如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明:
1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它
2、启动注册表编辑器,查看以下几个地方:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run...
看看启动表项里是否有可疑的程序
HKEY_CLASSES_ROOT\exefile\shell\open\command
看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %*
HKEY_CLASSES_ROOT\inffile\shell\open\command
看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\inifile\shell\open\command
看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\txtfile\shell\open\command
看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1
记录下来,暂时不要更改
3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports。
用来看端口与进程的关系,找出使用异常端口的进程
4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。
5、开始->程序->启动中是否有奇怪的启动文件
综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了:D
6、清除木马的顺序是:
先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件。
注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)。
另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件。
一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。
以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件,推荐 Norton Antivirus 。
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章 360快剪辑怎么使用 36金山词霸如何屏幕取词百度收购PPS已敲定!3
最新文章
微信3.6.0测试版更新了微信支付漏洞会造成哪
360快剪辑怎么使用 360快剪辑软件使用方法介酷骑单车是什么 酷骑单车有什么用Apple pay与支付宝有什么区别 Apple pay与贝贝特卖是正品吗 贝贝特卖网可靠吗
人气排行 xp系统停止服务怎么办?xp系统升级win7系统方电脑闹钟怎么设置 win7电脑闹钟怎么设置office2013安装教程图解:手把手教你安装与qq影音闪退怎么办 QQ影音闪退解决方法VeryCD镜像网站逐个数,电驴资料库全集同步推是什么?同步推使用方法介绍QQ2012什么时候出 最新版下载EDiary——一款好用的电子日记本
查看所有0条评论>>