迅速发展
木马攻击、危害性越来越大
木马实质上是
个
必须运行后才能工作所以会在进程表、注册表中留下蛛丝马迹我们可以通过“查、堵、杀”将它“缉拿归案”第
绝技:查 1.检查系统进程
大部分木马运行后会显示在进程管理器中
所以对系统进程列表进行分析和过滤可以发现可疑特别是利用和正常进程CPU资源占用率和句柄数比较发现异常现象2.检查注册表、ini文件和服务
木马为了能够在开机后自动运行
往往在注册表如下选项中添加注册表项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木马亦可在Win.ini和
.ini“run=”、“load=”、“shell=”后面加载如果在这些选项后面加载是你不认识就有可能是木马木马最惯用伎俩就是把“Explorer”变成自己名只需稍稍改“Explorer”字母“l”改为数字“1”或者把其中“o”改为数字“0”这些改变如果不仔细观察是很难被发现在Windwos NT/2000中
木马会将自己作为服务添加到系统中甚至随机替换系统没有启动服务来实现自动加载检测时要对操作系统常规服务有所了解3.检查开放端口
远程控制型木马以及输出Shell型
木马大都会在系统中监听某个端口接收从控制端发来命令并执行通过检查系统上开启些“奇怪”端口从而发现木马踪迹在命令行中输入Netstat na
可以清楚地看到系统打开端口和连接也可从www.foundstone.com下载Fport软件Software运行该软件Software后可以知道打开端口进程名进程号和路径这样为查找“木马”提供了方便的门4.监视网络通讯
对于
些利用ICMP数据通讯木马被控端没有打开任何监听端口无需反向连接不会建立连接采用第 3种思路方法检查开放端口思路方法就行不通可以关闭所有
最新评论