Storm_Center

　　改变默认网关IP、关闭SSID广播、使用IP地址和MAC地址过滤、使用加密技术……

　　当电脑格式化重装或者ghost恢复之后，电脑一定是干净的，后来是如何中毒的呢？今天我就来给大家一个情景重现：假设一个菜鸟用户群众演员叫小A，假设我是导演，当小A的日常操作引起中毒的时候，我就喊“停”，然后给大家讲讲原因和教训。

　　病毒木马喜欢呆的地方是系统文件夹，windows、windows\system32、windows\system32\drivers，还有c:\program files\internet explorer、c:\program files\internet explorer\plugin、c:\program files\common files\miscrosoft shared，还有就是临时文件夹、IE缓存。

　　检查文件时间有不确定性，再加一个检查项目文件版本，也是在文件的属性中查看，有文件版本、厂商信息等。首先明确一下，不是所有文件都有版本信息，也不是所有无版本信息的文件都是病毒文件，更不是所有显示微软信息的文件都真是微软的。

　　文件名是第一眼印象，通过文件名来初步判断是否可疑是最直接的方法，之所以放在时间判断后面，实在是从一大堆文件中分拣可疑分子太难了，还是用时间排下序方便些。

　　注意，所说的内容不能照搬，删除自认为的“病毒文件”前最好备份，否则后果自负。有时候，就是宁可放过，不可错杀。不过只要确认不是系统的文件，错杀就杀了，大不了重新安装应用软件，比重装系统好些，不是说重装系统的过程，ghost也很快，主要是其它的影响，所有软件都要重装，重新设置才是麻烦，多伤神。

　　《一行代码解决iframe挂马（包含服务器端注入、客户端ARP注入等）》得到了很多朋友的认可，这确实是个避避风雨的好办法。可现在挂网马的方式真如我所料地改变了，现在流行挂script木马，看了几个网友的网站都被这样了——页面的顶部或底部加上了……

　　相信大多数朋友都是iframe木马的受害者，有朋友的网站被注入了n回iframe，心情可想而知。而且现在ARP攻击，注入iframe也是轻而易举的事，仅局域网里都时刻面临威胁，为了防止更多的朋友受到攻击，于是细细说下。

　　最近公司和好朋友的网站纷纷被IFRAME了，有的挂上了鸽子，有的疯狂地弹窗，有的给人家增加流量。一个个文件去查找替换那些IFRAME代码，刚松口气，不久又加上去了。因为FF(Firefox)不怕IFRAME，于是就拿IE开刀。我只写了一句代码，就搞定了。就是IE 特有的的CSS中的属性expression，插进去试试，果然那些IFRAME不起作用了。

　　双进程木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它，而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。