下载文档原格式
查出木马的一些方法只有Array想不到的在使用目前常见的木马查杀软件及杀软件的同时,系统自带的一些基本命令也可以发现木马病毒:一、检测网络连接如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。
但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
三、轻松检查账户很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。
他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。
网络时代安全问题相当重要,木马却威胁我们的计算机。
不要以为我们安装了反病毒软件后就可以高枕无忧了。
网上仍有很多木马程序,它们仍会危及我们的系统安全。
今天给大家介绍其款优秀的反木马软件,帮你远离木马的袭击。
小知识:什么是木马程序?与病毒和恶意代码不同的是,木马程序(Trojan horses)隐蔽性很强,你根本不知道它们在运行。
但是它们产生的危害并不亚于病毒。
一旦你的机器中了木马,则网上有人可以通过它来获取你的密码和一些资料。
甚至一些高级的黑客可以远程控制你的电脑。
一般的木马检测和清除程序可以很容易地检测出你机器里的木马,而且由于木马程序每天都会出现新的种类,所以一般的木马程序都会提供即时在线更新服务,以便让它能够即时检测出系统中的木马。
一般的木马保存在注册表中或者会开放我们机器上的一些端口,木马查杀软件会自动清除检测并查杀。
1.Trojan DefenseAnti-Trojan 5.5是一款扫描我们TCP/IP端口,文件和注册表的木马查杀工具。
端口检测功能会检查出我们机器上的可疑开放端口,以防止被黑客攻击。
进程查看工具则可以列出Windows中当前所有的进程,从中可以断定哪一个是可疑的木马。
而注册表检查功能使用起来速度非常快,从中可以检测出哪些自启动的程序。
Anti-Trojan可以免费上网升级,而且有10种语言版本。
2.Antiy Ghostbusters Pro 5.05Antiy Ghostbusters Pro 5.05 有一个朴素但却非常有个性的界面。
它会列出我们机器里所有运行的程序和进程,我们甚至可以通过它来管理我们的自启动程序、进程甚至是某些服务。
Ghostbusters会有一个窗口,显示远程连接端口情况和IP地址,当然,Ghostbusters也可以扫描和清除系统中的木马程序。
3.Digital Patrol 5.00.31Digital Patrol是一款非常成熟的木马查杀程序,它能够扫描内存、硬盘、文件夹和文件(包括包含在ZIP压缩包中的文件),并能够清除其中的木马程序。
电脑系统恶意软件的查与防护电脑系统恶意软件的查与防护一直是用户关注的重要问题。
恶意软件,即恶意代码,指那些通过非法渠道进入计算机系统,带来安全隐患的程序。
本文将从查杀恶意软件的方法以及有效的防护措施两个方面进行探讨,并介绍常见的恶意软件。
一、查杀恶意软件的方法1. 使用安全软件安全软件是查杀恶意软件的利器,如知名的安全软件网卫士、金山毒霸等。
这些软件可以实时监测系统,对潜在的恶意软件进行快速识别和隔离,确保计算机系统的安全。
2. 更新操作系统和软件及时更新操作系统和软件是防止恶意软件入侵的重要措施。
厂商会定期发布补丁程序,修复系统和软件的安全漏洞,建议用户保持操作系统和软件的更新。
3. 谨慎下载和安装软件下载和安装软件是电脑感染恶意软件的主要渠道之一。
用户应该选择可信的下载站点,避免下载未知来源的软件。
安装软件时,要仔细阅读软件许可协议,选择高度可靠的源。
4. 警惕电子邮件附件和链接恶意软件经常通过电子邮件的附件和链接进行传播。
用户在查看邮件时,要特别警惕陌生发件人的邮件附件和链接,避免点击和下载其中的内容,以防感染恶意软件。
二、有效的防护措施1. 定期备份数据定期备份数据是防止恶意软件对电脑系统和个人文件造成损失的重要手段。
用户可以借助云存储服务或外部硬盘,将重要的数据进行备份,以防电脑系统被感染后无法恢复。
2. 使用强密码强密码是保护计算机系统安全的基础,用户应该设置包含字母、数字和特殊字符的复杂密码,并定期更换密码。
这样可以防止恶意软件通过暴力破解密码的方式进行入侵。
3. 高度警惕社交工程攻击恶意软件的传播途径不仅仅限于电子邮件附件和链接,也包括社交工程攻击,如伪装成熟悉的网站或应用程序进行诱骗。
用户应该保持高度警惕,避免点击未知来源的链接,尤其是涉及个人信息和金融数据的敏感操作。
常见的恶意软件1. 病毒病毒是一种通过植入到正常程序中进行传播和破坏的恶意软件。
它可以在计算机系统中复制自身,并传播到其他计算机上,造成系统崩溃、数据损坏等严重后果。
教你识别危险进程一般电脑中都有20-33个进程在后台运行着。
有的占用了太多的系统资源,造成机器运行缓慢。
更为不幸的是,一些进程是间谍软件和木马,如此你的隐私和机器的控制权会被黑客所掌控。
不安全风险进程A180ax.exe是注册为TROJ.ISTZONE.H的下载器。
这个进程通常与其它病毒捆绑,用于下载其它病毒到您的电脑上。
a.exeW32.Ahlem.A@mm蠕虫程序,通过电子邮件传播感染到您的电脑上。
actalert.exe一个广告软件程序。
这个进程监视您的浏览习惯,并将相关数据回传到其服务器上用于分析。
这个程序也会弹出广告窗口。
adaware.exe一个快速扩散寄生病毒。
这个程序会不断的复制自身到新的目录当中。
Alchem.exe一个来自ClickAlchemy 的广告程序。
这个进程监视您的浏览习惯,并将相关数据回传到其服务器上用于分析。
这个程序也会弹出广告窗口。
alevir.exe该进程对于存在共享的网络具有非常大的风险。
aqadcup.exeBackdoor.Agent.bg蠕虫。
这个病毒通过发送Email在网络上传播,当您打开病毒发送的附件时,就会被感染,它会在您的机器上建立一个SMTP服务用以发送邮件。
archive.exe该进程会挟持您的Internet Explorer浏览器的设定,并在桌面上建立连接为了它的合作伙伴。
这个程序通常有安装协议,与它们软件进行捆绑。
arr.exe一个拨号器,会访问拨打收费非常高的号码,用以访问色情网站。
这个程序在网络上,通过误导用户同意许可来进行安装。
ARUpdate.exe一个来自Adroar的间谍软件。
这个进程监视您的浏览习惯,并将相关数据回传到其服务器上用于分析。
这个程序也会弹出广告窗口。
asm.exe一个广告程序。
这个进程监视您的浏览习惯,并将相关数据回传到其服务器上用于分析。
这个程序也会弹出广告窗口。
av.exeW32/Alphx.worm蠕虫病毒。
六招教你检测是否中病毒木马介绍六招教你检测病毒木马介绍:六招教你检测病毒木马一、进程首先排查的就是进程了,方法简单,开机后,什么都不要启动!第一步:直接打开任务管理器计算机爱好者,学习计算机基础,电脑入门,请到本站PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!第二步:打开冰刃等软件,先查看有没有隐藏进程冰刃中以红色标出,然后查看系统进程的路径是否正确。
PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。
第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。
PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。
六招教你检测病毒木马二、自启动项目进程排查完毕,如果没有发现异常,则开始排查启动项。
第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有 Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常可以凭经验识别,也可以利用搜索引擎。
PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。
第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。
第三步,用Autoruns等,查看更详细的启动项信息包括服务、驱动和自启动项、IEBHO等信息。
PS:这个需要有一定的经验。
六招教你检测病毒木马三、网络连接ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。
然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到相关网站查询,对应的进程和端口等信息可以到Google或百度查询。
电脑中的木马病毒如何彻底查杀在用电脑的过程中,经常会遇到一些木马病毒,那么我们要如何彻底的清楚这些木马呢?下面由小编为大家搜集的电脑中的木马病毒如何彻底查杀,希望对大家有用!一、文件捆绑检测将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。
程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必须请出“FearlessBoundFileDetector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“CleanFile”按钮,在*出*告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL*入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。
因此清除的步骤也相对复杂一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在*出的菜单中选择“模块信息”,在*出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。
对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
通过查看可疑会话可以确认是否中了木马。
某单位的服务器最近出现异常,网络管理员感觉有人在操作他的服务器,于是他怀疑服务器中了木马。
他想查看一下服务器是否中了木马,如何确认呢?只要你的计算机中了木马,木马程序会自动运行,或者作为你的计算机上的一个服务,或者是开机就自动运行,然后就在后台偷偷地和远程的客户端连接。
攻击者就可以看到哪些中了木马的计算机在运行,便可以操作中了木马的计算机。
如果计算机中了木马,木马程序会自动和外网的客户端建立连接,我们可以通过查看计算机的对外连接来确认是否中了木马。
这位网管可以如下这样做。
首先需要登录计算机,但不访问任何网络资源,并且保证Windows没有在后台更新系统,杀毒软件也没有更新病毒库(因为这些活动也会建立会话,干扰你查找木马)。
如图1所示,运行netstat -nob 查看有没有到Internet上的连接,可以看到源端口和目标端口,源地址和目标地址,以及建立会话的进程或程序。
图1 通过netstat -nob查看连接之后主要查看与外网地址连接的会话,如果有连接,那可能就是木马程序,即可看到进程号和该进程号对应的程序。
补充知识还有一种方法查找木马,就是使用微软自带的系统配置工具msconfig。
木马一般会在操作的电脑上伪装成服务,或将自己放置在自动启动项,我们可以检查服务和自动启动项,查找可疑服务或程序。
(1)选择"开始"→"运行"命令,打开"运行"对话框,输入msconfig,单击"确定"按钮,打开"系统配置实用程序"对话框。
(2)如图2所示,切换到"服务"选项卡,选中"隐藏所有Microsoft服务"复选框,查看是否有可疑的服务。
图2 隐藏所有Microsoft服务(3)如图3所示,切换到"启动"选项卡,查看有没有可疑的自动启动项。
检测和删除系统中的木马(Trojan Horse)教程一、木马(Trojan Horse)介绍木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan)。
此词语来源于古希腊的神话故事,传说希腊人围攻特洛伊城,久久不能得手。
后来想出了一个木马计,让士兵藏匿于巨大的木马中。
大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。
木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。
在一定程度上,木马也可以称为是计算机病毒。
由于很多用户对计算机安全问题了解不多,所以并不知道自己的计算机是否中了木马或者如何删除木马。
虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒,但它们并不能防范新出现的木马病毒(哪怕宣传上称有查杀未知病毒的功能)。
而且实际的使用效果也并不理想。
比如用某些杀毒软件卸载木马后,系统不能正常工作,或根本发现不了经过特殊处理的木马程序。
本人就测试过一些经编程人员改装过的著名木马程序,新的查杀毒软件是连检查都检测不到,更不用说要删除它了(哪怕是使用的是的病毒库)。
因此最关键的还是要知道特洛伊木马的工作原理,由其原理着手自己来检测木马和删除木马。
用手工的方法极易发现系统中藏匿的特洛伊木马,再根据其藏匿的方式对其进行删除。
二、木马工作的原理在Windows系统中,木马一般作为一个网络服务程序在种了木马的机器后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。
当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。
既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把 Form的Visible属性调整为False,ShowInTaskBar也设为False。
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。
但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务治理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winLOGOn.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。
对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。
通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。
又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就轻易搞混,再出现个iexplorer.exe就更加混乱了。
假如用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
假如用户比较心细,那么上面这招就没用了,病毒会被就地正法。
于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。
假如一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。
那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务治理器”无法查看进程对应可执行文件这一缺陷。
我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),假如病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务治理器”中看到的也是svchost.exe,和正常的系统进程无异。
你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。
所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,如卡卡助手中的功能,否则要想发现隐藏在其中的病毒是很困难的。
系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。
而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。
我们可以打开“控制面板”→“治理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。
再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。
正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
从进程中判断病毒和木马
文章出处:多特软件站更新时间:2010-07-07 人气:15 次
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。
假如svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程治理工具,例如Windows优化大师的进程治理功能,查看svchost.exe的可执行文件路径,假如在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。
explorer.exe就是我们经常会用到的“资源治理器”。
假如在“任务治理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务治理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。
explorer.exe进程的作用就是让我们治理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较轻易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。
知道作用后辨认起来应该就比较轻易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。
此外,有时我们会发现没有打开IE 浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:
1.病毒假冒iexplore.exe进程名。
2.病毒偷偷在后台通过iexplore.exe干坏事。
因此出现这种情况还是赶紧用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。
rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe 启动了多少个的DLL文件。
其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。
rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。
spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是治理所有本地和网络打印队列及控制所有打印工作。
假如此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。
假如你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。
停止并关闭服务后,假如系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候假如发现有可疑,只要根据两点来判定:1.仔细检查进程的文件名;2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
