袁氏家谱网--

标题: 检测木马 [打印本页]

作者: 冰影    时间: 2006-6-16 18:35
标题: 检测木马
1、查看端口
由于木马是基于远程控制的程序,通常是基于TCP/UDP协议进行client端与server端之间的通讯,因此中木马的机器会开有特定的端口来等待连接。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,IE一般会打开连续的端口:1025,1026,1027......,QQ会打开4000、4001......等端口。
在DOS命令行下用netstat -na命令可以看到本机所有打开的端口,如果发现除了以上所说的端口外,还有其他端口被占用,您可一定要小心了。例如冰河所占用的端口是7626,黑洞2001所占用的端口是2001,网络公牛用的是234444端口,Back Orifice 2000则是使用54320。
进入到命令行下,使用netstat命令查看。键入:


  C:\>netstat -an


  Active Connections


  Proto Local Address Foreign Address State


  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING


  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING


  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING


  UDP 0.0.0.0:445 0.0.0.0:0


  UDP 0.0.0.0:1046 0.0.0.0:0


  UDP 0.0.0.0:1047 0.0.0.0:0
Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,您可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。本例中机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!

2、查看系统配置文件
查看System.ini,由“开始”→“运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”,否则,就可能中木马了。这类的病毒很多,比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”
查看win.ini文件,选中win.ini标签,展开[windows]目录项,查看“run=”和“load=行”,等号后面正常为空。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

3、查看启动组中的启动项目
看看启动标签中的启动项目,如果有netbus、netspy、bo等关键字出现,那么极有可能中木马了。

4、查看注册表。
由“开始→运行”,输入regedit,运行注册表编辑器,展开至HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run目录下,查看键值中有无自己不熟悉的自启动项目,比如netbus、netspy、bo等单词,比如Acid Battery木马,它会在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows-CurrentVersion\Run下加入Explorer=“C:\windows\expiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别!
然后通过类似的方法检查下列各个主键的值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnceEx,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServicesOnce,
HKEY_LOCAL_MACHINE\ Software\SAM。
当然在注册表中还有很多地方可以隐藏木马程序,上面这些主键只是木马比较常用的隐身之处,最好的办法就是在HKEY_LOCAL_MACHINESoftware\Microsoft\ Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就可以知道它所有的藏身之地了。
另外,注册表各个主键都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的,这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马。

清除木马

若要用杀毒软件来杀的话,不能确保全盘杀掉,况且有的病毒出现快,杀毒软件还未来得及更新病毒库,病毒就已经侵袭了我们的电脑,在这种情况下,如何是好呢?虽然不同的木马有不同的隐藏方式,也有不同的删除方法,但是有许多方法对于木马而言都是可以通用的。
如果发现有木马存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对您进行攻击。然后按以下步骤杀毒:
1、编辑win.ini文件,将[WINDOWS]下面,“run=木马程序”和“load=木马程序”更改为“run=”和“load=”;
2、编辑system.ini文件,将[BOOT]下面的“shell=木马文件”,更改为“shell=explorer.exe”;
3、编辑注册表,用regedit对注册表进行编辑,先在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序,有时候还需注意的是,有的木马程序并不是直接将HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的木马键值删除就行了,因为有的木马,如BladeRunner,如果您删除它,木马会立即自动加上,您需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。重新启动计算机,然后再到注册表中将所有木马文件的键值删除。
如果该木马改变了TXT、EXE或ZIP等文件的关联,那您应把注册表改过来,如果不会改,那就把注册表改回到以前的就可以恢复文件关联,可通过在DOS下执行 scanreg/restore命令来恢复注册表,不过这条命令只能恢复前五天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值,简单易用。
需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。

预防木马

1、 不要执行任何来历不明的软件
很多木马病毒都是通过绑定在其他的软件中来实现传播的,一旦运行了这个被绑定的软件就会被感染,因此在下载软件的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒后再使用。

2、 不要随意打开邮件附件
现在绝大部分木马病毒都是通过邮件来传递的,而且有的还会连环扩散,因此对邮件附件的运行尤其需要注意。

3、 重新选择新的客户端软件
很多木马病毒主要感染的是Microsoft的OutLook和OutLook Express的邮件客户端软件,因为这两款软件全球使用量最大,黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件,例如Foxmail等,收到木马病毒攻击的可能性就将减小,至少不会反复感染给通讯录中的好友。此外也可以直接通过Web方式来访问信箱,这样就能大大降低木马病毒的感染概率。

4、 将资源管理器配置成始终显示扩展名
将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。

5、 尽量少用共享文件夹
如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。

6、 运行反木马实时监控程序
木马防范重要的一点就是在上网时最好运行反木马实时监控程序,时刻注意系统的变化、奇怪端口、可疑进程等等,此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

7、 经常升级系统
很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。


{经典dos命令行}:ntsd -c q -p pid


mdain

ntsd -c q -p PID

把最后那个PID,改成你要终止的进程的ID。如果你不知道进程的ID,任务管理器->进程选项卡->查看->选择列->勾上"ID(进程标识符)",然后就能看见了。

anran_ QQ775822
本城连接  ipconfig




欢迎光临 袁氏家谱网-- (http://yuanscn.com/bbs/) Powered by Discuz! X3.2