木马，大多数菜鸟可能听说过，也知道怎样清除，但拿到一个新的木马，研究它，可能很少吧！　　研究木马，只要有相应的工具，其实非常简单而且安全！（本文主要研究木马，病毒除外）。　　研究木马有三件“宝”：1、Ghost2002汉化版 2、RegRun II汉化版 3、RegSnap汉化版（因为菜鸟可能E文不好，所以本次只选择汉化版，如果您E文很好，可以使用原版E文）　　1、Ghost2002：（主要作用：实验失败后，可吃后悔药）大家应该对它不会陌生吧，一个出色的硬盘对拷工具，它可以把一个磁盘上的全部内容复制到另外一个磁盘上，也可以把磁盘内容复制为一个磁盘的镜像文件，以后你可以用镜像文件创建一个原始磁盘的拷贝。它可以最大限度地减少你每次安装 Win95 、WinNT 和 OS/2 等操作系统的时间，如果你有好几台配置相似的机器需要安装 Win95 ， 你会发现使用 GHOST 使事情变得十分简单。GHOST在 DOS 下运行，并且可以从一张 DOS 引导盘上运行。　　下载地址：http://www.downloadsky.com/down/HB-NG2002-fxj.exe 如图1: 大小：1.65M 性质：汉化注册版　　　版本：Ghost2002(包含企业、个人　版和Ghost explorer) 　　2、RegRun II：RegRun 是一个系统安全保护工具，功能十分强大。这个软件以很好地控制诸如由注册表，系统文件，下载，或用户定义载入的自动运行程序。同时通过对系统所有进程进行实时监测，RegRun 能够有效地检测到隐藏在系统中的木马程序，病毒或其他来路不明的程序。RegRun 在其他程序启动前激活它的功能，如果有变化发生则向用户发出警告。用户还可以从系统启动时自动运行的程序中清除自己不愿运行的程序，通过选择自己的启动预设方案，或调整启动进程可以获得一个"清洁"的系统启动。　　下载地址：http://newhua.ruyi.com/down/HAC-RegRunII299-Fire.zip 　大小：1.19M 性质：汉化注册版　　版本：RegRun II 2.99 如图2: 　　　　3、RegSnap：它可以详细地向你报告注册表及其他与系统有关项目的修改变化情况。RegSnap 对系统的比较报告非常具体，对注册表可报告修改了哪些键，修改前、后的值各是多少；增加和删除了哪些键以及这些键的值。报告结果既可以以纯文本的方式，也可以 html 网页的方式显示，非常便于查看。除系统注册表以外，RegSnap 还可以报告系统的其他情况：Windows 的系统目录和系统的 system 子目录下文件的变化情况，包括删除、替换、增加了哪些文件；Windows 的系统配置文件win.ini 和 system.ini 的变化情况，包括删除、修改和增加了哪些内容；自动批处理文件autoexec.bat 是否被修改过。该软件可以在需要的时候方便地恢复注册表，可以直接调用 regedit 程序查看或修改注册表，还可以查看当前机器的机器名和用户名。　　下载地址：http://www.downloadsky.com/down/HB-RegSnap28-fxj.exe 　　大小：166K　　性质：汉化注册版　　版本：RegSnap2.80 build638 　　如图3: 　　　　介绍完相应工具后，就可以动手了，第一步当然是备份系统，Ghost2002汉化版只汉化了Ghost explorer，所以Ghost2002个人版仍然是英文的，如果在DOS下运行Ghost2002个人版,不熟悉用键盘的朋友可以把WINDOWS目录下的Mouse.exe和Mouse.ini拷贝到Ghost运行目录，运行Ghost前，在提示符打入Mouse即可使用鼠标。　　（1）、启动GHOST，在窗口中依次执行“LOCAL→PARTITION→TO IMAGE”，如图1，打开分区备份窗口。　　（2）、在GHOST的分区备份选择窗口中依次选择需要备份的硬盘及分区。　　（3）、系统将打开一个备份文件保存对话框，用户利用该对话框设置分区映像文件的保存路径及文件名。　　（4）、此时GHOST会询问用户是否对备份的映像文件进行压缩，选择HIGH即可。　　注意：（1）GHOST程序不能在需要备份的分区上。　　　　　（2）因为在DOS下，所以数据压缩后不能大于2G。　　第二步，把RegRun II打开，用RegSnap给系统“照”一张相，再把下载的木马程序打开，一般木马程序有三个文件：1、cilent.exe（控制端程序）2、server.exe（服务端程序）3、readme.txt（说明文件），需要指出的是有的木马作者心怀不轨，故意把控制端程序和服务端程序的文件名互换，把服务端改成readme.exe，如果不显示扩展名，把图标改成文本文件，以为是说明文件，反正没关系，有“备”无患吗！首先应该看readme.txt，看作者怎样介绍，然后执行server.exe，用鼠标右键单击任务栏的RegRunII图标，选择立即检查系统，99%的情况下会出现对话框，因为大部分木马会选择开机自动启动，“顺藤摸瓜”找出木马程序，但不要急于删除，以防关联可执行文件导致执行文件不可用，可能会出现多个程序，仔细查看。然后选择“给我改回来！”检查木马是否关联了文件类型　，通常会关联文本文件和可执行文件，用RegSnap再给系统“照”一张相，然后和刚才照的一张相作比较，它会报告以下内容： 1、注册表报告 2、文件列表: C:\WINDOWS\*.* 3、文件列表: C:\WINDOWS\SYSTEM\*.* 4、win.ini 报告 5、system.ini 报告 6、c:\autoexec.bat 报告 7、c:\config.sys 报告　　精通注册表的朋友肯定发现了木马是否关联文件类型的现象，但如果对注册表不太懂，建议打开“我的电脑”，菜单栏查看→文件夹选项→文件类型中查看，或运行不同类型的文件判别，在报告的文件列表中，查看有什么有文件被修改等，这样一个木马的运行情况就了如指掌了，这个木马是否随电脑自动启动、是否关联文件类型、是否修改程序等一系列问题就都清楚了，卸载这个木马就不难了。本文主要探索一般木马的情况，有的木马肯定还会更狡猾，需要经验的不断积累，才能更好的应付。　　万一如果真的系统崩溃了，还可以吃“后悔药”，用GHOST把系统找回来就是了“LOCAL→PARTITION→FROM IMAGE”。

主目录 分目录