菜鸟查找清除线程插入式木马程序

楼主^#

更多发布于：2011-11-11 13:08

[] 1


	如何查找肃清线程插入式木马程序　　一、经过自动运转机制查木马　　一说到查找木马，许多人马上就会想到经过木马的启动项来寻觅“千丝万缕”，详细的中央普通有以下几处: 　　1)注册表启动项　　在“开端/运转”中输入“regedit.exe”翻开注册表编辑器，依次展开[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion]，查看下面一切以Run开头的项，其下能否有新增的和可疑的键值，也能够经过键值所指向的文件途径来判别，是新装置的软件还是木马程序。　　另外[HKEY_LOCAL_MACHINESoftwareclassesexefileshellopencommand]键值也可能用来加载木马，比方把键值修正为“X:windowssystemABC.exe %1%”。　　2)系统效劳　　有些木马是经过添加效劳项来完成自启动的，大家能够翻开注册表编辑器，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]下查看的可疑主键。　　然后禁用或删除木马添加的效劳项:在“运转”中输入“Services.msc”翻开效劳设置窗口，里面显现了系统中一切的效劳项及其状态、启动类型和登录性质等信息。找到木马所启动的效劳，双击翻开它，把启动类型改为“已禁用”，肯定后退出。也能够经过注册表停止修正，依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices效劳显现称号”键，在右边窗格中找到二进制值“Start”，修正它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平常能够经过注册表导出功用，备份这些键值以便随时对照。　　3)开端菜单启动组　　如今的木马大多不再经过启动菜单停止随机启动，但是也不可漫不经心。假如发如今“开端/程序/启动”中有新增的项，能够右击它选择“查找目的”到文件的目录下查看一下，假如文件途径为系统目录就要多加当心了。也能够在注册表中直接查看，它的位置为[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders]，键名为Startup。　　4)系统INI文件Win.ini和System.ini 　　系统INI文件Win.ini和System.ini里也是木马喜欢荫蔽的场所。选择“开端/运转”，输入“msconfig”调出系统配置适用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，普通状况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要停止检查。　　5)批处置文件　　假如你运用的是Win9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处置文件也要看一下，里面的命令普通由装置的软件自动生成，在系统默许会将它们自动加载。在批处置文件语句前加上“echo off”，启动时就只显现命令的执行结果，而不显现命令的自身;假如再在前面加一个“@”字符就不会呈现任何提示，以前的很多木马都经过此办法运转。　　二、经过文件比照查木马　　最近新呈现的一种木马。它的主程序胜利加载后，会将本身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户能否在停止关机和重启等操作，假如有，它就在系统关闭之前重新创立病毒文件和注册表启动项。下面的几招能够让它现出原形(下面均以Win XP系统为例): 　　1)对照备份的常用进程　　大家平常能够先备份一份进程列表，以便随时停止比照查找可疑进程。办法如下:开机后在停止其他操作之前即开端备份，这样能够避免其他程序加载进程。在运转中输入“cmd”，然后输入“tasklist /svc >X:processlist.txt”(提示:不包括引号，参数前要留空格，后面为文件保管途径)回车。这个命令能够显现应用程序和本地或远程系统上运转的相关任务/进程的列表。输入“tasklist /?”能够显现该命令的其它参数。　　2)对照备份的系统DLL文件列表　　关于没有独立进程的DLL木马怎样办吗?既然木马打的是DLL文件的主见，我们能够从这些文件下手，普通系统DLL文件都保管在system32文件夹下，我们能够对该目录下的DLL文件名等信息作一个列表，翻开命令行窗口，应用CD命令进入system32目录，然后输入“dir *.dll>X:listdll.txt”敲回车，这样一切的DLL文件名都被记载到listdll.txt文件中。日后假如疑心有木马侵入，能够再应用上面的办法备份一份文件列表“listdll2.txt”，然后应用“UltraEdit”等文本编辑工具停止比照;或者在命令行窗口进入文件保管目录，输入“fc listdll.txt listdll2.txt”，这样就能够轻松发现那些发作更改和新增的DLL文件，进而判别能否为木马文件。　　3)对照已加载模块　　频繁装置软件会使system32目录中的文件发作较大变化，这时能够应用对照已加载模块的办法来减少查找范围。在“开端/运转”中输入“msinfo32.exe”翻开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需求时再备份一个停止比照即可。　　4)查看可疑端口　　一切的木马只需停止衔接，接纳/发送数据则必然会翻开端口，DLL木马也不例外，这里我们运用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显现出显现一切的衔接和侦听端口。Proto是指衔接运用的协议称号，Local Address是本地计算机的IP地址和衔接正在运用的端口号，Foreign Address是衔接该端口的远程计算机的IP地址和端口号，State则是标明TCP衔接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数，运用这个参数就能够把端口与进程对应起来。输入“netstat /?”能够显现该命令的其它参数。　　接着我们能够经过剖析所翻开的端口，将范围减少到详细的进程上，然后运用进程剖析软件，例如“Windows优化巨匠”目录下的WinProcess.exe程序，来查找嵌入其中的木马程序。有些木马会经过端口劫持或者端口重用的办法来停止通讯的，普通它们会选择139、80等常用端口，所以大家剖析时要多加留意。也能够应用网络嗅探软件(如:Commview)来理解翻开的端口到底在传输些什么数据。