查木马的简单方法
- 格式:doc
- 大小:24.50 KB
- 文档页数:2
下载文档原格式
合集下载
六招教你检测是否中病毒木马介绍
六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍:六招教你检测病毒木马一、进程首先排查的就是进程了,方法简单,开机后,什么都不要启动!第一步:直接打开任务管理器计算机爱好者,学习计算机基础,电脑入门,请到本站PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!第二步:打开冰刃等软件,先查看有没有隐藏进程冰刃中以红色标出,然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
六招教你检测病毒木马二、自启动项目进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有 Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常可以凭经验识别,也可以利用搜索引擎。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。
PS:这个需要有一定的经验。
六招教你检测病毒木马三、网络连接ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到相关网站查询,对应的进程和端口等信息可以到Google或百度查询。
查找和清除电脑病毒方法介绍
查找和清除电脑病毒方法介绍:查找和清除电脑病毒方法一、通过自动运行机制查木马一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:查找电脑木马1注册表启动项在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以Run开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。
另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe %1%”。
查找电脑木马2系统服务有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。
然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。
找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。
也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。
木马查询
下载:/SoftView/SoftView_35.html
下载:/SoftView/SoftView_7.html
冰刃 IceSword
说明:冰刃 IceSword 是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲。使用前请详细阅读说明。
Unlocker 是一个免费的右键扩充工具,使用者在安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个档案或目录无法删除时,只要按下鼠标右键中的「Unlocker」,那么程序马上就会显示出是哪一些程序占用了该目录或档案,接着只要按下弹出的窗口中的「Unlock」就能够为你的档案解套啰。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
KillBox
说明:KillBox 实质是一个可删除任意文件的工具利器,它可以删除硬盘内任意文件(当删除系统级文件会有提示的),它不管这个文件是EXE还是DLL等其它类型文件,也不管这个文件是正在运行当中,还是正在被系统调用了,KillBox 都可以通过简单几步就将文件删除。正因如此,KillBox 在反病毒方面应用就非常之实用了。现时流行类病毒(蠕虫、木马)很多均为单独的病毒文件或N个病毒文件的组合,这些病毒文件与系统无关,均可以安全删除此类病毒文件,而不影响系统的运行。但在删除过程中,由于病毒的狡滑,总是很难成功地删除,有经验的人往往懂得进入安全模式或 DOS 模式删除病毒文件。所以,就连国际知名安全软件厂商也推荐在安全模式全面杀毒。但现在有相对简单的清除方法了,有了 KillBox ,一切变得简单多了,只要你先通过 HijackThis 等系统分析工具提供的 Log ,确认出那个是病毒文件,再在 KillBox 填上病毒文件的完整路径,或通过浏览选中这个病毒文件,一 Kill 就成功了(仍有某些病毒可能需要重启电脑)。
下载:/SoftView/SoftView_7.html
冰刃 IceSword
说明:冰刃 IceSword 是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲。使用前请详细阅读说明。
Unlocker 是一个免费的右键扩充工具,使用者在安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个档案或目录无法删除时,只要按下鼠标右键中的「Unlocker」,那么程序马上就会显示出是哪一些程序占用了该目录或档案,接着只要按下弹出的窗口中的「Unlock」就能够为你的档案解套啰。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
KillBox
说明:KillBox 实质是一个可删除任意文件的工具利器,它可以删除硬盘内任意文件(当删除系统级文件会有提示的),它不管这个文件是EXE还是DLL等其它类型文件,也不管这个文件是正在运行当中,还是正在被系统调用了,KillBox 都可以通过简单几步就将文件删除。正因如此,KillBox 在反病毒方面应用就非常之实用了。现时流行类病毒(蠕虫、木马)很多均为单独的病毒文件或N个病毒文件的组合,这些病毒文件与系统无关,均可以安全删除此类病毒文件,而不影响系统的运行。但在删除过程中,由于病毒的狡滑,总是很难成功地删除,有经验的人往往懂得进入安全模式或 DOS 模式删除病毒文件。所以,就连国际知名安全软件厂商也推荐在安全模式全面杀毒。但现在有相对简单的清除方法了,有了 KillBox ,一切变得简单多了,只要你先通过 HijackThis 等系统分析工具提供的 Log ,确认出那个是病毒文件,再在 KillBox 填上病毒文件的完整路径,或通过浏览选中这个病毒文件,一 Kill 就成功了(仍有某些病毒可能需要重启电脑)。
电脑木马病毒查杀方法技巧菜鸟级
电脑木马病毒查杀方法技巧菜鸟级这篇电脑木马病毒查杀方法技巧菜鸟级是店铺特地为大家整理的,希望对大家有所帮助!1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。
2、对于局域网内部用户,在杀毒之前请断掉网络。
3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。
因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。
(对于国内的杀毒软件)4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。
因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。
(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。
)5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。
(删除文件时删不了有时也因为此)6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。
如果网络中毒,请联系网络管理员,断网杀毒。
(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个人文件,并在有经验的人的指导下进行。
使用不当,可能造成硬盘数据全部丢失。
(此方法用的较少)中阶:中鸟看——杀毒技巧集锦有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。
怎么从进程中找出病毒和木马
怎么从进程中找出病毒和木马怎么从进程中找出病毒和木马导语:任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。
但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?以下是小编为大家精心整理的电脑安全知识,欢迎大家参考!一、病毒进程隐藏三法当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:1.1 以假乱真系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。
对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。
通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。
又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。
如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
1.2 偷梁换柱如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。
于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。
如果一个进程的名字为 svchost.exe,和正常的系统进程名分毫不差。
那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。
我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器” 中看到的也是svchost.exe,和正常的系统进程无异。
木马病毒查找清除方法【完整版】
木马病毒查找清除方法【完整版】(文档可以直接使用,也可根据实际需要修订后使用,可编辑放心下载)木马病毒查找去除方法|浏览:0|更新:2021-04-23 15:27一、学伯乐认马识马木马这东西从本质上说,就是一种远程控制软件。
不过远程控制软件也分正规部队和山间土匪。
正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马那么属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。
木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。
而且你还可能成为养马者的帮凶,养马者还可能会使用你的机器去攻击别人,让你来背黑锅。
二、寻根溯源找到引马入门的罪魁祸首作为一个不受欢送的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:最常见的就是利用聊天软件杀熟,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你翻开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一送一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你翻开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器平安性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。
在网吧上网时受到木马攻击的几率也很大。
而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。
三、亡羊补牢如何查杀木马我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。
怎么查看电脑中的木马
怎么查看电脑中的木马如果电脑中了木马,我们要如何查看呢?下面就让店铺教大家怎么查看电脑中的木马吧。
查看电脑木马的方法通过启动文件检测木马一旦电脑中了木马,则在电脑开机时一般都会自动加载木马文件,由于木马的隐藏性比较强,在启动后大部分木马都会更改其原来的文件名。
如果用户对电脑的启动文件非常熟悉,则可以从Windows系统自动加载文件中分析木马的存在并清除木马,这种方式是最有效、最直接的检测木马方式。
但是,由于木马自动加载的方法和存放的文职比较多,这种方法对于不太懂电脑的人来说比较有难度由于木马也是一个应用程序,一旦运行,就会在电脑系统的内存中驻留进程。
因此,我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程在Windows系统中,按下【Ctrl+Alt+Delete】组合键,打开【Windows任务管理器】窗口,选择【进程】选项卡,查看列表中是否存在可以的木马程序。
如果存在可疑进程,选中此进程并右击,从弹出的快捷菜单中选择【结束进程】即可结束词进程。
【Windows进程管理器】的主界面看下面的图在列表中选择其中一个进程选项之后,单击【描述】按钮,即可看到该进程的详细信息在进程列表中右击某个进程在其中可以对进程进行结束、暂停、查看属性、删除文件等操作。
木马的运行通常是通过网络连接实现的,因此,用户可以通过分析网络连接来推测木马是否存在,最简单的办法是利用Windows自带的Netstat命令。
选择“开始”-“运行”菜单项,打开“运行”对话框,单击“确定”按钮,打开“命令提示符”窗口。
在“命令提示符”窗口中输入“netstat -a”,按“Enter”键,在其运行结果中查看有哪些可以的运行程序来判断木马文件。
手工查毒方法四种
新人上手指南电脑木马查杀大全一、手工方法:1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。
具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an 这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。
我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。
检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。
打开这个文件看看,在该文件的[boot]字段中,是不是有 shell=Explorer.exe file.exe 这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。
如何识别木马
如何识别木马识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。
其实这种木马是最早期的木马程序。
现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。
现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。
大家都知道,不管是传奇还是任何一款程序。
它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。
这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。
而这些数据在运行的时候都是存放在计算机的内存里面的。
木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。
也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,简单防治的方法:开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。
个人电脑中木马或病毒简易自查
PC机中木马或病毒简易自查一.CMD命令查看可疑账号net user如果出现类似下图中hacker账号,不是自己建立的、可疑的账号,基本肯定中木马了。
如果没有可疑账号,但是guest账号无缘无故开启了,查看下guest账号的属性,看下是不是被提升到了administrator权限.命令net user guest上图中account active 是no,就是说明guest账号现在没有开启,安全。
如果出现:Account active 是yes,而且最后第三行Local group Memberships 中有administrators,就说明现在你的机器的来宾账号被人家恶意提权到了管理员权限,“非常危险“。
装杀软,查毒。
不放心的可以重装system。
二.查看可疑进程。
怎么看?简单,就一个个看,一般很弱智的木马或病毒会伪装成非常容易识别的样子,比如1.exe、(一看就是木马)2.exe 、(一看就是木马)winLogom.exe 、(windows正常的应该是winlogon.exe)exploier.exe (windows正常的是explorer.exe)等等。
因为很少有人没事会去看进程,像我这种每天检查进程的比较少。
如果觉得吃不准,可以看这个进程旁边的用户名,没有用户名的比较危险,多看看。
如果看到2个很像的,可以试试关掉一个,一般系统进程如果你关掉,它自己会再启动。
病毒或木马并不会。
查出可疑进程,95%中招了。
装杀软,查杀!!!,推荐一键ghost恢复system.三.查看可疑系统服务按住键盘win键+R键,调出运行,输入命令services.msc我是英文系统,抱歉。
查看几个重点服务(1)。
Telnet服务原因:telnet服务win7系统默认是关闭的,没有开启,如果看到telnet服务是自动开启状态,中招了。
中的很大招。
telnet服务很危险很危险。
解决:先右键停止服务,改成禁用状态,打开控制面板—》程序与功能(就是删除软件的那个)—》左边有个”打开或关闭windows功能“确保“telnet服务“和”telnet客户端”2个前面勾被去掉,然后确定,等待windows完成配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
查木马的简单方法
当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。
例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。
那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
以下是详细方法介绍。
1.Windows本身自带的netstat命令
关于netstat命令,我们先来看看windows帮助文件中的介绍:
Netstat
显示协议统计和当前的TCP/IP 网络连接。
该命令只有在安装了TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
参数
-a
显示所有连接和侦听端口。
服务器连接通常不显示。
-e
显示以太网统计。
该参数可以与-s 选项结合使用。
-n
以数字格式显示地址和端口号(而不是尝试查找名称)。
-s
显示每个协议的统计。
默认情况下,显示TCP、UDP、ICMP 和IP 的统计。
-p 选项可以用来指定默认的子集。
-p protocol
显示由protocol 指定的协议的连接;protocol 可以是tcp 或udp。
如果与-s 选项一同使用显示每个协议的统计,protocol 可以是tcp、udp、icmp 或ip。
-r
显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停interval 秒。
按CTRL+B 停止重新显示统计。
如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。
现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。
进入到命令行下,使用netstat命令的a和n两个参数:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address 是本地计算机的IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。
看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
2.工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。
在命令行下使用,请看例子:
D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
是不是一目了然了。
这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。
如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!
Fport的最新版本是2.0。
在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:/knowledge/zips/fport.zip
3.与Fport功能类似的图形化界面工具Active Ports
Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。
下面是软件截图:
是不是很直观?更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。
这个软件工作在Windows NT/2000/XP平台下。
你可以在http://www.smartline.ru/software/aports.zip得到它。
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。
上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。
但是对木马重在防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。
所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件。