木马是什么意思 怎么通过登录档找木马

怎么通过登录档找木马  

怎么通过登录档找木马

这个需要通过具体例项来说明

如何通过登录档手动杀尽木马

这里有篇文章可以参考下...平时重视防毒才素王道...

怎么把AutoRuns木马从登录档删掉

用冰刃软体就可以删除的。。。

怎样通过登录档手动解决木马呢？有无对一切木马的通行办法？

我觉得，你可以把你正常情况下，系统开放的埠记录下来，以后感觉到不对劲时，cmd中stat -an检视开放埠，做一个对比，把那些多出来的埠关掉就可以了

怎样通过登录档“禁用登录档”

登录档禁用
在登录档HKEY_CURRENT_USERSofareMicrosoftWindows
CurrentVerssionPoliciesSystem 分支下，新建DWORD值“Disableregistrytools”，并设键值为“1”。这样，当有人执行登录档编辑器时就会出现“注册编辑已被管理员所禁止”的对话方块,这样就可以达到限制别人使用登录档编辑器的目的
解锁禁用的登录档
用INF档案解锁
INF档案是由各个小节(Section) 组成。小节的名字从中括号中起，且在此档案中必须是惟一的。小节的名字是它的入口点。后面是小节内容，形式上是“键名称=键值”。在档案中可以添加注释，由分号完成，分号后的内容不被解释执行。用记事本编辑如下内容的档案：
[Version]
Signature=“$CHICAGO$”
[DefaultInstall]
DelReg=del
[del]
HKCU,SofareMicrosoftWindowsCurrentVersionPolicies
System,Disableregistrytools,
1,00,00,00,00
将上面的内容存为del.inf，使用时用右键点选它，在弹出选单中选择“安装”即可给登录档解锁
禁用与解禁，免得你禁用后连自己也用不了它了

登录档残余项是木马吗？

不是。有些程式解除安装不干净就残留了。

什么是登录档？什么是木马？

什么是登录档？
登录档因为它复杂的结构和没有任何联络的CLSID键使得它可能看上去很神祕。不幸的是，微软并没有完全公开讲述关于登录档正确设定的支援资讯，这样使得登录档看上去更不可琢磨。处理和编辑登录档如同“黑色艺术”一样，它在系统中的设定让使用者感觉象在黑暗中摸索一样找不到感觉。这样，因为使用者对这方面的缺乏了解使得登录档更多的出现故障。
Windows登录档是帮助Windows控制硬体、软体、使用者环境和Windows介面的一套资料档案，登录档包含在Windows目录下两个档案system.dat和user.dat里，还有它们的备份system.da0和user.da0。通过Windows目录下的regedit.exe程式可以存取登录档资料库。在以前，在windows的更早版本（在win95以前），这些功能是靠win.ini，system.ini和其他和应用程式有关联的.ini档案来实现的.
在windows作业系统家族中，system.ini和win.ini这两个档案包含了作业系统所有的控制功能和应用程式的资讯，system.ini管理计算机硬体而win.ini管理桌面和应用程式。所有驱动、字型、设定和引数会储存在.ini档案中，任何新程式都会被记录在.ini档案中。这些记录会在程式程式码中被引用。因为受win.ini和system.ini档案大小的限制，程式设计师新增辅助的.INI档案以用来控制更多的应用程式。举例来说，微软的Excel有一个excel.ini档案，它包含着选项、设定、预设引数和其他关系到Excel执行正常的资讯。在system.ini和win.ini中只需要指出excel.ini的路径和档名即可。
最开始，system.ini和win.ini控制着所有windows和应用程式的特征和存取方法，它在少数的使用者和少数应用程式的环境中工作的很好。随着应用程式的数量和复杂性越来越大，则需要在.ini档案中新增更多的引数项。这样下来，在一个变化的环境中，在应用程式安装到系统中后，每个人都会更改.ini档案。然而，没有一个人在删除应用程式后删除.ini档案中的相关设定，所以system.ini和win.ini这个两个档案会变的越来越大。每增加的内容会导致系统性能越来越慢。而且每次应用程式的升级都出现这样的难题：升级会增加更多的引数项但是从来不去掉旧的设定。而且还有一个明显的问题，一个.ini档案的最大尺寸是64KB。为了解决这个问题，软体商自己开始支援自己的.ini档案，然后指向特定的ini档案如win.ini和system.ini档案。这样下来多个.ini档案影响了系统正常的存取级别设定。如果一个应用程式的.ini档案和WIN.INI档案设定起冲突，究竟是谁的优先顺序更高呢？
登录档最初被设计为一个应用程式的资料档案相关参考档案，最后扩充套件成对于32位作业系统和应用程式包括了所有功能下的东东.登录档是一套控制作业系统外表和如何响应外来事件工作的档案。这些“事件”的范围从直接存取一个硬体装置到介面如何响应特定使用者到应用程式如何执行等等。登录档因为它的目的和性质变的很复杂，它被设计为专门为32位应用程式工作，档案的大小被限制在大约40MB。
登录档都做些什么？
登录档是为Windows NT和Windows95中所有32位硬体/驱动和32位应用程式设计的资料档案。16位驱动在Winnt下无法工作，所以所有装置都通过登录档来控制，一般这些是通过BIOS来控制的。在Win95下，16位驱动会继续以真实模式方式装置工作，它们使用system.ini来控制。16位应用程式会工作在NT或者Win95 下，它们的程式仍然会参考win.ini和system.ini档案获得资讯和控制。
在没有登录档的情况下，作业系统不会获得必须的资讯来执行和控制附属的装置和应用程式及正确响应使用者的输入。
在系统中登录档是一个记录32位驱动的设定和位置的资料库。当作业系统需要存取硬体装置，它使用驱动程式，甚至装置是一个BIOS支援的装置。无BIOS支援装置安装时必须需要驱动，这个驱动是独立于作业系统的，但是作业系统需要知道从哪里找到它们，档名、版本号、其他设定和资讯，没有登录档对装置的记录，它们就不能被使用。
当一个使用者准备执行一个应用程式，登录档提供应用程式资讯给作业系统，这样应用程式可以被找到，正确资料档案的位置被规定，其他设定也都可以被使用。
登录档储存关于预设资料和辅助档案的位置资讯、选单、按钮条、视窗状态和其他可选项。它同样也储存了安装资讯（比如说日期），安装软体的使用者，软体版本号和日期，序列号等。根据安装软体的不同，它包括的资讯也不同。
然而，一般来说，登录档控制所有32位应用程式和驱动，控制的方法是基于使用者和计算机的，而不依赖于应用程式或驱动，每个登录档的引数项控制了一个使用者的功能或者计算机功能。使用者功能可能包括了桌面外观和使用者目录。所以，计算机功能和安装的硬体和软体有关，对所以使用者来说项都是公用的。
有些程式功能对使用者有影响，有些时作用于计算机而不是为个人设定的，同样的，驱动可能是使用者指定的，但在很多时候，它们在计算机中是通用的。
登录档控制使用者模式的例子有：
控制面板功能；
桌面外观和图示；
网路引数；
浏览器功能性和特征；
那些功能中的某些是和使用者无关的，有些是针对使用者的。
计算机相关控制项基于计算机名，和登陆使用者无关。控制型别的例子是安装一个应用程式，不管是哪个使用者，程式的可用性和存取是不变的，然而，执行程式图示依赖于网路上登陆的使用者。网路协议可用性和优先权基于计算机，但是当前连线和使用者资讯相关。
这里是在登录档中基与计算机控制条目的一些例子：
存取控制；
登陆确认；
档案和印表机共享；
网络卡设定和协议；
系统性能和虚拟记忆体设定；
没有了登录档，Win95和Winnt 就不太可能存在。它们实在太复杂了，以致于用过去的.ini档案无法控制，它们的扩充套件能力需要几乎无限制的安装和使用应用程式，登录档实现了它。然而，登录档比.ini档案更复杂，理解它如何工作，它做什么和如何用它来做是有效管理系统的关键。
在系统中登录档控制所有32位应用程式和它们的功能及多个应用程式的互动，比如复制和贴上，它也控制所有的硬体和驱动程式。虽然多数可以通过控制面板来安装和设定，理解登录档仍是做Winnt和Win95系统管理基本常识。
二、登录档的结构
登录档的结构
登录档是Windows程式设计师建造的一个复杂的资讯资料库，它是多层次式的。在不同系统上登录档的基本结构相同。其中的复杂资料会在不同方式上结合，从而产生出一个绝对唯一的登录档。
计算机配置和预设使用者设定的登录档资料在Winnt中被储存在下面这五个档案中：
DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。
Win95中所有系统注册资讯储存在windows目录下的SYSTEM.DAT档案里。所有硬体设定和软体资讯也储存在这个档案。它要比NT登录档档案简单的多，因为这里并不需要更多的控制。Win95被设计为一个网路的客户或者单独工作的系统，所以使用者控制或者安全级别和NT不一样。这使得Win95登录档工作比NT更容易，所以这个档案也比较小。
Win95使用者的注册资料一般被储存在windows目录下的user.dat里。如果你在控制面板|密码|使用者配置档案中建立并使用多于一个使用者的配置档案，每个使用者就会有在WINDOWSProfilesusernameUSER.DAT下它自己的user.dat档案。在启动时，系统将记录你的登陆，从你目录中的配置档案（USER.DAT资讯）将被装入，以用来保持你自己的桌面和图示。
控制键
在登录档编辑器中登录档项是用控制键来显示或者编辑的。控制键使得找到和编辑资讯项组更容易。因此，登录档使用这些条目。下面是六个控制键
HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
HKEY_USERS
HKEY_CURRENT_USER
Winnt和Win95的登录档并不相容。从Win95向Winnt升级需要你重新安装32位应用程式，重新在桌面上建立图示，并重新建立使用者环境。
通过控制键可以比较容易编辑登录档。虽然它们显示和编辑好象独立的键，其实HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。
HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有内容。每次计算机启动时，HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的资讯被对映用以检视和编辑。
HKEY_CLASSES_ROOT其实就是HKEY_LOCAL_MACHINESOFTWAREClasses，但是在HKEY_CLASSES_ROOT窗编辑相对来说显得更容易和有条理。
HKEY_USERS储存著预设使用者资讯和当前登陆使用者资讯。当一个域成员计算机启动并且一个使用者登陆，域控制器自动将资讯传送到HKEY_CURRENT_USER里，而且HKEY_CURRENT_USER资讯被对映到系统记忆体中。其他使用者的资讯并不传送到系统，而是记录在域控制器里。
什么是木马?
特洛伊木马(以下简称木马)，英文叫做“ Trojan house” ，其名称取自希腊神话的特洛伊木马记。 它是一种基于远端控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“ 马” 兴叹。 所谓非授权性是指一旦控制端与服务端连线后，控制端将享有服务端的大部分操作许可权，包括修改档案，修改登录档，控制滑鼠，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程式窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初网路还处于以UNIX平台为主的时期，木马就产生了，当时的木马程式的功能相对简单，往往是将一段程式嵌入到系统档案中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网路和程式设计知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程式出现了，使用者介面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无祕密可言。 鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
原 理 篇
(一)基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬体部分，软体部分和具体连线部分组成。 (1)硬体部分：建立木马连线所必须的硬体实体。 控制端：对服务端进行远端控制的一方。 服务端：被控制端远端控制的一方。 INTERNET：控制端对服务端进行远端控制，资料传输的网路载体。 (2)软体部分：实现远端控制所必须的软体程式。 控制端程式：控制端用以远端控制服务端的程式。 木马程式：潜入服务端内部，获取其操作许可权的程式。 木马配置程式：设定木马程式的埠号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程式。 (3)具体连线部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网路地址，也是木马进行资料传输的目的地。 控制端埠，木马埠：即控制端，服务端的资料入口，通过这个入口，资料可直达控制端程式或木马 程式。
(二)木马原理 用木马这种黑客工具进行网路入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马 一般来说一个设计成熟的木马都有木马配置程式，从具体的配置内容看，主要是为了实现以下两方 面功能： (1)木马伪装：木马配置程式为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图示 ，捆绑档案，定制埠，自我销毁等，我们将在“ 传播木马” 这一节中详细介绍。 (2)资讯反馈：木马配置程式将就资讯反馈的方式或地址进行设定，如设定资讯反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“ 资讯反馈” 这一节中详细介绍。
二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程式以附件的形式夹在邮件中传送出 去, 收信人只要开启附件系统就会感染木马;另一种是软体下载，一些非正规的网站以提供软体下载为 名义， 将木马捆绑在软体安装程式上，下载后，只要一执行这些程式，木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低使用者警觉,欺骗使用者的目 的。 (一)修改图示 当你在E-MAIL的附件中看到这个图示时,是否会认为这是个文字档案呢?但是我不得不告 诉你,这也有可能是个木马程式,现在 已经有木马可以将木马服务端程式的图示改成HTML,TXT, ZIP等各种档案的图示,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 (二)捆绑档案 这种伪装手段是将木马捆绑到一个安装程式上,当安装程式执行时,木马在使用者毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的档案一般是可执行档案(即EXE,COM一类的档案)。 (三)出错显示 有一定木马知识的人都知道,如果开启一个档案,没有任何反应,这很可能就是个木马程式, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端使用者开启木 马程式时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“ 档案已破坏，无法开启的！” 之类的资讯，当服务端使用者信以 为真时,木马却悄悄侵入了 系统。 (四)定制埠 很多老式的木马埠都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 埠就 知道感染了什么木马,所以现在很多新式的木马都加入了定制埠的功能,控制端使用者可 以在1024---65535之间任选一个埠作为木马埠(一般不选1024以下的埠)，这样就给判断 所感染木马型别带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端使用者开启含有木马的档案后，木马 会将自己拷贝到WINDOWS的系统资料夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马档案 和系统资料夹中的木马档案的大小是一样的(捆绑档案的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软体中找到原木马档案,然后根据原木马的大小去系统 资料夹找相同大小的档案, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马档案将自动销毁，这 样服务端使用者就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名 安装到系统资料夹中的木马的档名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统资料夹查询特定的档案,就可以断定中了什么木马。所以现在有很多木马都允许控 制端使用者自由定制安装后的木马档名，这样很难判断所感染的木马型别了。
三.执行木马 服务端使用者执行木马或捆绑木马的程式后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统资料夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在登录档,启动组,非启动组中设定好木马 的触发条件 ,这样木马的安装就完成了。
(1)由触发条件启用木马 触发条件是指启动木马的条件,大致出现在下面八个地方:1.登录档:开启HKEY_LOCAL_MACHINESofareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置档案win.ini，用文字方式开启，在[windows]栏位中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程式,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置档案system.ini，用文字方式开启，在[386Enh],[mic]， [drivers32]中有命令列,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个档案也可以启动木马。但这种载入方式一般都 需要控制端使用者与服务端建立连线后，将已新增木马启动命令的同名 档案上传 到服务端覆蓋这两个档案才行。 5.*.INI:即应用程式的启动配置档案，控制端利用这些档案能启动程式的特点，将制作好的带有木马 启动命令的同名档案上传到服务端覆蓋这同名档案，这样就可以达到启动木马的目的了。 6.登录档:开启HKEY_CLASSES_ROOT档案型别shellopenmand主键,检视其键值。举个例子,国产 木马“ 冰河” 就是修改HKEY_CLASSES_ROOTtxtfileshellopenmand下的键值,将“ C :WINDOWS NOTEPAD.EXE %1” 该为“ C:WINDOWSSYSTEMSYXXXPLR.EXE %1” ，这时你双 击一个TXT档案 后，原本应用NOTEPAD开启档案的，现在却变成启动木马程式了。还要说明 的是不光是TXT档案 ，通过修改HTML，EXE，ZIP等档案的启动命令的键值都可以启动木马 ，不同之处只在于“ 档案型别” 这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。 7.捆绑档案:实现这种触发条件首先要控制端和服务端已通过木马建立连线，然后控制端使用者用工具 软体将木马档案和某一应用程式捆绑在一起，然后上传到服务端覆蓋原档案，这样即使 木马被删 除了，只要执行捆绑了木马的应用程式，木马又会被安装上去了。 8.启动选单:在“ 开始---程式---启动” 选项下也可能有木马的触发条件。
(2)木马执行过程 木马被启用后，进入记忆体，并开启事先定义的木马埠，准备与控制端建立连线。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN检视埠状态，一般个人电脑在离线状态下是不会有埠 开放的，如果有埠开放，你就要注意是否感染木马了。 在上网过程中要下载软体，传送信件，网上聊天等必然开启一些埠，下面是一些常用的埠： (1)1---1024之间的埠：这些埠叫保留埠，是专给一些对外通讯的程式用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留埠作为木马埠 的。 (2)1025以上的连续埠：在上网浏览网站时，浏览器会开启多个连续的埠下载文字，图片到本地 硬碟上，这些埠都是1025以上的连续埠。 (3)4000埠：这是OICQ的通讯埠。 (4)6667埠：这是IRC的通讯埠。 除上述的埠基本可以排除在外，如发现还有其它埠开启，尤其是数值比较大的埠，那就要怀疑 是否感染了木马，当然如果木马有定制埠的功能，那任何埠都有可能是木马埠。
四.资讯泄露: 一般来说，设计成熟的木马都有一个资讯反馈机制。所谓资讯反馈机制是指木马成功安装后会收集 一些服务端的软硬体资讯，并通过E-MAIL，IRC或ICO的方式告知控制端使用者。下图是一个典型的资讯反 馈邮件。从这封邮件中我们可以知道服务端的一些软硬体资讯，包括使用的作业系统，系统目录，硬碟分割槽况，系统口令等，在这些资讯中，最重要的是服务端IP，因为只有得到这个引数，控制端才能与服务端建立 连线，具体的连线方法我们会在下一节中讲解。
五.建立连线

杀木马时系统提示说登录档里有木马 登录档里也能有木马吗怎么回事指点一下谢谢

是指木马在登录档里建立的自启动项
在系统启动时就自动运行了

电脑要怎么通过登录档加速？

随着网路技术的发展，Inter的接入速度越来越快，从最初的56K“猫”，一直到10M/100M高速光纤，接入方式多种多样。而作为Inter的末端，Windows作业系统为了支援不同的接入装置，适应不同的网路环境，在程式设定方面也相对保守一些，因此，常有使用者反映“宽频不快”，一些网路优化软体则应运而生，通过修改Windows作业系统的登录档或相关档案来达到为宽频提速的目的，如Windows优化大师、ADSL超频奇兵等，但效果却不太明显。 Speedguide网站释出的宽频优化程式，通过修改Windows作业系统的登录档和系统档案彻底解除影响Inter接入速度问题，使宽频的接入速度大大提高。我们可以从 speedguide./downloads.php 下载到针对不同作业系统所需要的档案，下面以在windows 2000/XP为例说明。 在Windows 2000/XP中需要下载的档案有4个： speedguide./files/sguide speedguide./files/sguide speedguide./files/winxp :speedguide./files/sg ＿webeak＿2k.zip 执行修改档案，优化系统设定 把下载的4个压缩档案解压缩到相应的资料夹中，执行4个档案中4个.reg的登录档档案，把档案资讯汇入Windows XP的登录档，然后重新启动计算机。 分析网路连线型别，优化网路设定 首先让计算机连线到Inter，开启 speedguide./ 网站的首页，在左侧Shortcuts一栏中，点选TCP/IP Analyzer，在弹出的页面中可以看到自己网路连线的各项资料，在Default Receive Window (RWIN)一栏中，检视资料是否为256960，如图1，如果资料小于此值，还要下载TCP Optimizer的修正程式TCPOptimizer.exe，下载地址： speedguide./files/TCPOptimizer.exe 。
求采纳

把登录档禁用了怎么还会中木马

禁用登录档只是不能通过常规方法进入而已。稍微懂点指令码的就可以破掉你的禁用。现在的禁毒技术比木马病毒技术落后的多啊