计算机病毒与防护 4 3木马防范技术

计算机病毒与防治 计算机病毒与防治课程小组 4 3木马防范技术 木马防治 堵 木马防治 查 木马防治 杀 4 3木马防范技术 计算机病毒与防治课程小组 木马防治 防 木马防治 查 计算机病毒与防治课程小组 1 检查系统进程大部分木马运行后会显示在进程管理器中 所以对系统进程列表进行分析和过滤 可以发现可疑程序 特别是利用与正常进程的CPU资源占用率和句柄数的比较 发现异常现象 但是有些进程是系统运行的进程 这些进程不能结束 木马防治 查 计算机病毒与防治课程小组 2 检查注册表 ini文件和服务木马为了能够在开机后自动运行 往往在注册表如下选项中添加注册表项 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnce HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceEx HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServices HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesOnce 木马防治 查 计算机病毒与防治课程小组 图3 2注册表信息 木马防治 查 计算机病毒与防治课程小组 远程控制型木马以及输出Shell型的木马 大都会在系统中监听某个端口 接收从控制端发来的命令 并执行 通过检查系统上开启的一些 奇怪 的端口 从而发现木马的踪迹 在命令行中输入Netstatna 可以清楚地看到系统打开的端口和连接 也可从下载Fport软件 运行该软件后 可以知道打开端口的进程名 进程号和程序的路径 这样为查找 木马 提供了方便之门 木马防治 查 计算机病毒与防治课程小组 图3 3查看端口 木马防治 堵 计算机病毒与防治课程小组 查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一 我们可以通过点击 开始 运行 cmd 然后输入 netstart 来查看系统中究竟有什么服务在开启 如果发现了不是自己开放的服务 我们可以进入 服务 管理工具中的 服务 找到相应的服务 停止并禁用它 木马防治 堵 计算机病毒与防治课程小组 由于注册表对于普通用户来说比较复杂 木马常常喜欢隐藏在这里 检查注册表启动项的方法如下 点击 开始 运行 regedit 然后检查HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion下所有以 run 开头的键值 HKEY CURRENT USER Software Microsoft Windows CurrentVersion下所有以 run 开头的键值 HKEY USERS Default Software Microsoft Windows CurrentVersion下所有以 run 开头的键值 Windows安装目录下的System ini也是木马喜欢隐蔽的地方 打开这个文件看看 在该文件的 boot 字段中 是不是有shell Explorer exefile exe这样的内容 如有这样的内容 那这里的file exe就是木马程序了 木马防治 堵 计算机病毒与防治课程小组 木马防治 堵 计算机病毒与防治课程小组 点击 开始 运行 cmd 然后在命令行下输入netuser 查看计算机上有些什么用户 然后再使用 netuser用户名 查看这个用户是属于什么权限的 一般除了Administrator是administrators组的 其他都不应该属于administrators组 如果你发现一个系统内置的用户是属于administrators组的 那几乎可以肯定你被入侵了 快使用 netuser用户名 del 来删掉这个用户吧 木马防治 杀 计算机病毒与防治课程小组 1 关掉木马进程2 检查注册表中RUN RUNSERVEICE等几项 先备份 记下可以启动项的地址 再将可疑的删除 3 删除上述可疑键在硬盘中的执行文件 4 一般这种文件都在WINNT SYSTEM SYSTEM32这样的文件夹下 他们一般不会单独存在 很可能是有某个母文件复制过来的 检查C D E等盘下有没有可疑的 exe com或 bat文件 有则删除之 5 检查注册表HKEY LOCAL MACHINE和HKEY CURRENT USER SOFTWARE Microsoft InternetExplorer Main 中的几项 如果被修改了 改回来就可以 6 检查HKEY CLASSES ROOT txtfile shell open command和HKEY CLASSES ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改 这个一定要改回来 很多病毒就是通过修改 txt文件的默认打开程序让病毒在用户打开文本文件时加载的 木马防治 防 计算机病毒与防治课程小组 1 运行反木马实时监控程序2 不要执行任何来历不明的软件3 不要轻易打开不熟悉的邮件4 不要轻信他人5 不要随意下载软件6 将Windows资源管理器配置成始终显示扩展名7 尽量少用共享文件夹8 隐藏IP地址 ThankYou