木马检测 木马检测

Pid 端口原始路径

420 -> 135 TCP E:\WINNT\\.exe

8 -> 139 TCP

8 -> 445 TCP

768 -> 1025 TCP E:\WINNT\\.exe

8 -> 1027 TCP

8 -> 137 UDP

8 -> 138 UDP

8 -> 445 UDP

256 lsass -> 500 UDP E:\WINNT\\lsass.exe

(3)使用图形界面工具Ports

该工具可以监控电脑上所有开放的TCP/IP/UDP端口，还可以显示所有端口对应的程序的路径。

本地 IP 和远程 IP（尝试连接到您的计算机的 IP）是否处于活动状态？ 该工具适用于NT/2000/XP平台。

2、查看win.ini和.ini系统配置文件

检查win.ini和.ini文件是否被修改。

例如，有些木马是通过修改win.ini文件中的“load=file.exe,run=file.exe”语句来自动加载的。

另外，还可以修改.ini中的boot部分来实现木马加载。

例如，对于“恶魔之吻”病毒，更改“Shell=.exe”（系统的图形界面命令解释器）

将其更改为“Shell=yzw.exe”，程序yzw.exe将在每次计算机启动时自动运行。

修改方法是将“shell=yzw.exe”恢复为“shell=.exe”。

3.检查启动程序

如果木马自动加载的文件是直接在菜单上自定义添加的，

一般会放在主菜单的“开始->程序->启动”中。

Win98 资源管理器中的位置是“C:\\开始菜单\\Start”。

当一个文件以这种方式自动加载时，一般会存储在注册表中的以下四个位置：

\\\\

\\壳

\\\\

\\用户外壳

\\\\

\\用户外壳

\\\\

\\壳

检查是否有可疑的启动程序，很容易发现是否中了木马。

在Win98系统下，还可以直接运行命令查看启动程序和.ini、win.ini、.bat等。

文档。

4.查看系统进程

不管木马多么狡猾，它仍然是一个应用程序，需要一个进程来执行。 通过查看系统进程可以推断出特洛伊木马的存在。

在NT/XP系统下，按“CTL+ALT+DEL”进入任务管理器，可以看到系统中运行的所有进程。

在Win98下，可以通过 和 工具查看进程。 查看流程需要你对系统非常熟悉。

对于系统上运行的每个进程，你需要知道它是做什么用的，这样木马运行时，

很容易看出哪个是木马程序的活动进程。

5.查看注册表

木马一旦加载，一般会修改注册表。 一般来说，

木马通常会在注册表中的以下位置加载文件：

\\\\\跑步

\\\\

\

\\\\

\

\\\\

\

\\\\

\跑步

\\\\

\

\\\\

\

另外注册表中的\\shell\open\=

在“%1”%*”处，如果“%1”被修改为特洛伊木马，则每次启动可执行文件时都会启动特洛伊木马。

例如，著名的冰川木马将TXT文件的.exe更改为自己的启动文件。

每次打开记事本时，冰川木马都会自动启动，非常隐蔽。

还有“广外女孩”木马位于\\shell\open

\=""%1" %*"，将其默认键值更改为"%1" %*"，

并在 \\\\

\添加了一个名为“ ”的键值；

6.使用检测软件

以上介绍了手动检测木马的方法。 另外，我们还可以使用各种杀毒软件，

防火墙软件和各种木马查杀工具可以检测木马。 各种杀毒软件主要有：、、、瑞星等。

防火墙软件主要有国外的、国内的天网、金山等。各种木马查杀工具主要有：

木马之星、木马终结者等。下面推荐一款工具防护工具：

它结合了入侵防御和防火墙技术，为个人计算机和文件服务器提供全面的病毒防护。

木马清除

计算机中检测到木马后，必须根据木马的特征进行清除。 检查可疑的启动程序，

存在可疑进程。 win.ini、.ini系统配置文件和注册表是否被修改过？

如果存在可疑程序和进程，请按照特定方法将其删除。

主要步骤无非如下：

（但并不是所有的木马都可以按照以下步骤清除，这里只是清除木马的基本方法）

1.删​​除可疑启动程序

检查系统启动程序和注册表是否有可疑程序后，确定是否被木马感染。

如果存在木马，除了检测并删除木马文件外，还必须删除木马自动启动程序。

例如，Hack.Rbot病毒和后门会将自身复制到一些固定的自启动项中：

\所有用户\开始菜单\\

WINNT\\所有用户\开始菜单\\

\开始菜单\\

和\所有用户\开始菜单\\

检查这些目录并删除任何可疑的启动程序。

2、恢复win.ini和.ini系统配置文件原来的配置

很多病毒都会修改win.ini和.ini系统配置文件，使其能够在系统启动时加载并运行木马程序。

例如，计算机感染“恶魔之吻”病毒后，病毒会删除.ini中引导段的内容。

将“Shell=.exe”字段更改为“Shell=yzw.exe”。 清除木马的方法是将.ini恢复到原来的配置。

即把“Shell=yzw.exe”改回“Shell=.exe”，然后删除病毒文件。

病毒还会更改win.ini，以便在计算机下次重新启动时执行木马程序。

主要是将win.ini中该节的“Run=”字段更改为“Run= C:%%INETD.EXE”字段。

执行清理的步骤如下：

（1）打开win.ini文本文件，删除“RUN=C:%%INETD.EXE”字段中等号后面的字符。

仅保留“RUN=”。

(2)删除被.A病毒感染的文件。

3.停止可疑的系统进程

木马程序运行时会在系统进程中留下痕迹。 通过查看系统进程可以发现正在运行的木马程序。

当然，在清除木马时，首先要停止木马程序的系统进程。

例如，除了将自身复制到一些固定的自启动项之外，Hack.Rbot病毒和后门

它还会在进程中运行.exe程序并修改注册表，使病毒能够随机启动。

当看到进程中有木马程序运行时，需要立即杀掉该进程并进行下一步，修改注册表并清除木马文件。

4.修改注册表

检查注册表，恢复注册表中被木马修改的部分。 比如上面提到的Hack.Rbot病毒和后门，

到注册表中的以下位置：

\\\\

\跑步

\\\\ \

\\\\

\

\\\\

\跑步

添加密钥“ ”=“.exe”，以便病毒可以随机启动。

这就需要我们进入注册表，删除这个键值。 注意：某些木马可能不允许执行.exe 文件。

这样我们就需要先把.exe改成系统可以运行的，比如可以改成。

这里我们将讨论如何清除Hack.Rbot病毒和后门。

(1)停止进程中运行的.exe进程。 这是一个特洛伊木马程序；

（2）删除Hack.Rbot复制到启动项的启动文件；

(3)将Hack.Rbot添加到注册表中的键值“”=

“.exe”删除；

(4)手动或使用专用查杀工具删除被Hack.Rbot病毒感染的文件。 并对系统进行检修。

5、使用杀毒软件和木马查杀工具查杀木马

常用的杀毒软件有瑞星、诺顿等，这些软件对于查杀木马比较有效。

但要注意随时更新病毒库，有些木马如果没有彻底查杀，系统重启后会自动加载。

此外，还可以使用The、 Star、 等各种木马转换工具来检测并查杀木马。

这里推荐一款名为Anti-的工具，它是欧洲知名的专业木马检测、拦截和清除软件。

可以从网站下载。

木马防范

随着互联网的普及和软硬件的快速发展，网络安全变得越来越重要。 对于网络上比较流行的木马程序，

传播时间比较快，影响也比较严重，因此木马的防范不容忽视。

我们在检测和清除木马的同时，也要注重木马的预防，防患于未然。

1、不要随意打开来历不明的邮件。

现在许多木马都是通过电子邮件传播的。 当您收到来历不明的邮件时，请不要打开并尽快删除。

并加强邮件监控系统，拒绝垃圾邮件。

2、不要随意下载来历不明的软件。

最好从知名网站下载软件，不要下载并运行来历不明的软件。

在安装软件时，最好先用杀毒软件检查一下是否有病毒后再安装。

3.及时修补漏洞并关闭可疑端口

一般木马会利用漏洞在系统上开放端口并留下后门，以上传木马文件并执行代码。

在修补漏洞的同时，需要检查端口并关闭可疑端口。

4. 尽量少使用共享文件夹

如果必须使用共享文件夹，最好设置帐户和密码保护。 注意不要将系统目录设置为共享。

最好关闭系统下默认的共享目录。 系统默认将目录设置为共享状态，这是非常危险的。

5.运行实时监控程序

上网时最好运行防木马实时监控程序和个人防火墙，并定期对系统进行病毒检查。

6、经常升级系统、更新病毒库

请始终关注制造商网站上的安全公告。 这些网站通常会及时发布漏洞、木马和更新。

并尽快发布补丁和新的病毒库。

使用注册表来管理系统配置的主要目的是提高系统的稳定性。 操作系统中经常出现的一些问题，

系统无法启动、应用程序无法运行、系统不稳定等情况往往是由注册表错误引起的。

这些问题可以通过修改相应的数据来解决。 因此，掌握如何正确备份和恢复注册表，

它可以让每个用户更舒适地使用他们的计算机。

1.使用注册表编辑器手动备份注册表

注册表编辑器（ ）是操作系统自带的注册表工具，通过它可以对注册表进行各种修改。

当然，“备份”和“恢复”注册表自然是它的本能。

(1)通过注册表编辑器备份注册表

由于修改注册表有时会危及系统的安全，无论是98、2000甚至XP，

它们都将注册表编辑器“隐藏”在一个非常隐蔽的地方。 想要“请”它出来，就必须使用特殊的手段。

单击“开始”菜单，选择菜单上的“运行”选项，在弹出的“运行”窗口中输入“”，单击“确定”按钮。

这将启动注册表编辑器。

单击注册表编辑器的“注册表”菜单，然后单击“导出注册表文件”选项。

在弹出的对话框中输入文件名“”，“保存类型”选择“注册表文件”，然后将“导出范围”设置为“全部”。

接下来，选择文件存储位置，最后单击“保存”按钮，将系统的注册表保存到硬盘上。

完成上述步骤后，找到刚才保存备份文件的文件夹，你会发现该文件夹中已经放置了备份的文件。

(2)DOS下备份注册表

当注册表损坏时，（包括“安全模式”）无法进入，此时该怎么办？

在纯DOS环境下备份和恢复注册表是另一种补救措施。 我们来看看在DOS环境下如何操作。

如何备份和恢复注册表。

在纯DOS下通过注册表编辑器备份和恢复注册表。 我们已经解释了如何使用注册表编辑器来备份和恢复环境中的注册表。

恢复注册表，其实“.exe”注册表编辑器不仅可以在环境下运行，在DOS下也可以使用。

DOS环境下的注册表编辑器的功能虽然不如环境下强大，但也有其独特之处。

例如，我通过注册表编辑器备份了注册表，但系统出现问题后，无法进入。

此时，您可以在纯DOS下通过注册表编辑器恢复注册表。

应该说，在DOS环境下备份注册表的情况并不多见。 一般来说，备份注册表就足够了。

不过，在一些特殊情况下，这种方法却非常实用。

进入DOS后，进入C盘的目录，在目录的提示符处输入“”，然后按回车键。

可以查看“”的使用参数。

还是需要通过“.dat”和“user.dat”这两个文件来备份注册表。

该程序的具体命令格式如下：

/L: /R:用户 /E .reg

参数含义：

/L：指定.dat 文件所在路径。

/R：user指定User.dat文件所在路径。

/E：该参数指定注册表编辑器导出注册表。 该参数后面留一个空格，并输入导出的注册表的文件名。

：用于指定导出哪个注册表分支。 如果未指定，将导出所有注册表分支。这些参数中

、“/L:”和“/R:user”参数是可选的。 如果不使用这两个参数，

注册表编辑器认为它正在操作目录中的“.dat”和“user.dat”文件。

如果从软盘启动并进入 DOS，

那么必须使用“/L”和“/R”参数来指定“.dat”和“user.dat”文件的具体路径。

否则注册表编辑器将无法找到它们。

例如，如果通过启动盘进入DOS，

备份注册表的命令是“/L:C:\\/R:C:\\/e.reg”，

该命令的意思是将整个注册表备份到一个目录中木马检测，其文件名为“.reg”。

如果输入命令“/ED:\.reg”，

意思是把整个注册表备份到D盘根目录下（省略“/L”和“/R”参数），其文件名为“.reg”。

(3) 使用注册表检查器备份注册表

DOS环境下的 .exe可用于备份注册表。

命令格式为：

///

参数解释：

/ 用于立即备份注册表

/按照备份时间和日期显示所有备份文件

/显示/中与备份文件相关的部分

注意：显示备份的注册表文件时，压缩的备份文件会列为 .CAB 文件。

CAB文件后面的单词是或者是，表示该文件可以成功启动。

是完整的备份文件，说明该文件没有被用于启动。

因此无法知道它是否是完整备份。

例如：如果我们要查看所有备份文件以及与备份相关的部分，命令如下：

//

注册表恢复

注册表存储了计算机软件和硬件的配置信息。 病毒和恶意网页代码经常会修改注册表。

日常安装和运行软件也会引起注册表内容的变化。 当电脑不能正常工作时，

这通常可以通过恢复注册表来解决。 因此，我们应该经常备份注册表（运行、导出注册表文件）。

这样，您可以在需要时导入过去的备份，使计算机恢复正常。

如果没有正常导出注册表，则必须通过运行 / 来恢复注册表，

或运行

/fix 修复注册表。 但该命令应在DOS下执行。 对于win98系统，启动时按F8。

选择

只能进入DOS； 对于WinMe系统，可以运行进入DOS。 当然，你也可以使用软盘引导系统，

进入C:\\子目录，执行上述命令修复注册表。

当今网页上恶意代码最令人发指的破坏性行为之一是禁止程序在注册表中运行。

此时由于IE无法运行，无法使用在线自动修复； “电脑数据维护”等修复软件也无法运行；

也不能导入注册表文件来修复注册表。 此时唯一的办法就是运行C:\

/ 修复注册表。