徹底清除登錄檔中的駭客程式

本文摘錄自旗標 F038「Windows XP 登錄檔嚴選密技」一書

近來由於 ADSL 十分普及, 加上連線費用都採無限時數上網的月費方式, 因此包括筆者在內, 許多人已經習慣讓電腦持續連線, 保持 Always-online 的狀態。不過此舉卻也增加了電腦被

駭客入侵的風險, 而本章的主角『駭客程式』正是不肖之徒的作案工具。

駭客程式運作的原理

駭客程式也稱為後門程式,它通常是由一對 Server 端與 Client 端程式所組成,一般 Server 端會常駐於被害者的電腦提供入侵管道,而 Client 端則負責與 Server 端連絡,也就是駭客實

際入侵的工具。這兩者只要缺了一個,駭客們就無法成事。

至於 Server 端程式是如何進入被害人電腦中,想必也令許多曾被駭客入侵的使用者感到莫名奇妙。其實散佈 Server 端的手法,依據駭客本身的功力而有所不同,一般比較常見的有下列

4 種途徑：

◇利用 E-Mail 散佈：將 Server 端程式隱藏於圖片或遊戲程式中,然後利用 E-Mail 附加檔案發送出去,收件者只要開啟圖片或啟動遊戲,後門程式就會開始運作。

◇暗藏於免費軟體供人下載：有些不肖的軟體下載網站,常會將 Server 端程式整合於一些常見、好用的工具程式中 (如：WinZip、Winamp),然後供網友免費下載。使用者只要執行這些動

過手腳的程式,連帶就會將後門程式安裝到系統中。

◇透過網頁技術：為方便網站和瀏覽者間的互動, 目前有許多網路技術都可以將資料寫入使用者的電腦中,如：ActiveX、Java 等。一些深諳程式設計的高手,便會利用這種技術來散播server

端程式, 使用者只要瀏覽網頁就會遭殃。

◇使用軟體漏洞：最後一種方式是最難防範的, 就是利用軟體或作業系統先天設計不良所產生的安全性漏洞,來入侵被害者的電腦。有心人士會利用這種漏洞, 誘騙軟體或系統主動執行駭客程

式, 便可在使用者電腦安插隱秘的後門, 以供日後入侵之用。此種散佈管道唯一的防範方法, 就是隨時注意軟體設計公司是否有釋出修補程式, 並確實依照說明將修補程式安裝到電腦上,以防

堵無孔不入的駭客。

駭客程式常駐足的機碼

看到這裡您可能還是一頭霧水, 『駭客入侵和登錄檔有什麼關係？』

前面說過, Server 端與 Client 端兩者都是駭客入侵必備的工具, 不過即使駭客想盡辦法將Server 端程式植入被害者的電腦中, 如果 Server 端程式未被執行, 整個入侵行動還是無法進

行。那要如何確保 Server 端在植入電腦後會被執行, 甚至在重新開機後也繼續運作？答案就是利用登錄檔。

一般電腦在開機之時, 有不少程式會自行啟動, 甚至常駐於系統中, 這都是系統根據登錄檔中的內容來執行的結果。而駭客們只要將後門程式偷偷加入這個啟動清單中, 日後 Server 端程式

就會不斷在被害人的電腦中反覆執行。

駭客程式最常駐足的登錄檔機碼多半都是位於 " HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion" 或 " HKEY_LOCAL_MACHINE＼SOFTWARE

＼Microsoft＼Windows＼CurrentVersion" 兩個機碼之下, 詳細的位置如下表所示：

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

雖然目前網路上有流傳不少清除後門程式的工具軟體 (如：Trojan Remover、Iparmor ), 都可以有效對付這些不速之客。不過一般人往往是等到電腦被明顯破壞、或是資料遺失了, 才

會發覺電腦被入侵, 然後才思考補救之道。

其實如果平時能多留意上述說明的這些機碼位置, 看看系統中是否有莫名的程式會在開機之時自行啟動；如果查覺到不對勁, 可以先移除可疑的登錄值, 或是利用一些工具清除駭客程式,

就可收到防患未然的效果。

NetSpy 程式的清除實例

接著我們便以一個網路上知名的駭客程式 － NetSpy 為例, 說明如何靠著查找登錄檔, 找出駭客作亂的根源,並進一步將之清除殆盡。

NetSpy 是由大陸玩家所設計的程式, 它的操作簡單、功能單純, 即使不具網路基本概念也能輕鬆使用, 因此深受不少功力不深的駭客玩家們喜愛。目前該軟體雖然已經逐漸轉型為正當的遠端

監控程式, 但是舊版程式在網路上仍廣被流傳。

由於 NetSpy 檔案小、佔用的系統資源也不高, 即使電腦不幸被植入 Server 端程式, 一般人往往也無法察覺。不過和其他駭客程式相同, NetSpy 也會在登錄檔中寫入登錄值, 以確保被害人每次開機時 Server 端程式都會運作, 因此您只要一一清查前面提及駭客程式時常駐足的機碼, 很容易就可以把它揪出來：

1. 執行「Regedit」

2. 假設在" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Winodws\CurrentVersion\Run "機碼下發現 " Netspy "。

3. 選取" Netspy "按" Delete "鍵將其刪除。

PS.提醒您，不要任意更改其他的機碼，以免造成系統毀損如果在機碼中找不到 Netspy 表示電腦中沒有被此駭客程式入侵。

詳細的操作畫面請參考：F038 Windows XP 登錄檔嚴選密技

5. 重新開機後，執行「開始 / 搜尋」找出" NetSpy.exe "後，將其刪除即可。

刪除 NetSpy 的 Server 端程式後, 駭客就無法再輕易入侵您的電腦, 為求慎重起見, 您也可以再以 Trojan Remover 等後門程式清除工具, 徹底清查系統上是否還有其他可疑的程式在活動。