第绝技:查
1.检查系统进程
大部分木马运行后会显示在进程管理器中所以对系统进程列表进行分析和过滤可以发现可疑特别是利用和正常进程CPU资源占用率和句柄数比较发现异常现象
2.检查注册表、ini文件和服务
木马为了能够在开机后自动运行往往在注册表如下选项中添加注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木马亦可在Win.ini和.ini“run=”、“load=”、“shell=”后面加载如果在这些选项后面加载是你不认识就有可能是木马木马最惯用伎俩就是把“Explorer”变成自己名只需稍稍改“Explorer”字母“l”改为数字“1”或者把其中“o”改为数字“0”这些改变如果不仔细观察是很难被发现
在Windwos NT/2000中木马会将自己作为服务添加到系统中甚至随机替换系统没有启动服务来实现自动加载检测时要对操作系统常规服务有所了解
3.检查开放端口
远程控制型木马以及输出Shell型木马大都会在系统中监听某个端口接收从控制端发来命令并执行通过检查系统上开启些“奇怪”端口从而发现木马踪迹在命令行中输入Netstat
na可以清楚地看到系统打开端口和连接也可从www.foundstone.com下载Fport软件Software运行该软件Software后可以知道打开端口进程名进程号和路径这样为查找“木马”提供了方便的门
4.监视网络通讯
对于些利用ICMP数据通讯木马被控端没有打开任何监听端口无需反向连接不会建立连接采用第 3种思路方法检查开放端口思路方法就行不通可以关闭所有
最新评论