大家认为系统文件是按照原来的规则还是？

jiao轩

我见到有些规则是直接%windir%\* 有些则是按照原来的规则加以修改。大家认为哪种更好，或者说各有什么好处？而且大家对系统文件都不是很严格，只是贺岁规则有限制，大家觉得有必要给系统文件作限制吗？
多谢指教~~~

accordion

回复 1楼 jiao轩 的帖子

什么原来的规则？%windir%\*是最全面的了

你要严格也可以，可是要排除，有点烦，你要的话自己也可以做一套

并且除explorer,services,svchost，msiexec等这些常用的，其他全部禁止都可以（但是winlogon这些就不要了）

你还想严格的话，上面所说的完全可以加以限制
（比如说排除system32的库文件，服务排除，驱动排除，文件排除，）
特别是scvhost,services这两个，你要认真玩真的可以很变态，explorer更不用说了
只是实在太麻烦没人做罢了。（真的很好玩）

不过带来的好处就是带毒不中毒，实现完全驱动控制等一系列副产品

accordion

服务和驱动
我的，请讽刺，打击

huangzhifan1

accordion 发表于 2011-1-25 23:27
服务和驱动
我的，请讽刺，打击

在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录：点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd回车，再输入cd  C：WindowsSystem32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令：dir *.exe>exebackup.txt &dir *.dll>dllbackup.txt回车。

这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txt>different.txt &fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。  

accordion

回复 4楼 huangzhifan1 的帖子

好方法...


可是如果是替换性木马呢？

huangzhifan1

替换还不是一样 一个命令就可以发现区别了 还有修改版本 MD5值等 最简单办法就是急救箱 和系统备份  

jiao轩

回复 6楼 huangzhifan1 的帖子

强啊……学习了~~~

jiao轩

回复 2楼 accordion 的帖子

其实就是说是将系统目录定为还是%windir%\*好？另外你觉得explorer是抽出来还是放在系统分组里面？

huangzhifan1

上面有些事win7才有的 直接放个贺岁版修改版 吧 你自己再改改

huangzhifan1

这是我贺岁版修改版 防火墙和D+我都关了的 你可以参照修改 有些进程是win7的 我自己是xp系统