论坛: 病毒专区 标题: 【检测一个系统中是否有木马】 复制本贴地址    
作者: abctm [abctm]    版主   登录
如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明:

1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它
2、启动注册表编辑器,查看以下几个地方:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
...
看看启动表项里是否有可疑的程序

HKEY_CLASSES_ROOT\exefile\shell\open\command
看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %*

HKEY_CLASSES_ROOT\inffile\shell\open\command
看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

HKEY_CLASSES_ROOT\inifile\shell\open\command
看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

HKEY_CLASSES_ROOT\txtfile\shell\open\command
看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1

记录下来,暂时不要更改
3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports
用来看端口与进程的关系,找出使用异常端口的进程
4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来
5、开始->程序->启动中是否有奇怪的启动文件

综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了 :D

6、清除木马的顺序是:
先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件

注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)
另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件

一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。

以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件,推荐 Norton Antivirus

地主 发表时间: 04-04-11 21:24

回复: iamzhaokun [iamzhaokun]      登录
先收下了,谢谢!

B1层 发表时间: 04-04-11 22:34

回复: abctm [abctm]   版主   登录
大家看贴都不回啊

B2层 发表时间: 04-04-15 21:35

回复: zerosmile [zerosmile]   论坛用户   登录
谢谢了需要

B3层 发表时间: 04-04-16 00:57

回复: newmyth21 [newmyth21]   论坛用户   登录
还有一点,做好备份最重要。

不过,可悲的是,我基本上从不备份。因为我压跟就没有什么重要的数据

而重装也只是还原

还有,查木马有时还是要用专用工具的。机子常备那些工具就好了

B4层 发表时间: 04-04-16 10:54

回复: rshu [rshu]   论坛用户   登录


B5层 发表时间: 04-04-17 11:53

回复: dfs [ljs]   论坛用户   登录
谢谢

B6层 发表时间: 04-04-18 13:08

回复: sniper167 [sniper167]   论坛用户   登录
收藏

B7层 发表时间: 04-04-18 16:38

回复: chiru [chiru]   论坛用户   登录
收到,谢谢

B8层 发表时间: 04-04-18 18:44

回复: ghame [ghame]   论坛用户   登录
补充:如果木马注册自己为系统服务的话,就在注册表的
HKEY\LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services里面删除.

B9层 发表时间: 04-04-18 19:50

回复: disun [benww]   论坛用户   登录
对于第二点的小补充:

注册表里的RUN*键,LOAD键,以及system.ini,win.ini,autoexec.bat等都是病毒启动信息的藏身之所,最好用软件察看自启动的程序.

另外,有的木马程序并不直接把自身加入到启动项里,而是捆绑于一些合法的自启动程序,从而达到自启动的目的,不过这种手法一般的杀毒软件都能察觉.还有,现在还有一些病毒是线程插入式的,寄生于系统的必须进程中,不易清除,对于这种病毒还是从自启动信息着手,在其启动之前消灭它.

B10层 发表时间: 04-04-20 19:38

回复: wenwen [qingyuan25]   论坛用户   登录
看贴都回有灌水嫌疑所以好贴才回~~~
也给你回一个

B11层 发表时间: 04-04-23 10:33

回复: abctm [abctm]   版主   登录
被发现了,楼上的

B12层 发表时间: 04-04-23 21:52

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号