(以下分割符内的内容,摘自《用Rguard注册表哨兵堵住Windows9x得后门》 作者:路远 )
用Rguard注册表哨兵堵住Windows9x得后门
现在,网上治安越来越不好,一不小心就会踏中地雷。一些开后门的软件日益增多,这些开后门软件利用了Windows9x的漏洞,在你的系统中为别人留一扇后门,如果你没有上网,不会感到这有什么;如果你已经上网,就会被别有用心的人利用,你的计算机就成了他人的靶子,随意受人摆布,不仅物质上受损失,精神上也受打击,因此,我们应该对这类开后门的软件有所防范,提高警惕。
这类开后门的程序统称为特洛伊木马(Trojan horses),虽然功能一样,但是名称可能多种多样,如Back orifice等。为了达到控制你的计算机的目的,它们都要在Windows9x的注册表中或者启动文件中作一番手脚,以便在Windows启动时不知不觉地先运行它。因此,就要经常地监测Windows的各种启动文件,看看是不是有我们不熟悉的可执行文件,如果感到可疑的话,就要毫不留情的删除掉,特别是你不熟悉的人通过电子函件Email寄给你的一些软件,运行后又看不出有什么功能的软件更要小心。
特洛伊木马程序运行后,根据程序的不同,修改的启动文件也不同,它们修改的启动文件有:autoexec.bat、config.sys、wininit.ini、dosstart.bat、system.dat、user.dat、winstart.bat和VXD驱动文件等。如果我们能够经常监测这些启动文件的话就能够发现可疑程序,但是经常对这些文件监测是相当麻烦的,特别是注册表文件,如果不是高手的话,查找哪些键值和字串发生了改变是不可能的。虽然用Regsnap能够监测到注册表的改变,但是如果用来监测这类特洛伊木马程序还是显得力不从心,因此我们就要寻找能够专门针对特洛伊木马程序的特点,即对Windows9x系统文件中进行修改的文件监测的程序。经过本人的搜寻,发现The Registry Run Guard v.2.6(以下简称Rguard)专门监测所有的能够用“Load”、“Runonce”和“Run”等命令和其他方式装入文件的启动文件。这些装入系统的文件,不但包括执行文件,也包括VxD文件,对付这类程序是手到擒来,它们的任何蛛丝马迹在Rguard的监视下都一览无余。
Rguard是乌克兰的ANNA Ltd公司出品的一个软件,http://annaltd.webjump.com/rguard26.html ,下载的rguard26.zip只有220K,解压缩后就可以安装到系统中了。Rguard是一个共享软件,如果没有注册,只能当DEMO使用,功能不减,但是只能使用15天。
Rguard运行后界面如图1所示,在图中我们可以看到,在“Main Option"选项中,可运行时的主界面已选择RGuard自动检查的文件,如注册表文件Registry,配置文件Win.ini,批处理文件有:Autoexec.bat、Config.sys、Dosstart.bat、Winstart.bat,菜单中的“启动”中的文件。另外,我们也可以在“Advanced Options"高级选项中配置“LOG Format”记录文件的格式,如图2。
如果你选择了“Advanced Option "中的“View last record from LOG file after checking" 后,RGyard在Windows启动后将显示一个对话框,列出从上次监测到本次开机后的注册表的修改和变化情况。其它选项为:
(1)Add BEGIN/END marks
如果选择了该项,就要在LOG记录文件中增加下列字串:
-=BEGIN OF CHECKING|=-
-=END OF CHECKING|=-
(2)Add date to BEGIN/END marks
如果选择了该项,就要在LOG记录文件中增加记录开始检查和结束检查的日期。
(3)Add time to BEGIN/END marks
如果选择了该项,就要在LOG记录文件中增加记录开始检查和结束检查的时间。
选择完成后,就可以退出RGuard,这时你就可以放心地使用软件了。如果你新安装的软件需要重新启动计算机,计算机重新启动后,RGuard首先出现图3,在图3中你就可以发现你安装的软件对系统做了那些修改,点击“View Changes”,出现图4。
Rguard以不同的颜色表示各个键值或者键名,其中:红色的FREE表示这个文件夹没有包含数据,如Run Once等;红色的箭头表示新增加的键值;绿色的箭头表示该键值没有改变,蓝色的箭头表示这个键值已经删除。因此可以根据不同颜色的箭头了解软件对系统所作的改变。如果你认为一个软件是危险的软件,就可以在RGuard列出软件对系统的修改表时,选中该项,用“Delete Item”命令把它删除。如果删除错误的话,也可以利用“Undo"命令恢复已经删除的键值。
Rguard检查的注册表中的项目为:
1. HKEY_USERdefaultsoftwaremicrosoftwindowscurrentVersionRUN项下的各个键值和Runonce,Runservice和RunservicesOnce文件夹中的各个项,如果该项下是空的,就用红色的FREE表示;
2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项下的各个键名,这里列出的是Windows启动后就要运行的执行文件,因此,如果看到这些执行文件有可疑的地方,就要(1)把该键名删除,(2)把该键名列出的执行文件删除;
3.HKEY_LOCAL_MACHINESYSTMCURRENTCONTROSETSERVICEVXD项下的各个VXD文件是否改变,这里可以防止特洛伊木马程序的VXD改头换面出现。
经过以上的检查,如果没有发现可疑的地方,就可以确定你的系统是安全的,可以放心地使用计算机,因此利用Rguard注册表哨兵,为你的计算机站好岗,堵住系统的后门,确保计算机的安全。
