电脑技术学习

手工查杀木马病毒 作网络安全高手

dn001

三、检测木马

对于本地电脑,可以通过以下方式查看是否含有木马:

首先是查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。通过上面说到的netstat -an命令即可,其中“ESTABLISHED表示已经建立连接的端口“LISTENING表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(Back Orifice 2000)等。

然后查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行中输入“regedit,回车后打开注册表编辑器,

定位到:HKEY_CURRENT_USER/Software/microsoft/Windows/CurrentVersion/Explorer下,分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。

手工查杀木马病毒 作网络安全高手
注册表

再定位到HKEY_LOCAL_MacHINE/Software/Microsoft/Windows/CurrentVersion/Explorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了。

再查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行中输入“%systemroot%,回车后会打开“Windows文件夹,找到里边的win.ini文件,在里边搜索“windows字段,如果找到形如“load=file.exe,run=file.exe这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot字段,找到里边的“Shell=ABC.exe,默认应为“Shell=Explorer.exe,如果是其他程序则也可能是中了木马。

除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。

四、木马防御

mshta.exe是执行hta文件的,一些网站上有恶意hta文件都是通过这个程序来运行。在系统中搜索mshta.exe文件,将其改名。再在“运行中输入“%windows%coMMand,将里边debug.exe和ftp.exe也改名。

打开注册表编辑器,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ,在里边找到“Active Setup controls子键(如没有需手动建立),再在其下创建新子键,命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C},在右侧的空白处单击鼠标右键,选择“新键→“DWord值,键名为“Compatibility,设定键值为“0x00000400即可。

标签: 木马