查看系統中是否有簡單木馬

如何檢測一個系統中是否有木馬程序呢？現僅以一些簡單的木馬慣用伎倆做說明：
1、啟動任務管理器，看其中是否有陌生進程，記錄下來，暫時別動它
2、啟動注冊表編輯器，查看以下幾個地方：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun...

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun...

看看啟動表項裡是否有可疑的程序

HKEY_CLASSES_ROOTexefileshellopencommand

看看是否有 exe 文件關聯型木馬程序，正確的鍵值應該是："%1" %*

HKEY_CLASSES_ROOTinffileshellopencommand

看看是否有 inf 文件關聯型木馬程序，正確的鍵值應該是：%SystemRoot%system32NOTEPAD.EXE %1

HKEY_CLASSES_ROOTinifileshellopencommand

看看是否有 ini 文件關聯型木馬程序，正確的鍵值應該是：%SystemRoot%system32NOTEPAD.EXE %1

HKEY_CLASSES_ROOTtxtfileshellopencommand

看看是否有 txt 文件關聯型木馬程序，正確的鍵值應該是：%SystemRoot%system32NOTEPAD.EXE %1
記錄下來，暫時不要更改
3、啟動一個 cmd 窗口，netstat -an 看看是否有異常端口，建議去www.sometips.com 下載一個 Active Ports。
用來看端口與進程的關系，找出使用異常端口的進程
4、用資源管理器查看winnt 及 winntsystem32 的文件（記得顯示全部文件，包括受保護文件），按時間排序，找出建立時間或修改時間異常的程序，記錄下來。
5、開始->程序->啟動中是否有奇怪的啟動文件
綜合以上5步的結果，應該能排出來一個可疑程序的清單，下面就是照單殺馬了:D
6、清除木馬的順序是：
先停止進程 -> 清理注冊表相關表項 -> 刪除硬盤上木馬文件。
注：對於有些木馬，使用了線程注入或三線程保護方式，需要使用相關工具進行清除（或者自己寫寫試試，就當是練習 coding）。
另外，曾經見過一只馬，采用了 autorun 文件關聯，在每個分區的根下都有一個 autorun 文件，只要訪問這個分區，就會加載木馬文件。
一個小技巧：exe 文件被關聯後，當出現 exe 文件無法打開時，可將regedit.exe 復制為 regedit.com，並運行 regedit.com,將 exe 文件關聯改回來即可，前提是系統中沒有相關進程在監視這個表項。
以上只是簡單說了一下怎麼用簡單的方法自己判斷系統中是否有馬，更重要的是預防，最基本的預防方式就是給MS點顏面，勤打補丁，另外就是盡量不要運行可疑程序，還有就是最好有一個強大的防病毒軟件，推薦 Norton Antivirus 。