网页资讯视频图片知道文库贴吧地图采购
进入贴吧全吧搜索
大猴盖吧 关注:986贴子:93,975
  • 2回复贴,共1

【大猴盖】『龙的传人』简单实用的木马、病毒的检测方法

只看楼主收藏回复

1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它
2、启动注册表编辑器,查看以下几个地方:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
看看启动表项里是否有可疑的程序
HKEY_CLASSES_ROOT\exefile\shell\open\command
看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %*
HKEY_CLASSES_ROOT\inffile\shell\open\command
看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\inifile\shell\open\command
看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\txtfile\shell\open\command
看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1
记录下来,暂时不要更改

1楼2010-02-23 12:39回复
    3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议www.sometips.com 下载一个 Active Ports
    用来看端口与进程的关系,找出使用异常端口的进程
    4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来
    5、开始程序启动中是否有奇怪的启动文件
    综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了
    6、清除木马的顺序是:
    先停止进程 清理注册表相关表项 删除硬盘上木马文件
    注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)
    另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件
    一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。
    以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件。
    
    2楼2010-02-23 12:39
    回复
      貌似不太懂,,,
      3楼2010-02-24 16:56
      回复

        扫二维码下载贴吧客户端

        下载贴吧APP
        看高清直播、视频!
        • 2回复贴,共1
        发表回复
        发贴请遵守贴吧协议及“七条底线”贴吧投诉
        内  容:
          查看全部
        发 表
        保存至快速回贴

        发布成功
        去贴吧APP订阅抽奖结果通知
        扫码进入贴吧APP
        ···········
        开奖后第一时间站内信通知
        ···········
        中奖结果全员公示