网上有关“介绍剔除系统启动项暗藏威胁的方法”话题很是火热 ，小编也是针对介绍剔除系统启动项暗藏威胁的方法寻找了一些与之相关的一些信息进行分析
，如果能碰巧解决你现在面临的问题，希望能够帮助到您。

近来“灰鸽子病毒 ”传播的甚是厉害 ，5Q上有不少人以发布卡巴斯基杀毒软件为名
，在其中暗藏病毒，尤其以自解压包的文件最为危险 ，其病毒程序在自解压后能够自动运行，并在生成木马程序后自动删除源文件！而灰鸽子病毒的作者至今还没有停止对灰鸽子的开发
，再加上有部分人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现 。现在即使是最新版本的杀毒软件也未必可以完全进行查杀 ，可能在正常杀毒下显示已完全清除
，但可能在你重新启动后，木马程序再次生成！！！在这里结合本人的实际经验给出一个“灰鸽子病毒
”手动清除的办法！

灰鸽子的运行原理

灰鸽子木马分两部分：客户端和服务端
。黑客（姑且这么称呼吧）操纵着客户端 ，利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe
，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门） 。种木马的手段有很多，比如 ，黑客可以将它与一张绑定
，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页 ，诱骗你点击
，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

由于灰鸽子病毒变种繁多 ，其文件名也很多变，近来发现的以(Backdoor.GPigeon.sgr)类型居多
，不易对付，在被感染的系统%Windows%目录下生成三个病毒文件 ，分别是 G_Server.exe
，G_Server.dll，G_Server_Hook.dll
。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录 ，2k/NT下为系统盘的Winnt目录)
，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe 、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作 。

同时注意 ，G_Server.exe这个名称并不固定
，它是可以定制的，比如当定制服务端文件名为A.exe时 ，生成的文件就是A.exe
、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项）
，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出
。G_Server.dll文件实现后门功能 ，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后
，我们看不到病毒文件，也看不到病毒注册的服务项 。随着灰鸽子服务端文件的设置不同 ，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中
，有时候则是附在所有进程中
。

灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务 、隐藏病毒文件

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏 ，也就是说你即使设置了“显示所有隐藏文件 ”也看不到它们。此外
，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难 。

但是 ，通过仔细观察我们发现
，对于灰鸽子的检测仍然是有规律可循的
。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么 ，一般都会在操作系统的安装目录下生成一个以“_hook.dll
”结尾的文件。通过这一点
，我们可以较为准确手工检测出灰鸽子木马 。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行
。进入安全模式的方法是：启动计算机 ，在系统进入Windows启动画面前，按下F8键
，在出现的启动选项菜单中，选择“安全模式”。

1
、由于灰鸽子的文件本身具有隐藏属性 ，因此要设置Windows显示所有文件 。打开“我的电脑 ”
，选择菜单“工具”—》“文件夹选项
”，点击“查看” ，取消“隐藏受保护的操作系统文件 ”前的对勾
，并在“隐藏文件和文件夹
”项中选择“显示所有文件和文件夹”，然后点击“确定 ”
。

2、打开Windows的“搜索文件
” ，文件名称输入“*_hook.dll”
，搜索位置选择Windows的安装目录（默认98/xp为C:\\windows，2k/NT为C:\\Winnt）。

3 、经过搜索 ，在Windows目录（不包含子目录）下发现了一个名为G_Server_Hook.dll的文件 。

4、根据灰鸽子原理分析我们知道
，G_Server_Hook.dll是灰鸽子的文件，则在操作系统安装目录下还会有G_Server.exe和G_Server.dll文件。打开Windows目录 ，果然有这两个文件，同时还有一个用于记录键盘操作的G_ServerKey.dll文件
。

[以上的我试过,但唔知系米我唔识操作,所以根本我都揾唔到,后黎我下咗个WINDOWS木马清道夫,扫描硬盘,咁就揾到晒所有嘅木马文件]

经过这几步操作基本就可以确定这些文件是灰鸽子木马了
，下面就可以进行手动清除。灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了 。清除灰鸽子仍然要在安全模式下操作 ，主要有两步：1
、清除灰鸽子的服务；2删除灰鸽子程序文件
。

注意：此操作需在安全模式下进行
，为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1 、打开注册表编辑器（点击“开始 ”－》“运行
” ，输入“Regedit.exe”
，确定 。），打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项
。

2
、点击菜单“编辑 ”－》“查找
” ，“查找目标”输入“G_server.exe ”
，点击确定，我们就可以找到灰鸽子的服务项.

3、删除整个G_server.exe键值所在的服务项。

[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅方法,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]

98／me系统：

在9X下 ，灰鸽子启动项只有一个
，因此清除更为简单 。运行注册表编辑器，打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项 ，立即可以看到名为G_server.exe的一项，将G_server.exe项删除即可
。

二 、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单
，只需要在安全模式下删除Windows目录下的G_server.exe
、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件，然后重新启动计算机。至此 ，灰鸽子已经被清除干净 。

附：

其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的
，本人使用的是瑞星杀毒软件并已经更新至最新版本，在正常模式下 ，瑞星查杀了除G_server.exe文件外的所有文件
，其实本人并没有指望瑞星能够全部查杀，但瑞星实际上给我帮了一个大忙 ，就是帮我确定了所中灰鸽子病毒的类型
，我在使用瑞星查杀时查杀了G_server.dll 、G_server_Hook.dll和G_serverkey.dll这三个文件以及由前两个文件释放的附在其他进程下的文件，这就让我确定了剩下的那个文件必然是G_server.exe ，于是重新启动计算机进入安全模式
，首先要设置Windows显示所有文件
。打开“我的电脑”，选择菜单“工具
”—》“文件夹选项” ，点击“查看 ”，取消“隐藏受保护的操作系统文件
”前的对勾
，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹 ”，然后点击“确定
”。然后打开Windows的“搜索文件” ，因为确定病毒文件为G_server.exe
，但同时出于保险起见，在搜索中输入G_server*.*进行搜索,并选择所有分区,在C:\\windows目录下发现了G_server.exe,但令我惊讶的是竟然在D盘发现了这个文件的副本,其属性同样的隐藏的,所以建议大家在搜索时搜索所有分区,然后删除即可!

另外还需进入注册表删除服务键值项,本人利用注册表的查找功能搜索G_server,查找到了灰鸽子病毒的服务键值项,并发现其中由一个键值赫然写着".....灰鸽子.....",这令本人愤恨不已,于是删除整个服务键值项.至此,灰鸽子病毒清除完毕,本人重新启动电脑,又开始了自己的工作,并结合网上的一些相关资料为大家写下了

基础知识

1
、计算机系统的安全需求是什么？

答：为了保证系统资源的安全性、完整性 、可靠性
、保密性、可用性 、有效性和合法性 ，为了维护正当的信息活动
，以及与应用发展相适应的社会公共道德和权利，而建立和采取的组织技术措施和方法的总和 。

安全性：标志防止非法使用和访问的程度。

完整性：标志程序和数据能满足预定要求的完整程度
。

可靠性：计算机在规定条件下和规定时间内完成规定功能的概率。

保密性：利用密码技术对信息进行加密处理 ，以防止信息泄漏 。

可用性：对符合权限的实体提供服务的程度
。

有效性和合法性：接受方应能证实它所受到的信息内容和顺序都是真实的
，应能检验受到的信息是否是过时或重播的消息。

2、计算机安全措施包括哪三个方面？

答：1
、安全立法：包括社会规范和技术规范 。

2、安全管理：包括社会规范人员培训与教育和健全机构 、岗位设置和规章制度
。

3
、安全技术。

3、系统安全对策的一般原则是什么？

答：1 、综合平衡代价原则
、

2、整体综合分析和分级授权原则；

3 、方便用户原则；

4
、灵活适应性原则；

风险评估

1、什么是风险？风险的特性是什么？如何解决系统中遇到的风险

答：风险是伤害和损失的可能性；特性（核心因素）是不确定性，而且任何生意都有风险；

实施方法：1 、清除风险：采取某种措施彻底消除一个威胁；

2
、减轻风险：通过某些安防措施减轻威胁的危害；

3、转移风险：把风险后果从自己的企业转移到第三方去 。

2 、计算机安全需要保护的资产包括哪些？

答：硬件：各种服务器 ，路由器、邮件服务器
、web服务器
。

软件：网络服务和协议
，传递的信息，访问权限。

3、风险评估分为哪几个步骤？那几部最关键？

答：第一布：资产清单 、定义和要求；第二步：脆弱性和威胁评估；第三步：安防控制措施评估；第四步：分析决策和文档；第五步：沟通与交流；第六步：监督实施；

关键步骤：第一步
、第二步、第五步

4 、风险评估需要解决什么问题？

答：1
、什么东西会出现问题？2、如果它发生 ，最坏的情况是什么？3 、出现的频率4
、前三个问题的答案有多肯定？5、可以采取什么措施消除 、减轻和转移风险？6
、它需要划分多少钱？7、它多有效？

身份验证

1 、身份验证主要解决什么问题？

答：1、你是谁？2
、你是属于这里的么？3、你有什么样的权限？4 、怎么才能知道你就是你声称的那个人？

2
、身份认证的方法有哪些？最常用的方法有哪些？

答：1、用户ID和口令字；2 、数字证书；3
、SecurID；4、生物测定学；5 、Kerberos协议（网络身份验证协议）；6
、智能卡；7、iButton(电子纽扣)；

最常用的有：1 、2

3
、怎样的口令是强口令？

答：（1）它至少要有七个字符长 （2）大小写字母混用

（3）至少包含一个数字 （4）至少包含一个特殊字符

（5）不是字典单词、不是人或物品的名称 、也不是用户的“珍贵 ”资料

4、什么是单站式签到技术？采用单站式签到技术会存在哪些问题？

答：用户表明一次自己的身份并得到验证，再进入自己有权访问的其他系统或软件时不用再次表明自己身份 。问题有：1
、单站式签到技术是否安全；2、黑客的单站式攻击点；3 、遇到系统故障或拒绝服务怎么办；4
、如何跨平台支持；

网络体系结构和物理安防措施

1、VLAN按地址类型划分可以分四种方式

包括：1 、根据（端口）地址划分；

2
、根据（MAC）地址划分；

3、根据（IP）地址划分；

4 、通过（IP）广播地址划分；

2
、举出计算机安全3个物理安防的措施？

答：1、安装声像监控；2 、门锁；3
、安一扇坚固的门；4、灾难预防；5 、雇用优秀的接待人员；6、选择房间位置；7
、工作站的安防措施；8、注意天花板；9 、使用不间断电源（UPS）；

3
、安防网络体系结构的配置有哪三种常见的配置方案？

答：1、中央型公司；2 、使用了托管服务的中央型公司；3
、分公司；

防火墙和网络边防

1、什么是防火墙？防火墙应具备什么功能？

答：防火墙是监视和控制可信任网络和不可信任网络之间的访问通道
。

功能：1 、过滤进出网络的数据包；2
、管理进出网络的行为；3、封堵某些禁止的访问行为；4 、记录通过防火墙的信息内容和活动；5
、对网络攻击进行检测和告警；

2、防火墙实现技术有（数据包过滤器） 、（代理）和（状态分析）三种方式。

3、防火墙基本设置方针是什么？一般设计防火墙用那种方针？

答：1
、拒绝一切未赋予特许的东西（安全性高）；2、允许一切未被特别拒绝的东西（灵活性好）；第一种方针好
，一般采用第一种方针设计防火墙 。

4 、过滤控制点主要设置在哪三层？

答：（1）源IP和目的IP，以及IP Options

（2）在TCP头中的源端口和目的端口号以及TCP标志上

（3）基于特定协议分别设定

5
、什么是NAT？

答：NAT就是网络地址翻译。

6、防护墙体系结构如何选择？

答：1 、根据自己公司的情况选择技术合适的防火墙；

2
、是使用硬件防火墙还是使用软件防护墙；

3、防火墙的管理和配置是由企业自己来完成还是把这些任务交给一家受控服务提供商
。

入侵检测

1 、入侵检测系统分为哪几中类别？最常见的有哪些？

答：（1）应用软件入侵监测 （2）主机入侵监测 （3）网络入侵监测 （4）集成化入侵监测

2
、入侵检测系统应该具备哪些特点？

答：1、自动运行；2 、可以容错；3
、无序占用大量的系统资源；4、能发现异常行为；5 、能够]适应系统行为的长期变化；6、判断准确；7
、可以灵活定制；8、保持领先。

3 、入侵行为的误判分为（正误判）
、（负误判）和（失控误判）三种类型 。

正误判：把一个合法操作判断为异常行为；

负误判：把一个攻击行为判断为非攻击行为并允许它通过检测；

失控误判：是攻击者修改了IDS系统的操作 ，使他总是出现负误判；

4、入侵检测系统的分析技术最常用的方法是哪三类？

答：1 、签名分析法；2
、统计分析法；3、数据完整性分析法；

“签名分析法
”主要用来监测有无对系统的已知弱点进行的攻击行为
。

“统计分析法”以系统正常使用情况下观测到的动作模式为基础
，如果某个操作偏离了正常的轨道，这个操作就值得怀疑。

“数据完整性分析法 ”可以查证文件或者对象是否被别人修改过 。

远程访问

1 、使用远程访问的人员有哪些？

答：1使用电信线路上网

2旅行中的员工

3网络管理员

4商务伙伴和供应商

2
、远程解决方案的基本要求包括哪些？

答：1安全防护

2成本

3可扩展性

4服务质量

5实施、管理和使用方面的易用性

6用户的身份验证

主机的安全保护

1 、什么是操作系统的硬化？包括那几步？

答：在细致分析的基础上尽可能的减少它与外界的交流渠道 ，尽可能的减少在它上面运行的不必要的服务项目
。

步骤1：把供应商推荐的安防补丁都打好。

步骤2：取消不必要的服务

步骤3：紧固子目录/文件的访问权限 。

步骤4：明晰用户权限
，严禁控制用户的访问权限
。

2 
、实施主机安防步骤包括那些：

答：1 分析计算机将要执行的功能

2 把供应商推荐的安防补丁都打好

3 安装安防监控程序

4 对系统的配置情况进行审查

5 制定的备份和恢复流程

3、 windows 2000 pro 操作系统的硬化主要包括(20选10)

1)禁用登陆信息缓冲功能

2)禁用
”guest”账户激活

3)禁用不必要的服务

4)禁用空白口令字

5)保护注册表，不允许匿名访问

6)保证Administrator口令的安全性

7) ”syskey”保护功能

8)把内存页面设置为关机时清楚状态

9)修改权限成员

10)隐藏最后一个登录上机的用户名字

11)让用户选用难以破解的口令字

12)FAT转换成NTFS

13)取消用不着的协议

14)删除OS/2和POSIX子系统

15)限制使用“Lanmanager Authentication
”的功能

16)限制访问公共的“Local Security Authority”

17)部署一个域结构

18)保护文件和子目录

19)制定出适当的注册表访问控制列表

20)制定账户封锁及撤销制度 ，严肃处理违反安防制度的行为

服务器的安全保护

1 .windows 2000 服务器 操作系统的硬化主要包括

1)断开网络

2)安装windows server

3)使用NTFS格式

4)在安装的GUI部分
，选用 ”stand alone
”

5)不要安装communication  、accessories、Multimedia减少不必要的服务

6)删除IPX协议

7)在缺省的administrator account 使用7个字符的安全口令

8)重新启动机器

9)安装hot fixes 和 service packs

2
、安装 windows 2000 服务器后再完成以下步骤

1)从网络配置里去掉 netbios interface, rpc configuration, server, workstation, computer browser

2)在连接因特网的网卡上禁用wins功能

3)在services 菜单里禁用 tcp\ip netbios helps

4)修改注册表

a)系统不显示最后一个登录上机的用户 hkey-local-machine\sofeware\microsoft\windowNT\CurrenVersion\winlogon=1

b)在hkey-local-machine\system\currentcontrolset\control\lsa\ 下创建 restrictanonymouse 新主键，键值=1

5)激活syskey功能

3、数据库的安全主要进行那些方面的工作

1)删除缺省账户和样本数据库

2)控制数据库名称和存放位置的传播范围

3)合理使用审计功能

4)隔离并保护业务数据库

客户端的安全防护

1 、什么是计算机病毒 ，特征？

计算机病毒是一个程序
，一段可执行码，

1)是通过磁盘
、磁带和网络等作为媒介传播扩散 ，能传播其他程序的程序。

2)能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序 。

3)一种人为制造的程序，使计算机的资源受到不同程序的破坏
。

特征：传染性
，破坏性 、隐蔽性
、触发性、寄生性。

2 、计算机病毒常用的分类方法，按照病毒本身的特征分类？

1)按照病毒传染文件的类型分类：文件型病毒
、引导型病毒和综合型病毒 。

2)按照病毒本身的特征：木马类病毒、蠕虫类病毒 、黑客类病毒
、宏病毒和脚本病毒。

3)按照病毒依赖的操作系统分：DOS ,window 3.x ,windows 9.x ,windows NT病毒和其他操作系统病毒
。

3、从微观角度来看计算机病毒有什么危害？

1)影响计算机正常使用

2)造成数据丢失

3)影响声誉 ，带来不良影响

4)个人信息泄漏

5)造成严重的泄密事件

4 、常见病毒的传播方式：

1)宏病毒：依靠OFFICE的模板文档传染

2)蠕虫病毒：大部分依靠E-mail传播

3)脚本病毒：依靠网页传播

4)木马程序：依靠服务器端程序进行破坏

5、从客户端的安全考虑
，应该采取哪些措施

1)预防电脑的失窃和盗用

a)物理安防措施

b)访问控制软件和身份验证软件

c)失窃追踪系统

2)计算机病毒的防护

3)恶意代码的防护

4)软件防护（微软公司软件）

a)安防补丁

b)动态内容的安全防护

c)个人防火墙

5)即时消息（的安防）

应用软件的开发

1
、应用软件面临哪些威胁？解决办法是什么？

答：伪造身份；解决方案：双重身份验证

破坏数据；解决方案：数据完整性检查性

否认事实；解决方案：对操作行为进行日志纪录

泄漏信息；解决方案：身份验证和加密

拒绝服务；解决方案：网络流量分析；防火墙

私自提升优先级；解决方案：紧跟最新的安防补丁、优化OS

2 、WEB应用软件的脆弱点有哪几大类？

答：1
、不可见数据域：指暗藏着的HTML表单数据域。

2、后门和调试选项：给软件开发人员提供非正式的且不受限制的访问权限 。

3 、跨站点脚本：是把代码插到从其他源地址发来的页面中去这样一个过程
。

4
、篡改参数：指对URL字符串进行精心策划，使之能检验出原本不应该让这名用户看到的信息资料

5、COOKIE中毒：指对保存在COOKIE里的数据进行篡改的行为。

6 、操纵输入信息：在HTML表单里 ，攻击者利用在CGI脚本程序名的后面输入一些精心安排的“非法”数据来运行系统命令 。

3
、什么是COOKIE中毒？

答：COOKIE中毒是指对保存在COOKIE里的数据进行篡改的行为
。

在随后的3个月当中我们将逐步推出：信息安防、密码学基础 、网络体系架构
、入侵检测、主机与服务器的安防 、等专题文章供大家学习讨论
，敬请大家关注。

关于“介绍剔除系统启动项暗藏威胁的方法 ”这个话题的介绍，今天小编就给大家分享完了 ，如果对你有所帮助请保持对本站的关注！