木马检测 木马病毒检测与防范.txt
木马检测 1、检查开放端口。 目前最常见的木马通常是基于TCP/UDP协议进行端到端通信的。 这样我们就可以检查本机开放的端口,看看是否有可疑程序打开。 可疑的端口。 例如使用的监听端口是7626,使用的监听端口是54320等。如果你看到可疑程序使用可疑端口进行连接,那么很可能你已经中了木马了。 检查端口的方法有以下几种: (1) 使用内置命令 C:\TCP0.0.0.0:1130.0.0.0:.0.0.0:1350.0.0.0:.0.0.0:4450.0.0.0:。 0.0 .0:10250.0.0.0:.0.0.0:10260.0.0.0:.0.0.0:10330.0.0.0:.0.0.0:12300.0.0.0:.0.0.0:12320.0.0.0:.0.0.0:12390.0 。 0.0:.0.0.0:17400.0.0.0:.0.0.1:50920.0.0.0:.0.0.1:.0.0.1:.0.0.1:60920.0.0.0:.0.0.0:.0.0.0:. 0.0.0:.0.0.0:.0.0.0:.0.0.0:.0.0.0:.0.0.1:.0.0.1:.0.0.1:1551(2)使用以下命令行工具: \..0TCP/ne,Inc.:\WINNT\\.:\WINNT\\.DPE:\WINNT\\lsass.exe (3) 使用图形界面工具。 该工具可以监控计算机上所有开放的TCP/IP。 /UDP端口还可以显示所有端口对应的程序的路径,以及本地IP和远程IP(试图连接到你的计算机的IP)是否处于活动状态。
该工具适用于/2000/XP平台。 2、检查win.ini和.ini系统配置文件,查看win.ini和.ini文件是否被修改。 例如,有些木马是通过修改win.ini文件中的“load=file.exe,run=file.exe”语句来自动加载的。 另外,还可以修改.ini中的boot部分来实现木马加载。 例如,如果病毒将“Shell=.exe”(系统的图形界面命令解释器)更改为“Shell=yzw.exe”,则每次计算机启动时都会自动运行程序yzw.exe。 修改方法是将“shell=yzw.exe”恢复为“shell=.exe”。 3. 检查启动程序。 如果直接在菜单上自定义添加木马自动加载的文件,通常会放在主菜单的“开始-程序-启动”中。 Win98 资源管理器中的位置是“C:\\\\Start”。 当一个文件以这种方式自动加载时,一般会存储在注册表中以下四个位置: \\\\\\\\\\\\\\\\\\\\\\\\\ 检查是否存在可疑的启动程序,轻松查出是否中了木马。
在Win98系统下,还可以直接运行命令查看启动程序和.ini、win.ini、.bat等文件。 4.检查系统进程。 不管木马多么狡猾,它仍然是一个应用程序,需要一个进程来执行。 通过查看系统进程可以推断出特洛伊木马的存在。 在/XP系统下,按“CTL+ALT+DEL”进入任务管理器,可以看到系统中运行的所有进程。 在Win98下,可以通过 和 工具查看进程。 检查进程时木马检测,要求你对系统非常熟悉,知道系统上运行的每个进程是做什么用的。 这样,当木马运行时,就很容易看出哪个是木马程序的活跃进程。 5、查看注册表木马一旦加载,一般会修改注册表。 一般来说,木马通常会加载注册表中以下位置的文件:\\\\\E\\\\\CHINE\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 另外,在\注册表中的\shell\open\= %*",如果将"%1"修改为木马,那么每次启动可执行文件都会出现木马,启动一次即可。例如著名的冰川木马将TXT文件的.exe改为自己的启动文件,每次打开记事本,冰川木马就会自动启动,非常隐蔽。
还有“广外女孩”木马,在\\shell\open \=""%1"\\\\\中添加名为“ ”的键值; 6、使用检测软件,上面介绍了手动检测木马的方法方法,此外,我们还可以通过各种杀毒软件、防火墙软件以及各种木马查杀工具来检测木马,各种杀毒软件主要有:、、瑞星等,防火墙软件主要有国外和国内的天网、金山毒霸等,各种木马查杀工具主要有:木马之星、木马终结者等。这里推荐一款结合入侵防御和防火墙技术的工具防护工具,为个人电脑和文件服务器提供全面的病毒防护木马清除:检测到计算机中存在木马后,必须根据木马的特征进行清除,检查是否存在可疑启动程序和可疑进程,以及win.ini、.ini系统配置文件和注册表是否存在已被修改。 如果存在可疑程序和进程,请按照特定方法将其删除。
主要步骤如下:(但并不是所有的木马都可以按照以下步骤清除,这里只是清除木马的基本方法)1、删除可疑的启动程序,检查系统启动程序和注册表是否有可疑后程序存在,判断是否被木马攻击。 如果存在木马,除了检测并删除木马文件外,还必须删除木马自动启动程序。 例如,Hack.Rbot病毒和后门会将自身复制到一些固定的自启动项:\All Users\Start Menu\\
