当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 查看系统中是否有简单木马

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 查看系统中是否有简单木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 32 ::
收藏到网摘: n/a

 

  如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明:

  1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它

  2、启动注册表编辑器,查看以下几个地方:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run...
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run...

  看看启动表项里是否有可疑的程序

  HKEY_CLASSES_ROOT\exefile\shell\open\command

  看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %*

  HKEY_CLASSES_ROOT\inffile\shell\open\command

  看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

  HKEY_CLASSES_ROOT\inifile\shell\open\command

  看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

  HKEY_CLASSES_ROOT\txtfile\shell\open\command

  看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

  记录下来,暂时不要更改

  3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports。

  用来看端口与进程的关系,找出使用异常端口的进程

  4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。

  5、开始->程序->启动中是否有奇怪的启动文件

  综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了:D

  6、清除木马的顺序是:

  先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件。

  注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)。

  另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件。

  一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。

  以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件,推荐 Norton Antivirus 。