在systemini文件中,[BOOT]下面有个“shell=Explorerexe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorerexe,而是“shell=Explorerexe 程序名”,那么后面跟着的那个程序就是木马程序,明摆着你已经中了木马。现在有些木马还将explorerexe文件与其进行绑定成为一个文件,这样的话,这里看起来还是正常的,无法瞧出破绽。
隐蔽性强的木马都在注册表中作文章,因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT,那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西,通过regedit等注册表编辑工具查看SAM主键,里面下应该是空的。
木马驻留计算机以后,还得要有客户端程序来控制才可以进行相应的“黑箱” *** 作。要客户端要与木马服务器端进行通信就必须得建立一连接(一般为TCP连接),通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测,在第三部分有详细介绍。
三、检测木马的存在
知道木马启动运行、工作的原理,我们就可以着手来看看自己的计算机有没有木马存在了。
首先,查看systemini、winini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看systemini文件
选中“Systemini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorerexe”
,如果不是这样,就可能中了木马了。下图所示为正常时的情况:
2、查看winini文件
选中winini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都
屏蔽掉了
4、查看注册表
由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:
“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己
不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的
服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项
“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“CWINDOWSexpiorerexe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果 *** 作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)