系统安全不用愁 查杀木马三步走

系统安全不用愁 查杀木马三步走 系统安全不用愁 查杀木马三步走 安全咖啡屋 一n_舅村Illllllf日—蜘t州.1l_I舁L叫I^:旧匕制1:七I1::1 / 蒸统蜜金愁杀术骂兰惫 木马程序是一种程序,它能提ware\Microsoft\Windows\CurrentVer一如果你的网络连接处于禁用状 供,些有用的,或是仅仅令人感兴sion\RunServicesOnce态后或取消拨号连接,反复启动,打 趣的功能.同时它还有用户所不知木马亦可在Win,ini和System,开窗口等不正常现象消失,那么可 例如在你不了解的ini的"run=","load=","shell="后以判断你的电脑道的其他功能, 中了木马.通过禁 情况下拷贝文件或窃取你的密码.面加载,如果在这些选项后面加载用网络连接或拔掉网线,就可以完 随着互联网的迅速发展,木马的攻程序是你不认识的,就有可能是木全避免远端计算机通过网络对你的 击,危害性越来越大.木马实质上是马.木马最惯用的伎俩就是把"Ex一控制.当然.亦可以通过防火墙关闭 一 个程序,必须运行后才能工作,所plorer"变成自己的程序名,只需稍或过滤UDP ,TCP,ICMP端口. 以会在进程,注册表中留下蛛丝稍改"Explorer"的字母"1"改为数字2 .杀掉可疑进程 马迹,因此中了木马完全没有必要"i",或者把其中的"."改为数字可以通过IeS word这种专业软 恐慌,我q-]~7以通过以下简单三步"O",这些改变如果不仔细观察是件查看可疑进 程 ,杀掉可疑进程后, 抓住木马的要害,把万恶的木马一很难被发现.如果计算机正常 , 说明这个可疑进 网打尽.在windwosNT/20()O中,木马程通过网络被远端控制 , 从而使计 第一步:全面大检查会将自己作为服务添加到系统中,算机不正常 . 1检查系统进程甚至随机替换系统没有启动的服务第三步 :快刀斩乱麻 大部分木马运行后会显示在进程序来实现自动加载,检测时要对 1.手T删除 程管理器中,所以对系统进程列表操作系统的常规服务有所了解.对于一 些可疑文件,不能立即 进行分析和过滤,可以发现可疑稗3'检查开放端口删除 , 有可能由于误删系统文件而 序.特别是利用与正常进程的CPU远程控制型木马以及输出sh 使计算机不能正常工作.首先备份 资源占用率和句柄数的比较,发现型的木马,大都会在系统中监听某 ,..可疑文件和注册表,接着用一些文 异常现象.个端口,接收从控制端发来的命令, 本编辑嚣(例如U]traEdit编辑器查 2,检查注册表,ini文件和服务并执行.通过检查系统上开启的一 看文件首部信息,通过可疑文件里 木马为了能够在开机后自动运些"奇怪"的端口,从而发现木马的 面的明文字符对木马有一个大致了 行,往往在注册表如下选项中添加踪迹.在命令行中输入Netstatna, 注册表项:可以清楚地看到系统打开的端口和解.当然高手们还可以通过一些专 HKEY_上ocMAcHINE\s.一连接.用反编译软件对可疑文件进行静态 ware\Micr0s.ft\wid.ws\cuH.nc,,.4,监视网络通讯分析,查看文件的导人函数列表和 si.n\Run对于,些利用IcMP数据通讯数据段部分,初步了解程序的主要 HKEY-LocAL-MAcHINE\s.R一的木马,被控端没有打开任何监听功能.最后,删除木马文件及注册表 ware\Micms.丘,wind.ws\currentVer_端口,无需反向连接.不会建立连中的键值. sion\Runonce接,采用第三种方法检查开放端口2,软件杀霉 HKEY_上ocAL-MAcHINE\s.在一的方法就行不通.可以关闭所有网由于木马编写技术的不断进 ware\Micros.wind0ws\curr.ntv.r-络行为的进程.然后打开si软步,很多木马有了自我保护机制.普 si0n\RunonceEx件进行监听,如此时仍有大量的数通用户最好通过专业的杀毒软件进 则基本可以确定后台正运行着行杀毒,对于杀HKEYLOCALMACHINE\s.R一据, 毒软件,,定要及时 ware\Microsoff\Windows\currentVe木马.更新,并通过病毒公告及时了解新 sion\RuServices木-q第二步:封锁好端口木马的预防和查杀绝技,或者通过 HKEYLOCALMACHINE\S.ft一1,堵住控制通路下载专用的杀毒软件进行杀毒. 《计算机与网络》2010年第10期