手工查杀木马和病毒 作网络安全缉毒高手
三、检测木马
对于本地电脑,可以通过以下方式查看是否含有木马:
首先是查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。通过上面说到的netstat -an命令即可,其中“ESTABLISHED”表示已经建立连接的端口“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(Back Orifice 2000)等。
然后查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,
定位到:HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer下,分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。
注册表
再定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了。
再查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell=Explorer.exe”,如果是其他程序则也可能是中了木马。
除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。
四、木马防御
mshta.exe是执行hta文件的,一些网站上有恶意hta文件都是通过这个程序来运行。在系统中搜索mshta.exe文件,将其改名。再在“运行”中输入“%windows%coMMand”,将里边debug.exe和ftp.exe也改名。
打开注册表编辑器,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ,在里边找到“Active Setup controls”子键(如没有需手动建立),再在其下创建新子键,命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C},在右侧的空白处单击鼠标右键,选择“新键”→“DWORD值”,键名为“Compatibility”,设定键值为“0x00000400”即可。
最新相关文章发表评论