隐藏性高、危害性强而被人们所深恶痛绝
其实
木马从本质上来说是
种应用
利用该可以轻松将中了木马
计算机玩弄于股掌的中由此可见木马要发生作用必须有个前提就是必须用户运行木马服务端当然这种运行用户自己肯定不会主动进行那么种木马者就必须想方设法做到让木马能够自动运行基于这样道理 8哥网(http://www.it8g.com)和大家起排查找出木马藏身的处、集成到中由于用户
般不会主动运行木马而种木马者为了吸引用户运行他们会将木马文件和其它应用进行捆绑用户看到只是正常但是你旦运行的后不仅该正常运行而且捆绑在起木马也会在后台偷偷运行这种隐藏在其它应用
的中木马危害比较大而且不容易发现如果捆绑到系统文件中那么则会随Windows启动而运行不过只要我们安装个人防火墙或者启用Windows XP SP2中Windows防火墙那么在木马服务端试图连接种木马客户端时则会询问是否放行据此即可判断出自己有无中木马2、隐藏在媒体文件中
这种类型严格上说
用户还没有中木马不过它危害容易被人忽略通过 8哥网(http://www.it8g.com)调查发现大家对影音文件警惕性不高它常用手段是在媒体文件中插入段代码代码中包含了个网址当播放到指定时间时即会自动访问该网址而该网址所指页面内容却是些网页木马或其它危害因此
当我们在播放网上下载影片时如果发现突然打开了窗口那么切不可好奇而应将其立即关闭然后跳过该时间段影片播放3、隐藏在
.ini.ini中也是我们找出木马藏身的地个绝佳地方运行“msconfig”打开系统配置实用切换到“SYSTEM.INI”标签也可以直接打开Windows安装目录下.ini文件然后查看[boot]区域中“shell=”这行如果显示“shell=Explorer.exe”则表示正常如果是其它内容那么则介绍说明可能中木马了其次在[386Enh]区域同样要检查“driver=路径\名”如果发现有来历不明文件名那么也可能是木马4、隐藏在Win.ini
和
.ini相似Win.ini中也是木马喜欢加载个地方对此我们可以打开系统目录下Win.ini文件然后查看[Windows]区域“load=”和“run=”正常情况下它们后面应该是空白如果你发现它们后面加了某个那么加载则可能是木马需要将它们删除5、隐藏在Autoexec.bat
在C盘根目录下有
个Autoexec.bat文件这里内容将会在系统启动时自动运行和该文件类似还有Config.sys它自动运行因此也成为木马个藏身的地对此我们同样需要打开这两个文件检查里面是否加载了来历不明在运行6、任务管理器
部分木马运行后我们可以在任务管理器中找出它
踪迹在任务栏上右击在弹出菜单中选择“任务管理器”将打开窗口切换到“进程”标签在这里查看有没有占用较多资源进程有没有不熟悉进程若有可以先试着将它们关闭另外要特别注意Explorer.exe这类进程很多木马会使用Exp1orer.exe进程名即把l换成1用户不仔细查看还以为是系统进程呢7、启动
在Windows XP中
我们可以运行“msconfig”将打开窗口切换到“启动”标签在这里可以看到所有启动加载项目此时就可以根据“命令”和“位置”来判断是启动加载是否为木马如果判断为木马则可以将其启动取消然后再作进步处理8、注册表
我们
运行控制大多是由注册表控制因此我们有必要对注册表进行检查运行“regedit”打开注册表编辑器然后依次检查如下区域:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion看看这 3个区域下所有以“run”开头键值如果键值内容指向些隐藏文件或自己从未安装过那么这些则很可能是木马了木马的所以能够为非作歹
正是其善于隐藏自己不过我们掌握了其藏身的处那么则可以将其清除当然木马在实际伪装隐藏自己中可能会综合使用上面种或几种思路方法来伪装这就需要我们在检查清除时不能只检查其中部分地点而通过http://www.it8g.com/AnQuan/200811/4220.htm文我们还可以对流行木马进行查杀!www.cnhacker.org
最新评论