WEB开发网
开发学院网络安全安全技术 拦门四斧 砍清系统中各类型木马 阅读

拦门四斧 砍清系统中各类型木马

 2008-11-13 13:33:02 来源:WEB开发网   
核心提示:黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,拦门四斧 砍清系统中各类型木马,他们会想尽种种方法对其进行伪装,而作为被害者,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,我们又该如何识破伪装,将系统中的木马统统清除掉呢! 一、文件捆绑检测将木马捆绑在正常程序中

黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种种方法对其进行伪装。而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!

一、文件捆绑检测

将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星

文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!

2.揪出捆绑在程序中的木马

光检测出了文件中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门

相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。

1.结束木马进程

由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。

1 2 3  下一页

Tags:系统 各类 木马

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接