论坛: 菜鸟乐园 标题: 向木马说再见----木马的查找与清除(个人的一点心得) 复制本贴地址    
作者: derl [derl]    论坛用户   登录
  在现在这个网络盛行的时代,越来越多的网站以及个人计算机都受到了黑客们的疯狂攻击,网络安全越来越受到大家的关注。
    木马,作为黑客的重要武器之一,已经被多次运用在各种信息战中。对于我们来说,我们可以不懂任何黑客技术,也不必懂得如何使用木马程序,但是应该具有基本的Windows操作系统的操作知识和网络知识,至少你应该知道去哪里寻找木马和清除木马。
    如果我们不小心中了木马,而自己又没有任何工具对其进行查杀怎么办?难道我们就不上网了吗?不要紧,只要我们有一套普普通通的防火墙软件,完全可以带着木马一起畅游网络。
    木马非病毒,该杀也得杀!下面是我所总结的几种木马查找及清除方法:
    1)在使用计算机的过程中如果您发现以下现象,
   a. 没有运行任何程序,计算机反应速度明显变慢
   b. 硬盘在不停地读写
   c.键盘、鼠标不受控制
   d.一些窗口被无缘无故地关闭
   e.莫名其妙地打开新窗口
   f.网络传输指示灯一直在闪烁
   g.在关闭某个程序时防火墙探测到有邮件发出
   h.密码突然被改变,或者他人得知您的密码或私人信息
   i.文件无故丢失,数据被无故删改 
    基本可以确定是中了木马程序(且此时有人正在远程控制你的机器)。
    2)大部分木马程序在后台运行后都会占用大量的CPU和内存资源,如果怀疑自己的机器中了木马,可以用CTRL+ALT+DEL键调出WINDOWS任务管理器,如果CPU的使用率很高或某一个程序占用的内存资源很大的话(在自己没运行任何程序的情况下),可能是中了木马。
    3)所有木马在后台与远程主机连接时都会打开一个端口,我们可以在DOS命令(如何进入DOS大家都会吧,这里就不说了)里输入"netstat -a"回车,进行查看当前机器开放的端口信息。下面是一些流行木马默认的连接端口:冰河 7626 ,灰鸽子 8225 ,Sub7 27374 ,黑洞 2002 ,无赖小子  8011 ,Dameware 6129 ,Radmin  4899等等。
    4)木马进入系统启动后都会将自己设置为随系统一起启动,我们可以在“运行”中输入“msconfig”调出系统配置实用程序,选择“启动”项,看有没有可疑进程,如果自己真的不知道该关掉哪一个,完全可以选择“全部禁用”项,这里没有系统必用的程序。
    5)对一些比较了解电脑进程的同学还可以自己调出“Windows任务管理器”查找可疑进程,将该进程结束,在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。再到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与木马程序有关的其他程序)。
    6)利用第三 方软件进行查杀,如用的最多的iparmor木马克星、木马辅助查找器等,这些软件大多是中文界面,很容易使用。
   
     
    防范木马首先应在自己的电脑中安装一款合适的防杀病毒软件并及时升级,同时在日常工作中不要打开未知文件以及陌生人传来的文件,不要随便打开陌生网页,升级最新版本的操作系统。
    由于时间仓促和本人水平有限,如有什么错误的地方望各位指出来,共同提高,共同进步

地主 发表时间: 06-03-19 20:06

回复: abctm [abctm]   版主   登录
IceSword是一个不错的辅助工具。

B1层 发表时间: 06-03-20 10:17

回复: derl [derl]   论坛用户   登录
谢谢,我又找到了一个不错的东西!

B2层 发表时间: 06-03-21 20:37

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号