当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 查看系统中是否有简单木马

安全基础
防火墙防止DDOS分布式拒绝服务攻击的几种方式
防止SYN泛洪攻击 开启路由器的TCP拦截
浅谈除不尽理还乱的Spyware间谍软件
自己动手清除电脑中的木马程序
动态嵌入式DLL木马发现与清除
通配符的魔力—轻装入侵个人主页空间
黑客又出手 全面解析新时代的网络攻击技术
我的黑色工具箱—几款黑客工具的使用方法
应对DoS/DDoS攻击的十条军规
浅析2004年出现的4种新后门技术
上网需注意:黑客攻击方式的四种最新趋势
让木马不在兴风作浪:解析木马程序的藏身之处
黑客入侵攻击方式的 四种最新趋势
简述一次操作系统被入侵之后的修复过程
黑客利用RM在IE上强行打开本地文件
黑客扫描特征及易受攻击的端口
预防DDoS攻击的十项安全策略
关于木马隐藏一个的新方法
用Norton Internet Security拦截黑客攻击
Win 2000密码破解不完全指南

安全基础 中的 查看系统中是否有简单木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 50 ::
收藏到网摘: n/a

 

  如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明:

  1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它

  2、启动注册表编辑器,查看以下几个地方:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run...
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run...

  看看启动表项里是否有可疑的程序

  HKEY_CLASSES_ROOT\exefile\shell\open\command

  看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %*

  HKEY_CLASSES_ROOT\inffile\shell\open\command

  看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

  HKEY_CLASSES_ROOT\inifile\shell\open\command

  看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

  HKEY_CLASSES_ROOT\txtfile\shell\open\command

  看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

  记录下来,暂时不要更改

  3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports。

  用来看端口与进程的关系,找出使用异常端口的进程

  4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。

  5、开始->程序->启动中是否有奇怪的启动文件

  综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了:D

  6、清除木马的顺序是:

  先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件。

  注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)。

  另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件。

  一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。

  以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件,推荐 Norton Antivirus 。