Chinaunix首页 | 论坛 | 博客
  • 博客访问: 579706
  • 博文数量: 190
  • 博客积分: 10937
  • 博客等级: 上将
  • 技术积分: 2205
  • 用 户 组: 普通用户
  • 注册时间: 2009-04-07 11:28
文章分类

全部博文(190)

文章存档

2012年(1)

2011年(27)

2010年(20)

2009年(142)

我的朋友

分类: WINDOWS

2009-04-13 10:55:23

亡羊补牢如何查杀木马

  我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。

  STEP1

  查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat -an”,其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(BackOrifice2000)等。

  

  STEP2

  查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,

  定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开ShellFolders、UserShellFolders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾经到此一游。

  STEP3

  查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell=Explorer.exe”,如果是其他程序则也可能是中了木马。

  除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。

  关上马厩的门做好木马防御工作

  在系统中搜索mshta.exe文件,将其改名,如cfan.exe。再在“运行”中输入“%windows%coMMand”,将里边debug.exe和也改名。打开注册表编辑器,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerActiveXCompatibility,在里边找到“ActiveSetupcontrols”子键(如没有需手动建立),再在其下创建新子键,命名为{6E449683_C509_11CF_AAFA_00AA00B6015C},在右侧的空白处单击鼠标右键,选择“新键”—“DWORD值”,键名为“Compatibility”,设定键值为“0x00000400”即可。

阅读(499) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~