比较不错的木马查找清除攻略

一、学伯乐 认马识马

木马这东西从本质上说,就是一种远程控制软件。不过远程控制软件也分正规部队和山间土匪。正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。

木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。而且你还可能成为养马者的帮凶,养马者还可能会使用你的机器去攻击别人,让你来背黑锅。

二、寻根溯源 找到引马入门的罪魁祸首

作为一个不受欢迎的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:

最常见的就是利用聊天软件“杀熟”,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你打开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一“送”一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你打开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器安全性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。在网吧上网时受到木马攻击的几率也很大。而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。

三、亡羊补牢 如何查杀木马

我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。

STEP1

查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat –an”(见图1),其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(Back Orifice 2000)等。
STEP2

查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,

定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾经到此一游。

STEP3

查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell=Explorer.exe”,如果是其他程序则也可能是中了木马。

除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。

关上马厩的门 做好木马防御工作

在系统中搜索mshta.exe文件,将其改名,如cfan.exe。再在“运行”中输入“%windows%coMMand”,将里边debug.exe和ftp.exe也改名。打开注册表编辑器,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ,在里边找到“Active Setup controls”子键(如没有需手动建立),再在其下创建新子键,命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C},在右侧的空白处单击鼠标右键,选择“新键”—“DWORD值”,键名为“Compatibility”,设定键值为“0x00000400”即可。

(0)

相关推荐

  • 比较不错的木马查找清除攻略

    一.学伯乐 认马识马 木马这东西从本质上说,就是一种远程控制软件.不过远程控制软件也分正规部队和山间土匪.正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态:而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表.捆绑在正常程序上的方式运行,使你难觅其踪迹. 木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一

  • 防御网络游戏外挂木马全攻略

    目前,很多人在各绝对女神论坛中发布各种所谓的外挂程序,或者不明网站的链接,我们奉劝各位,千万不要点击.因为那很有可能会捆绑一个"键盘纪录器". 为了您账号的安全,请您留心一下这些隐藏在诱惑中的"黑手".建议您下载专业杀木马软件. 防范方法: 1.请将IE的"INTERNET选项"的"高级"设置为"恢复默认设置". 2.不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序. 3.不要随便打开来历不明

  • 剖析各类恶意网页对策分析—注册表使用全攻略之七

    剖析各类恶意网页对策分析-注册表使用全攻略之七 互联网利用IE等的漏洞完全可以让你通过浏览网页让你的电脑面目全非,或者格盘,甚至中下木马,传播病毒,而且这种形式的传播愈演愈烈,闲话少说了,现在来分析一下各类恶意网页. 分析前先介绍一下注册表的修改方法,因为注册表在网页病毒中是中枢,就是通过它让你的电脑面目全非. 第一种方法:直接修改法 就是在运行里敲入regedit,然后进行编辑,这是大家通常修改注册表的方法. 第二种方法:reg包导入法 现在以解锁注册表为例(其实解锁用兔子等工具更好更方便,这

  • Windows 2000、XP、2003登录密码恢复攻略

    一.删除SAM文件,清除Administrator账号密码 二.从SAM文件中查找密码        1.L0phtCrack (LC)        2.LCP        3.SamInside pro 三.用Net User命令恢复系统登陆用户密码 四.用密码重设盘设新密码 五.修改屏保文件法 六.使用软件修改密码 Windows XP 2000 NT Password Recovery Key CleanPwd Offline NT Password & Registry Editor

  • Windows 服务器安全设置攻略

    前言 其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事. 本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点. 基本的服务器安全设置 安装补丁安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新. 安装杀毒软件虽然杀毒软件有时候不能解决问题,但是

  • 注册表应用100例—注册表使用全攻略之十一

    注册表应用100例-注册表使用全攻略之十一 1 修改窗口滚动条的大小(Windows 9x/2000/XP)(1)打开注册表编辑器.(2)打开HKEY_CURRENT_USER\Control Panel\Desktop\Windows Metrics子键.(3)右边窗口中的ScrollHeight和ScrollWidth是窗口滚动条的高和宽,默认值为-270(均以Windows 9x为例,Windows 2000/XP的默认值与其相差不大),分别双击ScrollHeight和ScrollWid

  • Win98注册表应用50例—注册表使用全攻略之十

    Win98注册表应用300例-注册表使用全攻略之十 1.自动刷新 每次在窗口添加一个文件夹或删除一个对象后,须要按键对窗口 进行重新刷新,很麻烦.通过修改注册表可以达到自动刷新的目的. 点击HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTRO LSET\CONTROL\UPDATE,修改 "UPDATEMODE"值,由"1"改为"0". 2.修改系统版权信息 点击HKEY_LOCAL_MACHINE\SOFTWARE\M

  • phpMyAdmin 安装教程全攻略

    管理MYSQL数据库的最好工具是PHPmyAdmin,现在最新版本是phpMyAdmin 2.9.0.2,这是一个国际上开源的软件,一直在更新版本,你可以从 http://www.phpmyadmin.net 官方网站上下载到,安装后可以远程更新数据库(其实是在服务器上安装).  安装办法请参考:  phpMyAdmin  安装攻略  1.先下载 phpMyAdmin 安装包 ,http://www.phpmyadmin.net  2.解压后一个单独目录中(你可以自定义目录名称)  3.找到 /

  • 文件关联及应用—注册表使用全攻略之二

    注册表的文件关联及应用-注册表使用全攻略之二  喜欢使用Windows右键快捷菜单的朋友可能知道,当你选择了一个文件(或者是文件夹或是系统图标)再单击鼠标右键,系统就会弹出一个菜单,菜单上面的各种"功能"(或称"操作")任你选择,但是你是否注意到,当你安装一些应用软件之后,你的右键菜单是不是膨胀,以winzip为例,安装winzip之后,文件或文件夹的右键菜单当中就增加了功能选择项"Add to Zip"和"Add to xxx.zip

  • 巧改注册表来增强网络功能—注册表使用全攻略之五

    巧改注册表来增强网络功能-注册表使用全攻略之五 1.指定首选的网络服务器 在注册表中依次展开[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NWNP32\NetworkProvider],并在其主键下创建或更改串值AuthenticatingAgent,附值为指定的服务器 2.禁止自动登陆网络 在注册表中依次展开[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NWNP32\Ne

随机推荐