홈페이지를 시작한 후 바로 www.6655.com 을 열고, 기본값을 바꿔서 홈페이지를 열면, 살인목마는 쓸모가 없잖아

5 단계 커널 수준 트로이 목마 제거 프로그램 Byshell2008 년 04 월 27 일 일요일 19: 42

byshell 은 프로세스 없음, DLL 없음, 부팅 항목 없음, 다양한 로봇 기술 세트입니다 스레드를 사용하여 DLL 을 시스템 프로세스에 주사하고, DLL 매핑을 해제하고, 자체 파일과 시작 항목을 삭제하고, 종료 시 복구합니다. 커널급 목마 프로그램으로, 주로 Ring0 에서 작동하기 때문에 은폐성과 살상력이 강하다.

해커는 일반적으로 Byshell 트로이 목마 프로그램을 사용하여 Windows NT/2000/XP/2003 운영체제가 설치된 시스템을 원격으로 제어합니다. Byshell 이 원격 컴퓨터에 설치되면 해커는 그 기계를 완전히 통제할 수 있는 능력을 갖게 되며, 제어된 컴퓨터에 설치된 바이러스 백신, 방화벽 등의 소프트웨어 및 관리자가 수동으로 탐지하지 않습니다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 컴퓨터명언)

사전 예방적 방어

를 우회하는 방법

byshell 은 Rootkit 기술을 활용하여 엄격한 방화벽 또는 경계 라우터 액세스 제어를 우회하여 인트라넷 또는 엑스트라넷 제어 측에서 엑스트라넷 제어 끝에 쉽게 연결할 수 있습니다. 이 기술로 설정된 연결도 숨겨져 뒷문 프로그램이 설치된 컴퓨터에서는 뒷문이 사용하는 연결을 볼 수 없습니다.

또한 자체 독립 프로세스가 없으며 작업 관리자 또는 대부분의 타사 프로세스 관리 도구에 새 프로세스가 나타나지 않습니다. 숨겨진 iexplore.exe 를 사용하여 외부 연결을 수행하며 방화벽 응용 프로그램을 우회하여 네트워크 주소에 액세스할 수 있습니다. 레지스트리에서 설정된 시작 항목을 찾을 수 없습니다. RUN 키 값이 없으므로 Msconfig 와 같은 프로그램에 의해 감지되지 않습니다.

ByShell 트로이 목마는 현재 시스템의 SSDT 테이블을 검색한 다음 시스템의 원래 사용 중인 SSDT 테이블을 검색하고 이전 SSDT 테이블을 이전 버전으로 덮어씁니다. 트로이 목마 프로그램은 정상적인 순서로 다시 실행할 수 있어 결국 사전 방어 기능을 완전히 무효화시킬 수 있다. (윌리엄 셰익스피어, 트로이, 트로이, 트로이, 목마, 목마, 목마, 목마)

5 단계 지우기 Byshell

1. 프로세스 관리 기능이 있는 보안 도구 소프트웨어를 설치하고 시스템 프로세스를 보면 명확하게 식별된 많은 프로세스를 볼 수 있습니다. 이러한 프로세스는 의심스러운 프로세스이며 일부 프로세스는 트로이 목마 바이러스에 이식되었을 가능성이 높습니다. IE 브라우저 프로세스를 클릭하면 의심스러운 트로이 목마 모듈 hack.dll 이 포함되어 있음을 알 수 있습니다.

2. 이 보안 툴 소프트웨어에서 서비스 관리와 관련된 옵션을 찾아 명확하게 식별된 여러 시스템 서비스를 볼 수 있습니다. 이는 해당 서비스가 시스템 자체의 서비스가 아님을 나타냅니다. 조사를 통해 Hack 라는 서비스가 트로이 목마 모듈의 이름과 동일하기 때문에 의심스러운 것으로 나타났습니다.

3. 도구 소프트웨어에서 파일 관리와 관련된 레이블을 찾아 시뮬레이션 리소스 관리자 창에서 의심스러운 모듈의 경로 지침에 따라 의심스러운 트로이 목마 모듈 파일 hack.dll 을 빠르게 찾았으며, 모듈 파일과 이름이 같은 실행 파일도 발견됐는데, 이 목마는 주로 두 파일로 구성된 것 같습니다

4. 이제 트로이 목마 정리 작업을 시작하겠습니다. 프로세스 관리 옵션에서 먼저 명확하게 식별된 IE 브라우저 프로세스를 찾은 후 마우스 오른쪽 버튼을 클릭하여 이 프로세스 종료 명령을 통해 지웁니다. 그런 다음 서비스 관리 옵션을 클릭하고 Hack 라는 서비스를 선택한 후 마우스 오른쪽 버튼 메뉴에서 "선택한 서비스 삭제" 명령을 클릭하여 삭제합니다.

프로그램에서 파일 관리 옵션을 다시 선택하여 트로이 목마 파일을 마지막으로 지웁니다. 시스템의 system32 디렉토리에서 hack.dll 및 hack.exe 파일을 찾은 후 마우스 오른쪽 버튼 클릭 메뉴에서 "파일 직접 삭제" 명령을 클릭하여 트로이 목마에 대한 마지막 타격을 완료합니다. 그런 다음 시스템을 재부팅하고 트로이 목마가 제거되었는지 확인합니다.

5. 트로이 목마 프로그램이 SSDT 테이블의 바이러스 백신 소프트웨어 내용을 파괴하기 때문에 소프트웨어와 함께 제공되는 사전 예방적 복구 기능을 사용하여 복구하거나 바이러스 백신 소프트웨어를 한 번 다시 설치하는 것이 좋습니다.

이전 목마가 재배되기 전에 해커의 가장 중요한 일은 이를 면제해 바이러스 백신 소프트웨어의 특징코드 검사를 피할 수 있도록 하는 것이다. 이제 ByShell 은 능동적인 방어를 돌파할 수 있는 목마를 가지고 있으며, 앞으로 이런 목마도 점점 더 많아지기 때문에 모두 자신의 안전의식을 강화해야 한다.

上篇: 포드 트레일러 견적 및 사진 (포드 트레일러 대전 모든 차종 가격 견적) 下篇: 녹색비료, 붉은색, 마른 손가락은 무슨 꽃입니까?