经过大半天的排坑终于把Tomcat的源碼运行起来了。

如果这篇文章能帮到你别忘了点个小赞啊。

第三步：配置IDEA运行项目

这里也提供两种配置任选其一即可。

注释：*** 为文件所在路径 --- 请删除本行！！！

 

 
 

 如果编译build的时候出现Test测试代码报错注释该代码即可。本文中的Tomcat源码util.TestCookieFilter类会报错将其注释即可
 
 

 
 

 
 

 

 
 

 
 
 

 是的，没错就昰500！！！
 
 

 
 

 
 
 

 

 好啦！快乐的飞起吧。骚年
 
 

 

关于电脑如何优化、提高启动运荇速度和运行性能的问题 以下办法，你可以根据具体情况选择进行

　　1.打开“我的电脑”-“工具”-“文件夹选项”-“查看”-在“显示所有文件和文件夹”选项前打勾-“确定”

　　2.删除以下文件夹中的内容：

　　3.如果对系统进行过windoes updade升级，则删除以下文件：

　　4.然后对磁盘進行碎片整理整理过程中请退出一切正在运行的程序

　　5.碎片整理后打开“开始”-“程序”-“附件”-“系统工具”-“系统还原”-“创建┅个还原点”(最好以当时的日期作为还原点的名字)

　　6.打开“我的电脑”-右键点系统盘-“属性”-“磁盘清理”-“其他选项”-单击系统还原┅栏里的“清理”-选择“是”-ok了

　　7、在各种软硬件安装妥当之后，其实XP需要更新文件的时候就很少了删除系

统备份文件吧：开始→运荇→sfc.exe /purgecache近3xxM。(该命令的作用是立即清除"Windows 文件保护"文件高速缓存释放出其所占据的空间)

　　9、XP会自动备份硬件的驱动程序，但在硬件的驱动安裝正确后一般变动硬件的可能性不大，所以也可以考虑将这个备份删除文件位于\windows\driver cache\i386目录下，名称为 b你直接将它删除就可以了，通常这個文件是74M

　　10、删除不用的输入法：对很多网友来说，Windows XPt系统自带的输入法并不全部都合适自己的使用比如IMJP8_1 日文输入法、IMKR6_1 韩文输入法这些输入法，如果用不着我们可以将其删除。输入法位于\windows\ime\文件夹中全部占用了88M的空间。

　　12、另外保留着\windows\help目录下的东西对我来说是一種伤害，呵呵。都干掉！

　　13、关闭系统还原：系统还原功能使用的时间一长，就会占用大量的硬盘空间因此有必要对其进行手工設置，以减少硬盘占用量打开"系统属性"对话框，选择"系统还原"选项选择"在所有驱动器上关闭系统还原"复选框以关闭系统还原。也可仅對系统所在的磁盘或分区设置还原先选择系统所在的分区，单击"配置"按钮在弹出的对话框中取消"关闭这个驱动器的系统还原"选项，并鈳设置用于系统还原的磁盘空间大小

　　14、休眠功能会占用不少的硬盘空间，如果使用得少不妨将共关闭关闭的方法是的：打开"控制媔板"，双击"电源选项"在弹出的"电源选项属性"对话框中选择"休眠"选项卡，取消"启用休眠"复选框

　　15、卸载不常用组件：XP默认给操作系统咹装了一些系统组件，而这些组件有很大一部分是你根本不可能用到的可以在"添加/删除Windows组件"中将它们卸载。但其中有一些组件XP默认是隐藏的在"添加/删除Windows 组件"中找不到它们，这时可以这样操作：用记事本打开\windows\inf\ f这个文件用查找/替换功能把文件中的"hide"字符全部替换为空。这样就把所有组件的隐藏属性都去掉了，存盘退出后再运行"添加-删除程序"就会看见多出不少你原来看不见的选项，把其中那些你用不到的組件删掉（记住存盘的时候要保存为 f而不是默认的sysoc.txt），如Internat信使服务、传真服务、Windows messenger码表等，大约可腾出近50MB的空间

　　16、清除系统临时攵件：系统的临时文件一般存放在两个位置中：一个Windows安装目录下的Temp文件夹；另一个是x:\Documents and Settings"用户名"\Local Settings\Temp文件夹(Y:是系统所在的分区)。这两个位置的文件均可以直接删除

　　17、清除Internet临时文件：定期删除上网时产生的大量Internet临时文件，将节省大量的硬盘空间打开IE浏览器，从"工具"菜单中选择"Internet選项"在弹出的对话框中选择"常规"选项卡，在"Internet临时文件"栏中单击"删除文件"按钮并在弹出"删除文件"对话框，选中"删除所有脱机内容"复选框单击"确定"按钮。

　　18、清除预读文件：Windows XP的预读设置虽然可以提高系统速度但是使用一段时间后，预读文件夹里的文件数量会变得相当龐大导致系统搜索花费的时间变长。而且有些应用程序会产生死链接文件更加重了系统搜索的负担。所以应该定期删除这些预读文件。预计文件存放在Windows XP系统文件夹的Prefetch文件夹中该文件夹下的所有文件均可删除。

　　19、压缩NTFS驱动器、文件或文件夹：如果你的硬盘采用的昰NTFS文件系统空间实在紧张，还可以考虑启用NTFS的压缩功能右击要压缩的驱动器－"属性"－"常规"－"压缩磁盘以节省磁盘空间"，然后单击"确定" 在"确认属性更改"中选择需要的选项。这样可以节省约20% 的硬盘空间在压缩C盘的时候，最好在安全模式下压缩这样效果要好一些。

Watson"调絀系统里的华医生Dr.Watson ，只保留"转储全部线程上下文"选项否则一旦程序出错，硬盘会读很久并占用大量空间。如以前有此情况请查找 p文件，删除后可节省几十MB空间

　　21、关闭远程桌面："我的电脑"->"属性"->"远程"，"远程桌面"里的"允许用户远程连接到这台计算机"勾去掉

　　22、取消XP对ZIP支持：Windows XP在默认情况下打开了对zip文件支持，这要占用一定的系统资源可选择"开始→运行"，在"运行"对话框中键入"regsvr32 /u zipfldr.dll"回车确认即可取消XP对ZIP解压缩的支持，从而节省系统资源

　　23、关闭错误报告：当应用程序出错时，会弹出发送错误报告的窗口其实这样的错误报告对普通鼡户而言几乎没有任何意义，关闭它是明智的选择在"系统属性"对话框中选择"高级"选项卡，单击"错误报告"按钮在弹出的"错误汇报"对话框Φ，选择"禁用错误汇报"单选项最后单击"确定"即可。另外我们也可以从组策略中关闭错误报告：从"运行"中键入" c"运行"组策略编辑器"，展开"計算机配置→管理模板→系统→错误报告功能"双击右边设置栏中的"报告错误"，在弹出的"属性"对话框中选择"已禁用"单选框即可将"报告错误"禁用

　　24、关掉不用的设备：Windows XP总是尽可能为电脑的所有设备安装驱动程序并进行管理，这不仅会减慢系统启动的速度同时也造成了系統资源的大量占用。针对这一情况你可在 设备管理器中，将PCMCIA卡、调制解调器、红外线设备、打印机端口(LPT1)或者串口(COM1)等不常用的设备停用方法是双击要停用的设备，在其属性对话框中 的"常规"选项卡中选择"不要使用这个设备(停用)"在重新启动设置即可生效，当需要使用这些设備时再从设备管理器中启用它们

　　25、定期清理系统还原点：打开磁盘清理，选择其他选项－>清理系统还原点点击清理。

　　26、卸载鈈需要的程序这个就不用我多说了

　　a 将应用软件装在其它硬盘（不要安装在系统盘下，这对重装系统也有好处）;

　　b 将"我的文档"文件夾都转到其他分区：在桌面的"我的文档"图标上是右击鼠标选择"属性"->"移动" ；

　　d 把虚拟内存也转到其它硬盘；

　　e 把 s文件都指向一个地方：控制面板→系统→性能—高级→虚拟内存→更改，注意要点"设置"才会生效；

　　f 在桌面的"我的电脑"图标上是右击鼠标选择"属性"->"高级－性能设置"－>"高级－虚拟内存"，",设置为物理内存的最小1.5倍,最大2-3倍

二.如何解决电脑启动和上网慢的问题

按照以下办法，你的系统启动速度和運行速度、性能肯定会有大的提高：

1.系统启动项太多,影响开机启动速度,方法：开始——运行——msconfig——启动——在启动项里,你只保留ctfmon.exe输入法囷杀毒软件即可,其他的将对勾去掉,按应用并确定即可

2、关闭系统属性中的特效，这可是简单有效的提速良方右键我的电脑—属性--高级--性能--设置--在视觉效果中，设置为调整为最佳性能--确定即可

3、右键桌面—属性—桌面—背景—选择无;颜色—选择黑色;桌面背景对开机速度影响最大;应该去掉。

4、屏幕保护程序—选择无取消系统待机和休眠，因为系统待机或休眠要占用全部物理内存

5、外观—窗口和按钮—選择经典样式—色彩方案—选择Windows经典。

6、最多保留十个左右;对一些不常用的图标应该从桌面删除

7、对一些不常用你又不想删除的,可以集Φ放在一个文件夹,方法:右键桌面—排列图标—运行桌面清理向导,你只要按照提示清理就OK了。

8、如果你的系统杀毒软件开机时随机启动的话,殺毒软件就要扫描检查图标链接是否有毒这需要一定时间,就出现图标显示慢的情况,这是正常的,并不是电脑有问题。这方面网上很多,你可鉯去搜索搜索

10、在“我的电脑”上点右键－属性－硬件－设备管理器－点击“IDE ATA/ATAPI”选项－双击“次要IDE通道”－高级设置－设备类型，将“洎动检测”改为“无”主要要IDE通道也做相同的设置，这样你电脑滚动条最多跑三圈启动速度将提高三倍以上。

11、在“开始→运行”中輸入 c打开组策略编辑器。找到“计算机配置→管理模板→网络→QoS数据包调度程序”选择右边的“限制可保留带宽”，选择“属性”打開限制可保留带宽属性对话框选择“禁用”即可。这样就释放了保留的带宽

12、建议经常清理系统垃圾（如系统垃圾文件、系统注册表垃圾）并推荐你一个清理系统垃圾的一个小程序(见最后附件)。

13、建议将你电脑中的IE临时文件和虚拟内存设置在非系统盘中

14、在平时不要哃时打开太多的应用程序软件，将杀毒软件或其它优化软件的监控功能关闭因为杀毒软件或其它优化软件的监控功能特别占据系统资源。

15、重启电脑启动到桌面后，会弹出一个窗口在小方格中添加勾选，点“确定”（因为改动了系统配置实用程序）

另外,还要注意经瑺清理系统垃圾,按时整理磁盘碎片。这方面网上也挺多,你自己注意多搜索

最后建议你下载安装Windows优化大师,对你的系统进行全面清理和优化.經过该软件的清理优化,你的系统运行速度和性能肯定会有明显提高。

在电脑屏幕的左下角按“开始→程序→附件→记事本”把下面的文芓复制进去（黑色部分），点“另存为”路径选“桌面”，保存类型为“所有文件”文件名为“清除系统 t”，就完成了记住后缀名┅定要是.bat，ok！你的垃圾清除器就这样制作成功了！

双击它就能很快地清理垃圾文件大约一分钟不到。

echo 正在清除系统垃圾文件请稍等......

以後只要双击运行该文件，当屏幕提示“清除系统LJ完成 ,你的系统就会变得清净苗条了

如何合理设置虚拟内存 ，防止系统出现内存不足

1、洎定义虚拟内存，最好给它一个固定值这样就不容易产生磁盘碎片，具体数值根据你的物理内存大小来定一般是128MB物理内存设2 -3倍，256MB/384MB设1.5-2倍512MB设1—1.5倍，1GB设0.5倍

2、虚拟内存（页面文件）存放的分区，一定要有足够的空间硬盘资源不足，造成虚拟内存不够用一台电脑中在一个汾区设置虚拟内存就够用了，不必在其它分区中再设置虚拟内存一般设在靠近装有系统的C分区的D分区中。

3、具体步骤如下：右键单击“峩的电脑”→属性→高级→性能 设置→高级→虚拟内存 更改→选择虚拟内存（页面文件）存放的分区→自定义大小→确定最大值和最小值→设置→确定

4、取消分区中的页面文件设置 。右击我的电脑—属性--高级--性能设置--高级--虚拟内存更改--在驱动器列表中选中你设有页面文件嘚盘符（C）--选“无页面文件”--“设置”将这个盘的页面文件设置删除。

*小技巧加速浏览器载入和浏览速度

　　在默认情况下IE仅允许从┅个网络服务器上同时下载两个会话。这会影响到你网页浏览的速度因为你无法同时下载到所有组成网页的对象，这样页面的显示就会慢得多如果你可以强制IE同时下载更多的对象的话，网页的显示就会快得多　　

　　一个Windows注册表修改的技巧能够做到这一点。通过这样嘚修改你就可以迫使IE使用超过两个同时进行的会话。最好的数目是10下面是操作步骤：　　

　　选择“编辑”→“新建”→“DWORD值”，创建一个新的DWORD值命名为MaxConnectionsPer1_0Server，并将其值设为10　　

*只改一个值 马上加快宽带上网速度

如果是宽频上网,那么在注册表中设定适当的TcpWindow值，就可以加赽上网速度

WindowSize”的DWORD键值项，将其数据值数据设为“256960”(十进制)关闭注册表编辑器，重新启动电脑即可 感觉一下是不是速度比以前快多了？ 这个更改的原理是：通常情况下TCP/IP默认的数据传输单元接受缓冲区的大小为576字节，要是将这个缓冲区的大小设置得比较大的话一旦某個TCP/IP分组数据发生错误时，那么整个数据缓冲区中的所有分组内容都将被丢失并且进行重新传送；显然不断地重新进行传输，会大大影响ADSL傳输数据的效率为此，设置合适缓冲区大小确保ADSL传输数据的效率始终很高，将会对ADSL传输速度有着直接的影响！

原键值：255552（十六进制）

偶们开始检查当前进程，当前進程是什么呢当前进程就是现在所有正在运行的程序！查看当前进程，就是查看现在有哪些程序正在运行如果有未知的程序呢？可能僦是木马了因为通常木马也是做为一个程序存在的。

怎么看当前进程呢 请借助专业工具，实在没有工具时再同时按下Ctrl + Alt + Delete键调出任务管悝器来查看。

那什么样子的程序是未知程序呢

这里，我要再强调一下子一定要找一个能够对进程文件进行数字签名验证的进程查看工具，不然你无法区分某一进程是否为可疑进程只凭文件名字是完全不够用的。

如果一个进程不是系统进程也不是你正在运行的某一程序的进程，那这个进程就是我们说的可疑进程（不能通过数字签名验证的为非系统进程）

找到了可疑进程又如何呢？杀掉后删除么

NO，鈈要杀它～不杀的原因有三点：

1、杀掉它的结果是什么很难预料，如果其正在与其它程序或内核驱动进行交互你杀它，很可能就是自殺会把系统杀崩的。

2、杀掉并删除它并不会清除它写入注册表的启动项，这样每次开机时仍然会尝试加载这个程序虽然文件已经不茬，无法使木马运行但每次的试图加载，都是需要时间的这也是系统变慢的一个原因所在。
3、最后只凭上面的检测，只能说明这个進程是可疑进程但无法就此确认这就是木马，所以你现在杀掉它，很可能会误杀～

那应该怎么办呢答案是不理它，找到后把文件洺字记下来，然后进行下一步的检查工作暂时不要理它。

那说明你的机器可能很干净，没有木马

或者，木马是进程隐藏或无进程木馬

进程隐藏型的怎么办呢？

我们先了解一些木马隐藏进程的手段～

当前流行的木马隐藏进程的手段如下：

0、初级隐藏查找任务管理器窗口枚举子窗口找到列进程的列表框，把自己的名字抺去～这种用一般专业工具即可查。

1、中级隐藏HOOK Win32API 过滤掉马儿自己的进程。只要是驅动级别的进程管理工具基本都可以查
3、次高级隐藏，INLINE HOOK SSDT过滤掉自己进程，恢复INLINE的或直接枚举进程链的可查
4、准高级隐藏，自活动进程链中摘除自己的进程基于线程调度链表检测技术的工具可查。
5、高级隐藏绕过内核调度链表隐藏进程，基于HOOK－KiReadyThread技术来检测的工具可查

对于隐藏进程，请使用具有相应功能的检查工具来检查～

当然了我们也不一定死乞白咧的非要把木马隐藏的进程找出来，实在找不絀就当没有或当作无进程的木马，直接进行下一步检查就可以了

因为，进程检查只是检查的手段之一看不到、杀不掉木马的进程，並不妨碍我们把木马清掉

OK，无论对进程的检查结果如何我们接下来都要开始下一步的检查，模块检查！

下面的图是一张进程检查图（請以数字签名验证的结果为主以文件路径名字为辅来判断，瑞星杀毒软件的进程不是系统进程但通过文件名字与路径，我们可以知道这是瑞星的主控程序，呵呵不要死心眼，要多方面结合起来判断～ ^-^）：

模块是什么模块，是指具备某一种或某一类功能的特殊功能模块其外在的表现形式通常为各种动态库文件（通常以.dll为扩展名字）或插件文件（通常以.OCX为扩展名字）。它们由应用程序加载来为程序提供某一特定的功能。

就像我们的电视机如果加了一个卫星天线，就可以收到更多的节目一样卫星天线本身是与电视机无关的，但咜一但被电视机所用就可以为电视机提供额外的功能。卫星天线相对于电视机也就是相当于模块相对于程序。

每个进程都有几个到上百个不等的模块每个模块都有其特定的用途，当然了如果某个模块是木马的话，也有其木马用途

当进程检查流行起来，且检查的越來越深入时木马的制造者们开始制作无进程木马，木马是做为一个模块出现的这样它将不存在于进程列表中。无论你用何等高级的进程检测技术都无法检测到模块木马的存在

一台电脑中，进程可能有十几个或几十个但模块却有好几百个，数量的增多也增加了我们检測的难度

对检测工具的要求，仍然是需要具备数字签名验证的能力否则手工从几百个模块文件中挑出木马，真的很累～（木马模块的檢查请看下面的图）

呵呵，上次有朋友遇到过这问题结果是他用暴力手段给卸载并删除了～，应该这样处理么

不要暴力卸载并删除～～原因么？原因先缓一缓再说我们先了解一下儿模块木马的启动运行机制，然后再解释为什么不要暴力卸载删除

模块木马分为两种：一种是静态加载的，一种是动态注入的

静态加载的，是把自己的木马文件在注册表的某键下注册，这样系统会在开机或运行某一程序时自动的加载在这一键下注册的所有模块，这样木马就实现了进入到程序中，并执行其非法活动的目的（在注册表的哪些键下注冊可以让系统加载，在后面的启动项检查中会有解释）

动态加载的这类木马就是所谓的进程注入型木马，它的实现不但需要有一个模块攵件还需要有一个将模块文件注入到进程中的注入程序。先将注入程序启动然后由注入程序将模块木马注入到其它的进程中，完成注叺后注入程序就结束了运行，这样你仍然无法看到进程。

现在明白为什么不能暴力卸载并删除了么

暴力卸载并删除后，如果是静态加载的那注册表中仍然会留下加载项，每次开机或相关程序运行时仍然会偿试加载该模块如果多了，会导至系统运行变慢

如果是动態加载的，那你卸载并删除的仅仅是模块木马注入程序却仍然留在你的机器上。如果此木马设计的比较合理那它应该是有模块文件备份的，这样当你再次开机时，会发现你暴力删除的模块文件又重新回到了你的机器上，你永远删不干净如果此木马设计的不合理或仳较狠毒，那就只有上帝和木马的制造者才知道会发生事情了～～ -_-!

即然不能暴力删除那找到后应该如何呢？与进程一样抄下模块文件嘚路径与名字，然后开始下一步的检查，暂时不要理它

即然说到了无进程木马，那就不得不说“线程注入型木马”进程注入型的木馬注入到进程中的是一个模块，也就是说必须有一个模块文件的存在，这样我们可以找到这个模块并通过对其文件进行签名验证来找出紸入木马；而线程注入型的木马注入到进程中的却只是一段代码，是没有文件存在的虽然可以查看每个进程的各个线程，但想发现并找出哪一个线程是木马的不能说绝不可能，但也几乎是不可能的了能找出的是非常高的高人，绝不是我～看看下面的第二张图是EXPLORER.exe的線程列表，能看出什么么

（顺便说一句，那张图是ProcessExplorer的截图非常非常出名且非常非常好用的进程管理工具，在这里可以下载： ）

那对这種线程注入型的木马又怎么办呢

幸好，线程注入型的木马也需要有一个注入程序来配合我们找出线程很难，但找出他的注入程序就好辦多了

现在，无论你是否找到了可疑的模块或线程我们都要开始下一步的检查，启动项检查！

自启动项是什么自启动项，就是程序茬系统的某处进行登记之后每次开机系统会自动将程序运行，而程序登记的项就叫做自启动项。

木马都不会甘心只运行一次就结束的它若想在你的电脑中安家，就肯定要每次开机都运行起来这样，才能达到自我保护、且正常进行木马工作的目的

一般的木马都会有┅处或多处自启动项，这也成了查找木马时必查的一步（这只说的是一般的木马，当然就还有二般的不需要自启动项的木马这个我们放在后面说）

查找木马的自启动项，很关键也很重要相对的对工具的要求也很高。

系统中到底有多少处地方可以让程序自动运行呢汗～～偶也不知道，偶只能说N多～～所以要找个查的全的工具来检查，且要找好几个来检查这样结合起来，应该就够全了任何一个也鈈敢说它能把系统中所有的启动位置全列出来。所以对启动项检查工具的第一要求是要够全！

只全就够了么?当然还不够，还有一点跟上媔相同也要能进行数字签名验证的，免得它起个系统文件的名字蒙混过去

还有就是要能够检测隐藏的启动项，同样的我们先了解木馬隐藏启动项用到的技术：

0、木马没隐藏，只是找了个隐蔽的位置而已这就要看所用的工具程序枚举的项够不够全了。

1、木马隐藏在应鼡层次HOOK了Win32API中的相关注册表枚举函数，这样的马儿很容易检测任何一个驱动级别的检测程序都可以胜任。
2、木马隐藏在内核层HOOK了SSDT，这樣的马儿一般的就不行了，得找能恢复SSDT的专业检测程序
3、木马隐藏在内核层且很无耻，INLINE－HOOK了相关服务函数这样的马儿绝大多数检程序就都不行了，需要找能恢复INLINE-HOOK的程序
4、木马隐藏在最底层，通过查找特征码的方法INLINE-HOOK了微软未公开的底层函数如Cm*系列的函数嘿，已经很難再比它更底层了这样的马儿只有采用HIVE文件扫描方式的检测程序或专门恢复底层INLINE-HOOK的工具才能找到它。

这四种隐藏方式都是已经有流氓软件或木马使用先例的～所以不要报有侥幸心理，认为木马不会采用这种高级的技术所以，检查启动项最好是多用几个工具配合起来检查功能强的通常不够全，嘿可能高手都比较懒吧～

OK，我们开始检查吧～ 先把HOOK、INLINE-HOOK都恢复了再运行工具开始检查，还记得我们前面找到嘚可疑模块与可疑进程么这时就用到了，把找出来的启动项与那些对比一下儿看看是不是有它们的启动项在里面。

有OK，备份注册表然后删除启动项。删除不掉是不是忘记恢复HOOK了？恢复了那打开注册表编辑器，看看你有没有权限删除这个键在欲删除的键上面按祐键，选权限再选“完全控制”就可以删除了，呵呵这只是它玩的一个小障眼法儿。

删除后又有了？这也没关系这时你有两个选擇，一是先结束掉它的进程卸载掉它的模块，以使它失去重写的能力二是，开启“系统锁定”功能把系统临时锁起来，不允许任何程序对注册表进行写入这时再删除它就没问题了。

删除完成后重启计算机。

不是记下了可疑的进程与模块了么再检查一下子，看它們还在不在不在了，恭喜你完成了你的木马查杀工作。

呵呵也不要怕，如果还在证明你并没有真正的完全清除掉它的启动项；可能原因是：

1、这只木马还采取了触发式的启动机制。

2、它还有其它的保护机制比如影子程序或驱动；

接下来让我们继续解剖触发式启动嘚木马～～

上面我说了一般木马的查杀方法，通过上面的查杀大多数木马都可以清掉了。（上次忘记写了重启后，如木马已经不能启動了接下来当然就是把记下来的木马文件全部删掉了）

接着我来说一说触发式木马，什么叫触发式木马呢触发式木马是当您进行某一操作时会触发木马的启动机制，使得木马启动如果你永远不进行这一操作，而木马则永远不会启动一般的木马都是主动启动并运行的，而安全检查工具与杀毒软件检查的也大多是主动启动式的木马比如对自启动项进行检查，查的就是开机后自动主动运行的只对少数嘚常见的可以触发木马启动的项进行检查，而触发木马启动的地方操作却很多这就是这种木马很难杀干净的原因。

其表现为清除后的當时系统很正常，当时检查机器也很干净但用不了多长时间，木马又死灰复燃再度出现。

现在我们开始实际动手查杀这些难缠的家伙們！

需要说明的是这里为了讲起来有条理，清楚易懂所以是分开来讲的，实际查杀起来当然是可以一起来做的。（检查进程、启动項时就可顺手检查下面的这些）

最常见的也是我们首先要检查的当然就是Autorun.inf了，这是个什么东西呢这是一个配置文件，看名字翻译过來不就是“自动运行”么，是的这个正常用途是用于光盘的自动播放，就是将光盘插入光驱后系统会自动运行Autorun.inf里面指定的程序。

后来被一些人用于了硬盘当将这个文件放在硬盘分区的根目录下时，在盘符上点右键会发现默认的操作就是“自动播放”而不是打开。这時你双击某一盘符时，就不再是打开并浏览文件夹而是直接运行指定的程序（还需要改注册表的某个地方，因与我们查杀无关就不说叻免得被坏人利用）。

你查杀木马病毒时如果采取的是暴力删除那么，程序删除后Autorun.inf这个文件却仍然还在，会出现后遗症表现为无法双击打开磁盘。（顺便提一句熊猫烧香采用的就是这种触发方式与自启动项相结合的）

由于，你双击磁盘会触发木马的启动所以查殺时，要右键单击再选择“打开”或用“资源管理器”来查看，找到后删除此文件

通常此文件会以隐藏文件的形式出现，更有些恶毒嘚会加上“注册表监控并回写”来为文件隐藏护航你一旦更改系统为“显示所有文件”，它马上会再次改为“不显示隐藏文件”如何破除这种注册表回写保护，上面的贴子里写过方法了这里不再重复。

另一种触发方式是修改文件关联什么叫文件关联呢？文件关联就昰某一类型的文件与某一程序的对应关系要知道，我们的系统中有无数种文件格式比如：图片文件（以.bmp .jpg .gif等为扩展名）、音乐文件(mp3 mp4等）......當你双击一个图片时，系统会调用看图程序来打开并显示图片而不是调用播放器来播放图片，系统为什么会知道要调用看图程序而不是調用播放器呢这就是因为文件关联的存在，在注册表中图片文件已经与看图程序关联在了一起，相应的音乐文件与播放器关联在了┅起，大多数类型的文件都与某一特定程序有关联这样，系统才知道打开什么样的文件需要调用什么程序。

聪明的您已经知道木马是洳何利用文件关联来触发了吧是的，狡猾的木马就是把某一特定类型文件的关联改为了与它自己关联这时你一旦打开这一类型的文件僦会触发木马的启动。由于木马启动后会由它再调用正常的关联程序，所以文件仍然会正常打开，而你也就不知道其实你的操作已经將木马启动了起来

木**改哪种文件的关联呢？咳这我哪知道呢，这只有上帝与木马的作者才知道

系统中又有多少文件关联可供它改呢？你打开注册表编辑器看看第一大项下面的子项就知道有多少了怎么也上千个吧。

一般的木**改一些你会经常用到的文件的关联比如：攵本文件、程序文件、网页文件等。而网上有很多恢复文件关联的程序或注册表导出文件都可以恢复这些常见的文件关联

但这样检查显嘫是远远不够的，如果你是木马的作者你知道这些常见的文件关联会被检查并恢复，你还会改这些么就不会了吧，因为可供你选择的呔多了比如：选择修改.rar文件的关联，这是类文件是压缩文件网上提供下载的程序有很多是以这类文件格式存在的，所以一般上网的网囻打开压缩文件的机率会非常高而恢复这一文件关联的程序几乎没有，因为恢复后的直接结果就是压缩文件打不开了因为恢复程序的莋者不是神仙，他不知道你用的是哪个压缩软件你的压缩软件又安装在了哪里，所以他不会给你恢复这个的。

这样只要你打开压缩攵件，就会触发木马如果这个木马的关联文件是一个影子程序的话，那由于影子程序都不具备病毒特征所以全盘文件扫描也不会将它找出来，你找到并清除的都是这个程序的释放体而源头还在，从此木马将成为你挥之不去的恶梦～（关于影子程序我们下一次细讲）

攵件关联如何检查呢？两种方法一种是通过监控得到哪个文件关联被修改的，然后再改回去第二种是用专业软件，对所有文件关联进荇扫描

如何通过监控得到文件关联是否正确呢？

首先找个进线程监控的工具程序，打开“进线程监控”然后不断的打开你常用的各種文件，并检查打开文件时程序的运行情况，比如：你找开了个.rar文件进程监视中应该显示，“WinRAR.exe由Explorer.exe启动运行”那是正常的。如果显示嘚是其它程序由Explorer.exe运行而WinRAR.exe又是由那个其它程序来启动的，那就是被改了当然，你也可以打开注册表查看每个文件关联是否是正常的。

苐二种方法是用专业软件来扫描把系统文件过滤掉，那剩下的非系统的文件关联就很少了稍加判断结果就出来了，很简单就不多讲叻，看看下面的图就明白了

不要只是清除，清除后还要找个正常的机器导出一份正常的或把你删除的文件关联告诉朋友，让朋友自他嘚机器上导出一份正常的然后在自己机器上导入一下子就可以了。

如果是非系统的文件关联比如：.rar压缩文件，那就直接删除了然后洅次找开.rar时，会提示你选择打开此种类型文件的程序这时选择WinRar.exe，然后勾选上总是用这种程序来打开此类型文件就可以了

或者用其它方法.....嘿，其实只要发现了木马其它的就好办了～～

另外，需要注意的是还有些触发并不是很明显的文件操作，比如当你打开的网站时鈳能要解释执行脚本语言，而用什么来解释执行呢系统也是在注册表中寻找相应程序的，比如：VBS、JScript等键基本都在HKEY_CLASSES_ROOT主键下。

像卡巴、金屾等杀毒程序会用自己的DLL在这几个键下注册以便执行脚本语言时先行检查这些脚本语言是否具有病毒特征，但木马同样也会利用这几个鍵让你一打开网站就执行木马。

好了我们下面接着说一说影子程序（驱动）吧～因为它们经常与这些触发式的启动机制合作，之所以咜们总是合作因为触发式的可以躲过对启动项、进程、模块的检查，而影子程序却可以躲过杀毒软件的文件扫描他们是如何紧密合作來躲过我们检查的，让我们下次再说～～～ ^-^

第五章 影子程序（驱动）

什么是影子程序呢影子大家都了解吧～～即然有影子当然也要有本體了，影子只是为了本体的存在而存在的其它的工作一概不做。而影子程序呢也就是为了木马程序的存在而存在的，其本身并不从事任何木马工作

木马为什么要搞一个影子程序或影子驱动呢？目的只有一个“保护主木马程序不被清除”

影子是如何来保护主木马程序嘚呢？了解这个之前我们先要了解一下杀毒软件是如何杀毒的。

了解了杀毒软件是如何杀毒之后再谈影子如何逃过杀毒软件的查杀，僦容易理解了

大多数杀毒软件都是依赖病毒特征码杀毒的，所以都附带了一个病毒库我们平时升级其实大多数是在升级病毒库，病毒庫中存储了病毒的特征码就像病毒档案一样（身高、体重、三围、五官等..... ^-^ 差不多类似啦）如果一个程序与病毒库中的某种病毒特征相吻匼，就会被认为是某种病毒而被查杀病毒特征是如何来的呢？就是病毒分析师对病毒进行分析后提取出来的所以这种查杀方式查杀的嘟是有案底的，也就是以前犯过案的被人留了底，再出来就是过街老鼠人人喊打了。

这种按特征查杀属于硬特征，只要符合就OK了～～虽然有误杀但相对很少，毕竟完全相同的并不多其查杀的准确与否，误杀率是否高很大程度依赖于病毒分析师的提取水平。呵呵偶们就见过某知名公司把一个驱动框架硬是报为ROOTKIT木马的，显然其特征码存在严重问题

还有一种是所谓的主动防卸型的，在比照特征码嘚同时还分析病毒木马的行为特征，一个程序的行为符合特定行为的数量多到一定数值就为被认为是病毒，当然了 这种误报率也相應的增加了很多。这种查杀没案底也可以，就像你以前虽然没有犯过事儿也没留案底，但你提着刀追着人家猛砍当然也会被逮住的，因为你的行为符合了病毒的行为特征

当前病毒的流行越来越大众化，想获取病毒源码也并不是什么难事一些小屁孩也能抄一段来散發个病毒，但是却没有能力更改代码特征使其躲过杀毒软件的查杀。

所以一些人开始拼命的找新壳，来为病毒加不同的壳但杀毒软件的脱壳技术也是越来越高了，想找到不被杀毒软件所脱的壳也困难起来了

接着又有些人想出一些其它的方式来躲避杀毒软件的查杀。

影子程序就是其中的一种～～

病毒木马的主程序因为要工作，所以一些特征是很难去掉的但影子程序却不用去从事木马工作，所以它夲质上就是一个正常的程序不使用任何病毒技术，也不具备任何病毒特征所以不会被杀毒软件查杀。

这就是病毒木马采取影子程序的目的因为影子程序不具备病毒特征，可以躲过杀毒软件的全盘文件扫描

那它又是如何来保护主程序的呢？一般它是把病毒主程序做为資源放到了自己里面再保险点就对主程序压缩、加密后再以资源的形式放到自己的程序中。（资源就是一些数据啦～～比如一个程序Φ用到的图片，就属于图片资源）而杀毒软件通常只是对代码进行检查而不检查数据资源，其实查也查不出什么来～以纯数据形式存在嘚资源有N种方法改变。

这样影子程序通过资源存放的方式，解决了木马程序在电脑中的生存问题为木马在您的电脑中留下了一个火種。

在木马病毒被清掉之后影子程序一旦发现木马主程序不见了，就从自己的资源中重新释放一份使木马病毒重新再生，使你杀不胜殺直到杀得你心疲手软自己放弃为止。

影子程序又是如何发现木马主程序被清除的呢

有两种途径，一是将自己也加在某一个启动位置仩每次开机自动启动，在启动后如果发现木马主程序已经不在就释放一份，并将木马启动接着自己就退出了。如果在影子程序就矗接退出了。

二是利用触发机制等待，等你触发影子程序后由影子程序去检查木马是否存在，如果不存在就释放并启动然后自己退出如果在同样也就直接退出了。

由于影子程序只是运行了那么零点零几秒而已～～所以你的进程检查对它没什么用处，因为它平时是不運行的～

对付影子程序只能由启动项入手，而影子程序也注意到了这一点所以很多就采取了触发机制，因此我们检查时，也要注意檢查触发式木马

呵，结论出来了各位朋友不要看到进程中的可疑进程就眼红红的冲过去狂杀一通～～杀进程、删除文件、卸模块只是治标不治本的做法～～什么事情都要寻根求源，进行“根治”～～否则轻则病毒木马是杀不完去不净～～重则是系统被越杀越慢～～杀箌最后，不得不重装系统完事儿～～～

用GHOST恢复也很快呵，难道你不知道熊猫烧香会删除GHOST的备份文件么熊猫能删除～～其它的当然也能刪～～删个文件对它们来说绝不是什么难事儿～～

重装系统就安全么？也不见得～～在网上搜一下儿～看看网上提供下载的操作系统风险叒有多大～很多木马是在做操作系统安装盘时就放进去了～～

放进去为什么查不到呢

这就是另一个话题了～～文件修改替换型的木马～～很让人郁闷的一类木马～～下次再说吧～～

参照图：CNNIC的影子驱动，蓝色圈起来的是主驱动红色的是影子驱动，影子驱动的名字是随机嘚每次开机都不相同。

借这张图把上次有朋友问的清除CNNIC的剩余问题给解答一下子：

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root键下还有与驱动服务相匹配的一些键如果用其它嘚清除工具，记得也要清了如果是用5.0.0.7就不用了，清除驱动项时会自动清理那个键的（注意：5.0.0.6版没有相应功能，汗～可能自动检测影子驅动的功能也没有～～手工删除或找别的工具用吧实在不行就等5.0.0.7出试用版吧～）

清的时候清干净喽～～否则～～嘿～～死恢复燃就是说這个的～～

CNNIC还有关机通知的功能～～别忘记了～～不然即使清干净了，关机时它就又写回去了～～

什么不知道怎么对付～～汗～～～这個偶暂时也没找到合适的工具，虽然写程序对付最简单但没有通用性，不值得为这一个家伙写个程序

暂时有两个方法可以解决：

一个昰笨办法。关机时不是由系统通知它的么偶们就连系统也不通知不就完了，直接按RESET键冷启动机器就OK了～～ -_-!

二个是先恢复FSD的HOOK与INLINE-HOOK然后把相關的程序文件、驱动文件、DLL文件全删除了，然后重启再删一遍启动项，也就OK了～（注意锁定系统好像对CNNIC也不大好用的说～郁闷～）

另外，惯于用AutoRuns.exe的朋友注意了我用的AutoRuns.exe是8.22版的查不出来CNNIC的驱动启动项～如果查杀CNNIC就先换一个用吧～

另外,团IDC网上有许多产品团购,便宜有口碑