日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

查看系統(tǒng)中是否有簡單木馬

云知道

如何檢測(cè)一個(gè)系統(tǒng)中是否有木馬程序呢?現(xiàn)僅以一些簡單的木馬慣用伎倆做說明:
1、啟動(dòng)任務(wù)管理器,看其中是否有陌生進(jìn)程,記錄下來,暫時(shí)別動(dòng)它
2、啟動(dòng)注冊(cè)表編輯器,查看以下幾個(gè)地方: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun...HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun...看看啟動(dòng)表項(xiàng)里是否有可疑的程序 HKEY_CLASSES_ROOTexefileshellopencommand看看是否有 exe 文件關(guān)聯(lián)型木馬程序,正確的鍵值應(yīng)該是:"%1" %* HKEY_CLASSES_ROOTinffileshellopencommand看看是否有 inf 文件關(guān)聯(lián)型木馬程序,正確的鍵值應(yīng)該是:%SystemRoot%system32NOTEPAD.EXE %1 HKEY_CLASSES_ROOTinifileshellopencommand看看是否有 ini 文件關(guān)聯(lián)型木馬程序,正確的鍵值應(yīng)該是:%SystemRoot%system32NOTEPAD.EXE %1 HKEY_CLASSES_ROOTtxtfileshellopencommand看看是否有 txt 文件關(guān)聯(lián)型木馬程序,正確的鍵值應(yīng)該是:%SystemRoot%system32NOTEPAD.EXE %1
記錄下來,暫時(shí)不要更改
3、啟動(dòng)一個(gè) cmd 窗口,netstat -an 看看是否有異常端口,建議去www.sometips.com 下載一個(gè) Active Ports 。
用來看端口與進(jìn)程的關(guān)系,找出使用異常端口的進(jìn)程
4、用資源管理器查看winnt 及 winntsystem32 的文件(記得顯示全部文件,包括受保護(hù)文件),按時(shí)間排序,找出建立時(shí)間或修改時(shí)間異常的程序,記錄下來 。
5、開始->程序->啟動(dòng)中是否有奇怪的啟動(dòng)文件
綜合以上5步的結(jié)果,應(yīng)該能排出來一個(gè)可疑程序的清單,下面就是照單殺馬了:D
6、清除木馬的順序是:
先停止進(jìn)程 -> 清理注冊(cè)表相關(guān)表項(xiàng) -> 刪除硬盤上木馬文件 。
注:對(duì)于有些木馬,使用了線程注入或三線程保護(hù)方式,需要使用相關(guān)工具進(jìn)行清除(或者自己寫寫試試,就當(dāng)是練習(xí) coding) 。
另外,曾經(jīng)見過一只馬,采用了 autorun 文件關(guān)聯(lián),在每個(gè)分區(qū)的根下都有一個(gè) autorun 文件,只要訪問這個(gè)分區(qū),就會(huì)加載木馬文件 。
一個(gè)小技巧:exe 文件被關(guān)聯(lián)后,當(dāng)出現(xiàn) exe 文件無法打開時(shí),可將regedit.exe 復(fù)制為 regedit.com,并運(yùn)行 regedit.com,將 exe 文件關(guān)聯(lián)改回來即可,前提是系統(tǒng)中沒有相關(guān)進(jìn)程在監(jiān)視這個(gè)表項(xiàng) 。
以上只是簡單說了一下怎么用簡單的方法自己判斷系統(tǒng)中是否有馬,更重要的是預(yù)防,最基本的預(yù)防方式就是給MS點(diǎn)顏面,勤打補(bǔ)丁,另外就是盡量不要運(yùn)行可疑程序,還有就是最好有一個(gè)強(qiáng)大的防病毒軟件,推薦 Norton Antivirus。
【查看系統(tǒng)中是否有簡單木馬】

    推薦閱讀