反黑风暴-第26章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



这个文件会在WindowsXP版本中存在，它保存了当前目录图片的所有缩略图（也可以说是缓冲文件），它可以方便用户对图片进行预览，图片越多，这个文件可能就越大，这是正常的。由于系统默认不会显示隐藏的文件，因此，大多数人不会注意这个文件。

若想查看这个隐藏的thumbs。db数据库文件，可打开【文件夹选项】对话框，选择【查看】选项卡，取消选中“隐藏受保护的操作系统文件（推荐）”复选项。单击【确定】按钮，即可在当前目录中看到隐藏的thumbs。db文件了。

在WindowsXP系统下，如果不想在系统中生成这种thumbs。db文件，可在【文件夹选项】对话框中选择【查看】选项卡，选中“文件和文件夹”选项区域下的“不缓存缩略图”复选项，就不会产生这种文件了。

但选中“不缓存缩略图”复选项只是对以后的图片不会缓存，已存在的thumb。db文件不会自动删除，需要用户手动删除掉这个文件。这个隐藏的thumbs。db文件中存放了哪些信息？利用“缩略图查看器”工具可查看这个文件中包含的图片信息。从网上下载并运行最新版本的“缩略图查看器”工具，选择【文件】→【打开文件】菜单项，在弹出的【请选择Thumbs。db文件】对话框中找到刚才打开的目录下的thumbs。db文件。

单击【打开】按钮，即可在“缩略图查看器”工具中打开这个文件。可以看出，这个文件中包含了当前目录图片所有的缩略图。以前用户删除的图片也仍然保存在这个文件中，并没有被完全删除。

第二章　来自网络的信息泄漏

网络是一个开放的空间，它在为网民工作生活带来便利的同时，也时刻威胁着网民的个人隐私，比如经常收到莫名其妙的邮件，这些邮件可能隐藏着木马或病毒，当用户不小心打开它的时候，可能就会被这些木马控制，盗取用户的信息。

9。2。1隐藏的各种木马和病毒

一旦计算机不小心被植入木马和病毒，计算机中的一切操作都将被监控，窃取用户电脑中的隐私信息也就不在话下了。为了避免中招，建议大家不要随意打开未经验证的网址和邮件，因为网站和邮件是木马和病毒的主要传播来源。本节将介绍几种常见的木马和病毒及其清除方法，帮助用户认识这些隐藏的木马和病毒，保护用户的信息安全。

远程控制软件是具有隐蔽性入侵的黑客软件，因此，它被形象地称之为木马。

目前的木马主要具备如下几种功能：

●修改注册表：木马在本机上运行后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可借这条通道与服务端上的木马程序取得联系，任意修改服务端注册表，包括删除、新建或修改主键、子键、键值。有了这项功能，控制端就可以禁止服务端光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽。

●文件操作：控制端可借由远程控制对服务端上的文件进行各种操作，如更改文件、新建文件、上传或下载文件，及将对方的文件拷贝一份等操作。

●窃取密码：一切以明文的形式（***形式的密码）或缓存在Cache中的密码都能被木马侦测到。很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，从键盘输入的任何字符都被记录下来，所以一旦有木马入侵，密码将很容易被窃取。

●视频监控：打开对方的视频摄像头，远程查看摄像头捕获的画面，与公共场所的视频监控没有区域。

●屏幕监视：能够查看对方的计算机屏幕，对方操作计算机的整个过程，如看电脑、编辑文档、聊天等，攻击者都能看到。

●远程终端：操作系统的命令提示符，方便用指令操作计算机，如新建系统用户、查看网络状态等。

常见的木马和病毒主要有网络公牛木马、网络神偷木马、冰河木马、灰鸽子木马、AV终结者病毒、熊猫烧香病毒和股票盗贼病毒等。这里介绍一下冰河木马、AV终结者病毒和股票盗贼病毒和清除方法。

1。“冰河”木马

“冰河”木马属于BackDoor一类的黑客软件，实际上是一个小小的服务器程序（安装在要入侵的机器中），这个小小的服务端程序功能十分强大，通过客户端（安装在入侵者的机器中）的各种命令来控制服务端的机器，并可以轻松的获得服务端机器的各种系统信息。

“冰河”木马的服务端程序通常情况下会被植入一个有趣的游戏中、一个应用程序里或伪装成一幅图片，伪装的十分巧妙，让人难以分辨。当用户不小心运行它们或打开这个图片时，就会运行这个木马程序。一旦计算机中了这个木马，就会被它控制。

“冰河”木马主要具有如下几种功能：

●远程文件操作：包括创建、删除、上传、下载、复制文件或目录、文件压缩、快速浏览文本文件、远程打开文件（包括以正常、最大化、最小化和隐藏四种方式打开）等多项文件操作功能。

●记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。冰河木马2。0以上版本还提供了击键记录功能。

●发送信息：以四种常用图标向被控端发送简短信息。

●点对点通讯：以聊天室形式与被控端进行在线交谈。

●限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

●自动跟踪目标机屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕中，这个功能适用于局域网用户。

●获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

●注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

“冰河”木马在计算机中运行后，在C：Windowssystem目录下会自动生成Kernel32。exe和Sysexplr。exe两个文件。其服务器端程序为G…server。exe，客户端程序为G…client。exe，默认连接端口为7626。在每次启动计算机后，Kernel32。exe都会自动加载并运行，而Sysexplr。exe文件自动和*。文件关联，即使删除Kernel32。exe，但只要运行了*。文件，Sysexplr。exe又会被再次激活，进而又生成Kernel32。exe。对这种木马进行查杀可采用如下方法进行操作。

首先，删除C：Windowssystem目录下的Kernel32。exe和Sysexplr。exe文件。由于“冰河”木马运行后，往往会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersionRun创建键值C：/windows/system/Kernel32。exe，因此，还需要用户删除该键值。再展开注册表中的HKEY_LOCAL_MACHINE/software/microsoft/windows/CurrentVersion/Runservices项，删除键值C：/windows/system/Kernel32。exe。

再将注册表HKEY_CLASSES_ROOT/file/shell/open/mand项下的键值C：/windows/system/Sysexplr。exe％1修改为C：/windows/notepad。exe％1，即可恢复文件关联功能。最后，将本机上的杀毒软件升级到最新版本，对整个系统进行全面杀毒。

2．“AV终结者”病毒

“AV终结者”名称中的“AV”是“反病毒”（Anti…Virus）的缩写，它是一种反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”病毒主要是通过U盘、移动硬盘的自动播放功能传播，它最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。

当这种病毒在本机上运行后，会在本地磁盘和移动磁盘中复制病毒文件和anuorun。inf文件，当用户双击盘符时就会激活病毒，即使是重装系统也是无法将病毒彻底清除的。

计算机感染这种病毒，通常会出现如下几种常见的现象：

●不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

●禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

●绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

●在本地硬盘、U盘或移动硬盘生成autorun。inf和相应的病毒程序文件，然后通过自动播放功能进行传播。很多用户格式化系统分区后重装系统，当访问其他磁盘时，系统就会立即再次中毒。

●破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

当计算机中了“AV终结者”病毒，用户可以利用“AV终结者”专杀工具进行查杀。具体的操作步骤如下：

步骤01在工作正常的计算机（非中“AV终结者”病毒的计算机）上下载“AV终结者”专杀工具，并禁止自动播放功能，避免插入的U盘和移动硬盘感染病毒。

步骤02单击【开始】按钮，在弹出的面板中选择【运行】菜单项，在弹出的【运行】对话框中输入“gpedit。msc”，即可打开【组策略】窗口。在窗口的左侧依次展开“计算机配置”→“管理模板”→“系统”选项，在窗口的右侧选择“关闭自动播放”选项并右键单击，在弹出的快捷菜单中选择【属性】菜单项。

步骤03打开【关闭自动播放属性】对话框，在其中选中“已禁用”单选按钮，单击【确定】按钮。

步骤04将“AV终结者”专杀工具从工作正常的计算机中拷贝到中毒的计算机中，并运行该软件。在其主窗口中单击【禁用自动播放】按钮，禁止自动播放功能。

步骤05单击【开始扫描】按钮，即可对计算机中的病毒进行查杀，修复被破坏的系统配置。查杀结束后，不要立即重新启动计算机，先将计算机中安装的杀毒软件的病毒库升级到最新版本，然后进行全盘扫描，查杀“AV终结者”下载的其他病毒后，再重新启动计算机。

3。“股票盗贼”病毒

“股票盗贼”病毒主要以偷盗用户的账号和密码为目的，它会记录下用户的操作信息，把账户密码信息发送给指定电子邮箱，这一切都在用户完全不知情的状况下发生。目前，这种主要针对银行、网络游戏、即时通讯工具的木马病毒对网络安全已造成严重威胁。要清除这种病毒，可利用“金山毒霸肉鸡检测器——金山系统急救箱”工具进行查杀。

具体的操作步骤如下：

步骤01从网上下载“金山毒霸肉鸡检测器——金山系统急救箱”工具，双击其安装图标，即可打开【欢迎使用系统急救箱安装向导】对话框。

步骤02单击【下一步】按钮，即可弹出【选择目标位置】对话框，在其中设置系统急救箱的安装位置。

步骤03单击【下一步】按钮，即可弹出【选择额外任务】对话框。若要安装“金山网盾”软件，可选中其中的“金山网盾”复选项；若要在桌面上创建图标和快速启动图标，可选中“创建桌面图标”和“创建快速启动图标”复选项。

步骤04单击【下一步】按钮，即可弹出【准备安装】对话框。

步骤05单击【安装】按钮，即可打开【安装中】对话框，在其中可按照用户的设置安装软件。安装初步完成后，即可弹出【信息】对话框。

步骤06仔细阅读【信息】对话框中的内容后，单击【下一步】按钮，即可弹出【完成系统急救箱安装向导】对话框。

步骤07单击【完成】按钮，即可弹出【金山系统急救箱…315特别版】窗口，并自动对系统进行各项检测。

步骤08在检测完毕后，即可在【金山系统急救箱…315特别版】窗口中显示出“检测报告”和“诊断结果”。其中提示用户系统中存在有风险的加载项，这台计算机可能是肉鸡。

步骤09单击【详细》》】按钮，即可查看检测的详细结果，其中列出了存在风险的启动项。

步骤10若要清除存在风险的启动项，可选中项目前的复选框，单击【立即清除】按钮，即可进行查杀。此时，即可弹出【提示信息】对话框。单击【是】按钮，重新启动计算机，即可完成病毒的查杀。

木马和病毒能够在用户毫无防备的情况下侵入电脑，盗取用户的账号、密码等私人信息。因此，也要防备这些无形的“杀手”，以免信息泄漏。在社会工程学的入侵中，木马不只局限于传统的黑客攻击，而是呈多样化的。心怀恶意的人可能会在公司账务部门的计算机中植入木马，以达到获取个人利用，甚至于商业窃密的目的。

9。2。2从数据包中嗅探秘密

对于