RFC1244(Request for Comments:1244)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展,木马的攻击、危害性越来越大。木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下蛛丝马迹,我们可以通过“查、堵、杀”将它“缉拿归案”。
查
1.检查系统进程
大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象。
2.检查注册表、ini文件和服务
木马为了能够在开机后自动运行,往往在注册表如下选项中添加注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果在这些选项后面加载程序是你不认识的,就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名,只需稍稍改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细观察是很难被发现。
在Windwos NT/2000中,木马会将自己作为服务添加到系统中,甚至随机替换系统没有启动的服务程序来实现自动加载,检测时要对 *** 作系统的常规服务有所了解。
3.检查开放端口
远程控制型木马以及输出Shell型的木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行。通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。在命令行中输入Netstat na,可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件,运行该软件后,可以知道打开端口的进程名,进程号和程序的路径,这样为查找“木马”提供了方便之门。
4.监视网络通讯
对于一些利用ICMP数据通讯的木马,被控端没有打开任何监听端口,无需反向连接,不会建立连接,采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程,然后打开Sniffer软件进行监听,如此时仍有大量的数据,则基本可以确定后台正运行着木马。
堵
1.堵住控制通路
如果你的网络连接处于禁用状态后或取消拨号连接,反复启动、打开窗口等不正常现象消失,那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线,就可以完全避免远端计算机通过网络对你的控制。当然,亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。
2.杀掉可疑进程
如通过Pslist查看可疑进程,用Pskill杀掉可疑进程后,如果计算机正常,说明这个可疑进程通过网络被远端控制,从而使计算机不正常。
杀
1.手工删除
对于一些可疑文件,不能立即删除,有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析,查看文件的导入函数列表和数据段部分,初步了解程序的主要功能。最后,删除木马文件及注册表中的键值。
2.软件杀毒
由于木马编写技术的不断进步,很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒,对于杀毒软件,一定要及时更新,并通过病毒公告及时了解新木马的预防和查杀绝技,或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。
http://www.onlinedown.net/soft/11555.htm LDM木马检测程序VI是一款专业的反木马软件.它拥有三套查杀引擎,不仅可以查杀国内外的木马,还可以查杀未知木马、间谍程序、广告软件.并带有网络实时监控功能的"防御监视模式"和"系统监控"等防御系统,不但能抵御各种不良信息与木马的入侵,而且还能反击黑客!内部集成的十套安全软件,从 IE修复到桌面安全,全面保护您的电脑系统不受侵害.强大的在线升级,总能保持查杀木马的先进性!强大的功能与简单的 *** 作方法,必定能使用户全面了解计算机的系统环境,轻松解决所有安全问题! 软件特色 Ξ: 精确查杀已知木马。 Ξ: 针对性专杀多变种的木马。 Ξ: 可以查杀未知木马。 Ξ: 多种木马查杀方法。 Ξ: 查杀杀毒软件不能查杀的木马和间谍程序等。 Ξ: 当用户受到攻击的时候,可以给予攻击者反击。 Ξ: 集成十套安全软件,全面保护您计算机系统的安全。 Ξ: 在线升级,全智能升级,节省时间。许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。----------------------------------------------------------
ewido anti-malware 最新版本!!
ewido anti-malware 4.0 木蚂蚁社区绿色汉化版+安装版(可升级)
ewido anti-malware 4.0 beta 它可以有效地检测出多形态和进程注入式木马,强大的病毒库,及时的反病毒响应,是一款优秀的木马查杀 反间谍安全软件``````以前用过ewido3.5的朋友应该知道它的强大实力!ewido可以免费升级更新,注册后只是可以使用在线防御(一般没人用它)`````
ewido anti-malware 4.0新增
忽略列表&优化威胁处理
调度程序为预定的扫瞄
新工具: 文件粉碎机, 反间谍
延长的分析工具
支持对于快速的用户开关
优化资源使用
并且更多...
http://avfbbs.80port.net/read-htm-tid-4461.html
-----------------------------------------------------------------
Ewido v3.5 绿色简体注册版(免安装可升级) 下载地址: http://www.softck.com/softpage/5995.html $ 注册码:6617-EBE8-D1FD-FEA2
-----------------------------------------------------------------
Ewido Security Suite Plus(防木马软件) v3.5 最新可升级完美注册汉化版 http://www.softck.com/softpage/5873.html
-----------------------------------------------------------------
Ewido Security Suite Plus V4.0绿色版(免安装可升级)
该版本为最新制作的绿色版本,解压缩出来就可以直接使用!
注意:和3.5版一样,升级时要点2次(验证时显示无效注册码,然后再点击升级),升级完后重新算号注册--BYRAY811
许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文 *** 作系统的版本,Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了,和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件,并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶。
首先解压覆盖ewido安装目录
然后执行Anti-Malware文件注册
4.0注册码
7557-3204-8123-2239
3841-1238-6819-5837
1804-0830-7194-
注意:和3.5版一样,升级时要点2次(验证时显示无效注册码,然后再点击升级),升级完后重新算号注册--BYRAY811
该版本为最新制作的绿色版本,解压缩出来就可以直接使用!
http://www.jz5u.com/Codelist/Catalog178/3622.html
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)