查找與清除插入式特絡(luò)伊木馬
|
熱 
|
|
| 查找與清除插入式特絡(luò)伊木馬 |
| [
作者:金豆子
轉(zhuǎn)貼自:IT.com.cn
點擊數(shù):9733
更新時間:2006/2/24
文章錄入:Admin
] |
|
目前網(wǎng)絡(luò)上最猖獗的病毒估計非木馬程序莫數(shù)了,2005年木馬程序的攻擊性也有了很大的加強,在進(jìn)程隱藏方面,做了較大的改動,不再采用獨立的EXE可執(zhí)行文件形式,而是改為內(nèi)核嵌入方式、遠(yuǎn)程線程插入技術(shù)、掛接PSAPI等,這些木馬也是目前最難對付的。本期就教你查找和清除線程插入式木馬。
一、通過自動運行機制查木馬
一說到查找木馬,許多人馬上就會想到通過木馬的啟動項來尋找“蛛絲馬跡”,具體的地方一般有以下幾處:
1)注冊表啟動項
在“開始/運行”中輸入“regedit.exe”打開注冊表編輯器,依次展開[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以Run開頭的項,其下是否有新增的和可疑的鍵值,也可以通過鍵值所指向的文件路徑來判斷,是新安裝的軟件還是木馬程序。
另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]鍵值也可能用來加載木馬,比如把鍵值修改為“X:\windows\system\ABC.exe %1%”。
2)系統(tǒng)服務(wù)
有些木馬是通過添加服務(wù)項來實現(xiàn)自啟動的,大家可以打開注冊表編輯器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主鍵。
然后禁用或刪除木馬添加的服務(wù)項:在“運行”中輸入“Services.msc”打開服務(wù)設(shè)置窗口,里面顯示了系統(tǒng)中所有的服務(wù)項及其狀態(tài)、啟動類型和登錄性質(zhì)等信息。找到木馬所啟動的服務(wù),雙擊打開它,把啟動類型改為“已禁用”,確定后退出。也可以通過注冊表進(jìn)行修改,依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服務(wù)顯示名稱”鍵,在右邊窗格中找到二進(jìn)制值“Start”,修改它的數(shù)值數(shù),“2”表示自動,“3”表示手動,而“4”表示已禁用。當(dāng)然最好直接刪除整個主鍵,平時可以通過注冊表導(dǎo)出功能,備份這些鍵值以便隨時對照。
3)開始菜單啟動組
現(xiàn)在的木馬大多不再通過啟動菜單進(jìn)行隨機啟動,但是也不可掉以輕心。如果發(fā)現(xiàn)在“開始/程序/啟動”中有新增的項,可以右擊它選擇“查找目標(biāo)”到文件的目錄下查看一下,如果文件路徑為系統(tǒng)目錄就要多加小心了。也可以在注冊表中直接查看,它的位置為[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],鍵名為Startup。
4)系統(tǒng)INI文件Win.ini和System.ini
系統(tǒng)INI文件Win.ini和System.ini里也是木馬喜歡隱蔽的場所。選擇“開始/運行”,輸入“msconfig”調(diào)出系統(tǒng)配置實用程序,檢查Win.ini的[Windows]小節(jié)下的load和run字段后面有沒有什么可疑程序,一般情況下“=”后面是空白的;還有在System.ini的[boot]小節(jié)中的Shell=Explorer.exe后面也要進(jìn)行檢查。
5)批處理文件
如果你使用的是Win9X系統(tǒng),C盤根目錄下“AUTOEXEC.BAT”和WINDOWS目錄下的“WinStart.bat”兩個批處理文件也要看一下,里面的命令一般由安裝的軟件自動生成,在系統(tǒng)默認(rèn)會將它們自動加載。在批處理文件語句前加上“echo off”,啟動時就只顯示命令的執(zhí)行結(jié)果,而不顯示命令的本身;如果再在前面加一個“@”字符就不會出現(xiàn)任何提示,以前的很多木馬都通過此方法運行。
|
|
|
 發(fā)表評論  告訴好友  打印此文  關(guān)閉窗口 |
省級文明工地名單
設(shè)為首頁
聯(lián)系方式
加入收藏
關(guān)于本站
