了解木马惯用伎俩查看系统中是否有木马程序

显示全部楼层 · 发表于 2008-9-25 22:44

如何检测一个系统中是否有木马程序呢？现仅以一些简单的木马惯用伎俩做说明：

　　　　1、启动任务管理器，看其中是否有陌生进程，记录下来，暂时别动它

　　　　2、启动注册表编辑器，查看以下几个地方：

　　　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun...

　　　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun...

　　　　看看启动表项里是否有可疑的程序

　　　　HKEY_CLASSES_ROOTexefileshellopencommand

　　　　看看是否有 exe 文件关联型木马程序，正确的键值应该是："%1" %*

　　　　HKEY_CLASSES_ROOTinffileshellopencommand

　　　　看看是否有 inf 文件关联型木马程序，正确的键值应该是：%SystemRoot%system32NOTEPAD.EXE %1

　　　　HKEY_CLASSES_ROOTinifileshellopencommand

　　　　看看是否有 ini 文件关联型木马程序，正确的键值应该是：%SystemRoot%system32NOTEPAD.EXE %1

　　　　HKEY_CLASSES_ROOTxtfileshellopencommand

　　　　看看是否有 txt 文件关联型木马程序，正确的键值应该是：%SystemRoot%system32NOTEPAD.EXE %1

　　　　记录下来，暂时不要更改

　　　　3、启动一个 cmd 窗口，netstat -an 看看是否有异常端口，建议去sometips.com 下载一个 Active Ports。

　　　　用来看端口与进程的关系，找出使用异常端口的进程

　　　　4、用资源管理器查看winnt 及 winntsystem32 的文件（记得显示全部文件，包括受保护文件），按时间排序，找出建立时间或修改时间异常的程序，记录下来。

　　　　5、开始->程序->启动中是否有奇怪的启动文件

　　　　综合以上5步的结果，应该能排出来一个可疑程序的清单，下面就是照单杀马了

　　　　6、清除木马的顺序是：

　　　　先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件。

　　　　注：对于有些木马，使用了线程注入或三线程保护方式，需要使用相关工具进行清除（或者自己写写试试，就当是练习 coding）。

　　　　另外，曾经见过一只马，采用了 autorun 文件关联，在每个分区的根下都有一个 autorun 文件，只要访问这个分区，就会加载木马文件。

　　　　一个小技巧：exe 文件被关联后，当出现 exe 文件无法打开时，可将regedit.exe 复制为 regedit.com，并运行 regedit.com,将 exe 文件关联改回来即可，前提是系统中没有相关进程在监视这个表项。

　　　　以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马，更重要的是预防，最基本的预防方式就是给MS点颜面，勤打补丁，另外就是尽量不要运行可疑程序。