ram
2007-10-06, 08:01 PM
如何檢測一個系統中是否有木馬程序呢?筆者現以一些簡單的木馬伎倆做些說明。
1.啟動任務管理器,看其中是否有陌生進程,將他們記錄下來,暫時別動他們
2.啟動註冊表編輯器,查看以下幾個地方:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
看看啟動項裡是否又可疑的程序
HKEY_CLASS_ROOT\EXEFILE\SHELL\OPEN\COMMAND
看看是否有exe文件關聯型木馬程序,正確的鍵值應該是:"%1 %*"
HKEY_CLASSS_ROOT\INFFILE\SHELL\OPEN\COMMAND
看看是否有inf文件關聯型木馬程序,正確的鍵值應該是:
%systemroot%\system32\notepad.exe %1
HKEY_CLASSS_ROOT\INIFILE\SHELL\OPEN\COMMAND
看看是否有txt文件關聯型木馬程序,正確的鍵值應該是:
%systemroot%\system32\notepad.exe %1
將它們記錄下來暫時不要改。
3.啟動一個cmd窗口,輸入netstat -an 看看是否有異常端口,建議去http://www.sometips.com/下載一個active ports,用來看端口與進程的關係,找出使用異常端口的進程
4.用資源管理器查看winnt\ 及winnt\system32的文件(記住顯示全部文件,包括受保護文件),按時間排序,找出建立時間和修改時間異常的程序,記錄下來。
5.查看『開始--程序--啟動』中是否有奇怪的啟動文件。綜合以上5步的結果,應該能排列的出來一個可疑程序的清單,下面就是照單殺木馬了。
6.清除木馬程序的順序是:
先停止進程--清理註冊表相關表項--刪除硬盤上木馬文件。
注意:如果遭遇病毒,將exe文件進行關聯後,此時exe文件無法正常打開,此時無法進入註冊表,我們可將regedit.exe修改為regedit.com,並運行regedit.com,即可進入註冊表。
1.啟動任務管理器,看其中是否有陌生進程,將他們記錄下來,暫時別動他們
2.啟動註冊表編輯器,查看以下幾個地方:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
看看啟動項裡是否又可疑的程序
HKEY_CLASS_ROOT\EXEFILE\SHELL\OPEN\COMMAND
看看是否有exe文件關聯型木馬程序,正確的鍵值應該是:"%1 %*"
HKEY_CLASSS_ROOT\INFFILE\SHELL\OPEN\COMMAND
看看是否有inf文件關聯型木馬程序,正確的鍵值應該是:
%systemroot%\system32\notepad.exe %1
HKEY_CLASSS_ROOT\INIFILE\SHELL\OPEN\COMMAND
看看是否有txt文件關聯型木馬程序,正確的鍵值應該是:
%systemroot%\system32\notepad.exe %1
將它們記錄下來暫時不要改。
3.啟動一個cmd窗口,輸入netstat -an 看看是否有異常端口,建議去http://www.sometips.com/下載一個active ports,用來看端口與進程的關係,找出使用異常端口的進程
4.用資源管理器查看winnt\ 及winnt\system32的文件(記住顯示全部文件,包括受保護文件),按時間排序,找出建立時間和修改時間異常的程序,記錄下來。
5.查看『開始--程序--啟動』中是否有奇怪的啟動文件。綜合以上5步的結果,應該能排列的出來一個可疑程序的清單,下面就是照單殺木馬了。
6.清除木馬程序的順序是:
先停止進程--清理註冊表相關表項--刪除硬盤上木馬文件。
注意:如果遭遇病毒,將exe文件進行關聯後,此時exe文件無法正常打開,此時無法進入註冊表,我們可將regedit.exe修改為regedit.com,並運行regedit.com,即可進入註冊表。