做精明的赶马人:木马查找清除攻略

这年头的网络越来越不安全了,黑客制作工具比Word还要简单,随便一个菜鸟都可以借助工具制作出“马”力强劲的攻击武器。看网页、收邮件、聊QQ都有可能被马“踩”到。稍不留意,你的个人信息、账户、密码等重要信息就会被它“驮”走,你知道如何识马、抓马、赶马吗?下面的招数将告诉你如何对付这些顽劣的马。

一、学伯乐 认马识马

木马这东西从本质上说,就是一种远程控制软件。不过远程控制软件也分正规部队和山间土匪。正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。

木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。而且你还可能成为养马者的帮凶,养马者还可能会使用你的机器去攻击别人,让你来背黑锅。

二、寻根溯源 找到引马入门的罪魁祸首

作为一个不受欢迎的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:

最常见的就是利用聊天软件“杀熟”,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你打开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一“送”一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你打开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器安全性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。在网吧上网时受到木马攻击的几率也很大。而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。

三、亡羊补牢 如何查杀木马

我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。

STEP1

查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat –an”(见图1),其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(Back Orifice 2000)等。

STEP2

查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,

定位到:HKEY_CURRENT_USER_Software_microsoft_Windows_CurrentVersion_Explorer下,分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾经到此一游。

STEP3

查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell=Explorer.exe”,如果是其他程序则也可能是中了木马。

除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。

关上马厩的门 做好木马防御工作

在系统中搜索mshta.exe文件,将其改名,如cfan.exe。再在“运行”中输入“%windows%coMMand”,将里边debug.exe和ftp.exe也改名。打开注册表编辑器,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ,在里边找到“Active Setup controls”子键(如没有需手动建立),再在其下创建新子键,命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C},在右侧的空白处单击鼠标右键,选择“新键”—“DWORD值”,键名为“Compatibility”,设定键值为“0x00000400”即可。

时间: 2024-11-02 00:19:51

做精明的赶马人:木马查找清除攻略的相关文章

比较不错的木马查找清除攻略_病毒查杀

一.学伯乐 认马识马 木马这东西从本质上说,就是一种远程控制软件.不过远程控制软件也分正规部队和山间土匪.正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态:而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表.捆绑在正常程序上的方式运行,使你难觅其踪迹. 木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一

封杀木马病毒全攻略

木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你.有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是"淘气",它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你"家"中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在"家"中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题.下面就是木马潜伏的诡招,看了以后不要忘记采

分享我个人做百度知道外链的完整流程攻略

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 百度知道的外链是站长在论坛签名外链以外最容易获得的外链之一,百度知道的优势是单链接权重高,同时百度知道的链接不容易在引擎索引更新的时候被删除,最最重要的是如果你的内容质量较高的话,是可以获得不少小偷站的采集的,所以我们要对百度知道进行一个细致而仔细的外链发布工作 可是百度知道如果有网址是人工审核的,留外链相当不容易,有没有什么技巧呢?答案当然

巫师3无名之人任务怎么做 巫师3无名之人通关图文攻略

无名之人 1.利用L2懦弱者的痕迹,这里跟着叶奈法走就行,到达上层花坛,触发对话; ⑴待会见 ⑵我还会以为你会抗议 2.后转下去左转直走,利用L2追寻红色印记,找到一口井,跳下去,懦弱者的尸体就在井里,找到后触发对发; ⑴我什么? ⑵我猜到你想到了什么 找到尸体后,回到叶奈法那里:获得经验X200,人物等级提升至13级: 第一个选项 ⑴需要下咒的材料么? ⑵黑魔法不是开玩笑的 第二个选项 ⑴好吧,开始进行吧 ⑵我们又要有更多的敌人了 叶奈法释放黑魔法,可以与死者短暂交流; ⑴我们在找希里 ⑵你虽

防黑从基础做起,简单的ASP木马查杀方法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 防黑从基础做起.简单的ASP木马查杀方法: 先下载一个文件查找工具:http://www.skycn.com/soft/17964.html 以下是ASP木马部分代吗:========================================================================================

电脑中的木马必须清除

特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在不知情的的状态下控制或者监视用户的电脑.下面就讲讲木马经常藏身的地方和清除方法. 首先查看自己的电脑中是否有木马 1.集成到程序中 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了.绑定到某一应用程序中,如绑定到系统文件

c++-做一个电话号码本,进行查找,添加等操作,不知道自己的代码哪里错了,求助~

问题描述 做一个电话号码本,进行查找,添加等操作,不知道自己的代码哪里错了,求助~ #include #include #define max 40 using namespace std; struct User/*电话薄结构*/ { char name[8]; char tel[11]; char add[20]; User next; }user; struct Node/哈希表结构*/ { User user; Node *next; }; int user_num; Node *has

雷客图ASP站长安全助手的ASP木马查找功能_木马相关

可以在线查找空间里的asp木马 复制代码 代码如下: <%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <% '设置密码 PASSWORD = "jb51net" dim Report if request.QueryString("act")="login" then     if request.Form("pwd") = PASSWO

雷客图ASP站长安全助手的ASP木马查找功能

可以在线查找空间里的asp木马 复制代码 代码如下: <%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <% '设置密码 PASSWORD = "jb51net" dim Report if request.QueryString("act")="login" then     if request.Form("pwd") = PASSWO