萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 查看系統中是否有簡單木馬

查看系統中是否有簡單木馬

  如何檢測一個系統中是否有木馬程序呢?現僅以一些簡單的木馬慣用伎倆做說明:

  1、啟動任務管理器,看其中是否有陌生進程,記錄下來,暫時別動它

  2、啟動注冊表編輯器,查看以下幾個地方:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run...   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run...

  看看啟動表項裡是否有可疑的程序

  HKEY_CLASSES_ROOT\exefile\shell\open\command

  看看是否有 exe 文件關聯型木馬程序,正確的鍵值應該是:"%1" %*

  HKEY_CLASSES_ROOT\inffile\shell\open\command

  看看是否有 inf 文件關聯型木馬程序,5自學網,正確的鍵值應該是:%SystemRoot%\system32\NOTEPAD.EXE %1

  HKEY_CLASSES_ROOT\inifile\shell\open\command

  看看是否有 ini 文件關聯型木馬程序,正確的鍵值應該是:%SystemRoot%\system32\NOTEPAD.EXE %1

  HKEY_CLASSES_ROOT\txtfile\shell\open\command

  看看是否有 txt 文件關聯型木馬程序,正確的鍵值應該是:%SystemRoot%\system32\NOTEPAD.EXE %1

  記錄下來,暫時不要更改

  3、啟動一個 cmd 窗口,netstat -an 看看是否有異常端口,建議去 下載一個 Active Ports。

  用來看端口與進程的關系,找出使用異常端口的進程

  4、用資源管理器查看winnt\ 及 winnt\system32 的文件(記得顯示全部文件,包括受保護文件),5自學網,按時間排序,找出建立時間或修改時間異常的程序,記錄下來。

  5、開始->程序->啟動中是否有奇怪的啟動文件

  綜合以上5步的結果,應該能排出來一個可疑程序的清單,下面就是照單殺馬了:D

  6、清除木馬的順序是:

  先停止進程 -> 清理注冊表相關表項 -> 刪除硬盤上木馬文件。

  注:對於有些木馬,使用了線程注入或三線程保護方式,需要使用相關工具進行清除(或者自己寫寫試試,就當是練習 coding)。

  另外,曾經見過一只馬,采用了 autorun 文件關聯,在每個分區的根下都有一個 autorun 文件,只要訪問這個分區,就會加載木馬文件。

  一個小技巧:exe 文件被關聯後,當出現 exe 文件無法打開時,可將regedit.exe 復制為 regedit.com,並運行 regedit.com,將 exe 文件關聯改回來即可,前提是系統中沒有相關進程在監視這個表項。

  以上只是簡單說了一下怎麼用簡單的方法自己判斷系統中是否有馬,更重要的是預防,最基本的預防方式就是給MS點顏面,勤打補丁,另外就是盡量不要運行可疑程序,還有就是最好有一個強大的防病毒軟件,推薦 Norton Antivirus 。

copyright © 萬盛學電腦網 all rights reserved