WEB开发网
开发学院网络安全安全技术 木马查找清除全攻略 阅读

木马查找清除全攻略

 2008-09-10 13:21:59 来源:WEB开发网   
核心提示: 三、亡羊补牢如何查杀木马我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试,STEP1查看开放端口,木马查找清除全攻略(2),作为远程控制软件,木马同样具备远程控制软件的特征,在右侧的空白处单击鼠标右键,选择“新键”—“DWORD值

三、亡羊补牢如何查杀木马

我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。

STEP1

查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat -an”,其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如 7626(冰河木马),54320(BackOrifice2000)等。

STEP2

查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,

定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开ShellFolders、UserShellFolders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾经到此一游。

STEP3

查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell= Explorer.exe”,如果是其他程序则也可能是中了木马。

除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。

关上马厩的门做好木马防御工作

在系统中搜索mshta.exe文件,将其改名,如cfan.exe。再在“运行”中输入“%windows%coMMand”,将里边 debug.exe和ftp.exe也改名。打开注册表编辑器,定位到: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerActiveXCompatibility,在里边找到“ActiveSetupcontrols”子键(如没有需手动建立),再在其下创建新子键,命名为 {6E449683_C509_11CF_AAFA_00AA00B6015C},在右侧的空白处单击鼠标右键,选择“新键”—“DWORD值”,键名为 “Compatibility”,设定键值为“0x00000400”即可

上一页  1 2 

Tags:木马 查找 清除

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接