注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

功夫茶+咖啡

世界没有完美,但努力可以接近完美

 
 
 

日志

 
 

手工查杀未知木马  

2007-12-06 11:53:03|  分类: My Diary |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
一、进程查找  

木马的运行会生成系统进程,虽然现在也有一些技术使木马进程不显示在进程管理器中,不过绝大多数的木马在运行期间都会在系统中生成进程。对于WindowsXP来说,可以通过“开始”→“程序”→“附件”→“系统工具”→“系统信息”→“软件环境”→“正在运行的任务”详细查看当前正在运行的进程。  

二、启动查找  

为使木马运行,大部分木马都把自己登记在开机启动的程序当中。当然也有少数木马与特定的文件捆绑,只有捆绑的文件运行时它才随之运行。  

1.检查“开始”→“程序”→“启动”中是否有奇怪的启动文件。  

2.在“开始”→“运行”,在弹出的对话框中输入:regedit打开注册表编辑器。检查注册表的启动项。  
检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下面的Run、RunOnce、RunOnceEx、RunServices、RunSevicesOnce五个分支以及HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\下面的Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce五个启动项里是否有可疑的程序。  

3.检查注册表的文件关联。检查HKEY_CLASSES_ROOT\exefile\shell\open\command项是否有exe文件关联型木马程序;正确的值该是:"%1" %*。  
检查HKEY_CLASSES_ROOT\inffile\shell\open\command项是否有inf文件关联型木马程序;  
正确的值该是:%SystemRoot%\system32\NOTEPAD.EXE %1  
检查HKEY_CLASSES_ROOT\inifile\shell\open\command项是否有ini文件关联型木马程序;  
正确的值该是:%SystemRoot%\system32\NOTEPAD.EXE %1  
检查HKEY_CLASSES_ROOT\txtfile\shell\open\command项是否有txt文件关联型木马程序。  
正确的值该是:%SystemRoot%\system32\NOTEPAD.EXE %1  

4.检查ini文件。在Win.ini和system.ini中启动的木马比较容易查找,只要使用记事本打开这两个文件,查看“run=”、“load=”及“shell=Explorer.exe”后面所加载的程序,正常情况下前面两者均为空,而后者Explorer.exe后面也不会带任何程序。如果有另外的程序,那就可能是木马了。 
  评论这张
 
阅读(47)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017