佛教社-地藏论坛

 找回密码
 现在注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

地藏论坛规则与公告
地藏论坛微信微博
佛教乾隆大藏经
地藏论坛全文搜索
查看: 3906|回复: 18

查杀木马后门的几个步骤

[复制链接]

5853

帖子

7179

积分

0

精华

版主

以戒为师

Medal No.1

发表于 2011-8-1 09:10 | 显示全部楼层 |阅读模式
一、检查系统进程

  进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。大多数木马运行时,并没有隐藏其进程。所以,通过pslist.exe列出进程列表,可以揪出可疑进程。注意:检查进程时要格外细心,比如“Explorer”是真正的系统进程,而“Exp1orer”就是木马了。前者是字母“l”,后者是数字“1”;或者把其中的“o”改为数字“0”,两者仅仅一字之差,这是木马的瞒天过海之计。

  首先在开始-->运行里输入“cmd”然后回车,打开命令提示符。运行tasklist.exe,就可以看到当前系统正在运行的进程了。不过并没有发现可疑进程,看来这只马已经把进程隐藏了。当然如果你发现了可疑进程,可用taskkill.exe结束进程。

二、检查注册表启动项

  大部分木马都会在注册表的启动项中添加注册表项,以便于可以开机后随系统启动。这里,IceSword要派上用场了。IceSword是一斩断黑手的利刃,它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手。打开IceSword,在左侧的“查看”选项卡里,点击“启动组”,则你的系统里有哪些程序是随系统启动的一目了然。在电脑里,发现了C:\WINNT\System32\Ps.exe被加载到启动项,显然这个程序以前没见过。

评分

参与人数 1经验 +2 收起 理由
xiaomi88 + 2 解疑释惑

查看全部评分

5853

帖子

7179

积分

0

精华

版主

以戒为师

Medal No.1

 楼主| 发表于 2011-8-1 09:10 | 显示全部楼层
一、检查系统进程
  进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。大多数木马运行时,并没有隐藏其进程。所以,通过pslist.exe列出进程列表,可以揪出可疑进程。注意:检查进程时要格外细心,比如“Explorer”是真正的系统进程,而“Exp1orer”就是木马了。前者是字母“l”,后者是数字“1”;或者把其中的“o”改为数字“0”,两者仅仅一字之差,这是木马的瞒天过海之计。
  首先在开始-->运行里输入“cmd”然后回车,打开命令提示符。运行tasklist.exe,就可以看到当前系统正在运行的进程了。不过并没有发现可疑进程,看来这只马已经把进程隐藏了。当然如果你发现了可疑进程,可用taskkill.exe结束进程。

二、检查注册表启动项

  大部分木马都会在注册表的启动项中添加注册表项,以便于可以开机后随系统启动。这里,IceSword要派上用场了。IceSword是一斩断黑手的利刃,它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手。打开IceSword,在左侧的“查看”选项卡里,点击“启动组”,则你的系统里有哪些程序是随系统启动的一目了然。在电脑里,发现了C:\WINNT\System32\Ps.exe被加载到启动项,显然这个程序以前没见过。

三、检测开放端口


  通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。一般木马和后门程序,都会在在系统中开放某个端口并初于监听状态,以便为骇客随时可以再次控制你的系统打开方便之门。现在有很多木马采用反向连接技术,即不在系统开放端口,而是主动连接骇客事先设置好的IP地址。这样便可以轻松穿透防火墙。而我的电脑现在正对外连接IP为192.168.136.1的4141端口,这里面肯定有问题!可以初步断定,该木马有反向连接功能。

四、妙用搜索

  当我们创建或访问过一个程序时,它的最后修改时间和最后访问时间是会随之变化的。那么,我们就可以通过系统自带的搜索功能,搜索出最接电脑近出现不正常现象的时间里,系统都创建了哪些文件或者修改过哪些文件。在文件夹的工具栏中,点击搜索;在“要搜索的文件或文件夹名为”和“包含文件”两栏不要填任何关键字;“搜索选项”里,选择“日期”,由于我的电脑是3月6号电脑开始不正常的,所以我搜索介于2005-3-5和2005-3-6之间,点“立即搜索”,结果出来了。其中有个Ps.exe是刚创建的,而且前面已经知道了该程序随系统启动。可以肯定这个就是木马程序了,立刻删除!然后再把启动项里的相关注册表项也一并删掉,到这里问题就已经解决了,电脑恢复正常。

5853

帖子

7179

积分

0

精华

版主

以戒为师

Medal No.1

 楼主| 发表于 2011-8-1 09:10 | 显示全部楼层
总结

很多人以为装了杀毒软件,开了防火墙,打了所有的系统补丁就算安全了,就坚不可摧了。其实网络安全更重要的是要有安全意识。
当别人发邮件给你,不要轻易去打开附件。
不要随便打开别人发给你的网址,
不要随便接收别人发给你的文件。

最后,一定要勤打补丁和勤升级杀毒软件。

评分

参与人数 1经验 +30 收起 理由
无尽意一 + 30 有益讨论

查看全部评分

4472

帖子

4631

积分

0

精华

善戒同修

发表于 2011-8-1 11:29 | 显示全部楼层

3873

帖子

4680

积分

1

精华

善戒同修

发表于 2011-8-2 06:29 | 显示全部楼层
南无地藏菩萨

1160

帖子

1236

积分

0

精华

和敬同修

发表于 2011-8-5 16:17 | 显示全部楼层
引用
原帖由 lingan 于 2011-8-1 09:10 发表
总结

很多人以为装了杀毒软件,开了防火墙,打了所有的系统补丁就算安全了,就坚不可摧了。其实网络安全更重要的是要有安全意识。
当别人发邮件给你,不要轻易去打开附件。
不要随便打开别人发给你的网址,
不 ...


2万

帖子

4万

积分

1

精华

圆觉同修

发表于 2011-8-5 16:49 | 显示全部楼层
呵呵,俺不会········;P

136

帖子

154

积分

0

精华

亲近同修

QQ
发表于 2014-3-30 20:38 | 显示全部楼层
金刚杵莲花部来自《秘密相经》,搜索佛教大藏经

2245

帖子

2260

积分

0

精华

六和敬同修

发表于 2014-4-5 05:43 | 显示全部楼层
南无阿弥陀佛 南无阿弥陀佛 南无阿弥陀佛
南无阿弥陀佛 南无阿弥陀佛 南无阿弥陀佛
南无阿弥陀佛 南无阿弥陀佛 南无阿弥陀佛

1875

帖子

1913

积分

0

精华

和敬同修

发表于 2014-4-12 09:14 | 显示全部楼层
南无本师释迦牟尼佛
南无阿弥陀佛
南无药师佛

2275

帖子

2290

积分

0

精华

六和敬同修

发表于 2014-4-21 00:33 | 显示全部楼层
南无阿弥陀佛
南无大悲观世音菩萨
南无大愿地藏王菩萨

840

帖子

893

积分

0

精华

常亲近同修

细问檀香

发表于 2014-4-27 00:30 | 显示全部楼层
南无观自在菩萨

3676

帖子

3868

积分

0

精华

善戒同修

发表于 2014-4-27 16:20 | 显示全部楼层
南无本师释迦牟尼佛

2977

帖子

3150

积分

0

精华

六和敬同修

发表于 2014-5-3 07:44 | 显示全部楼层
南无药师琉璃光如来
南无药师琉璃光如来
南无药师琉璃光如来

3952

帖子

5317

积分

0

精华

善戒同修

发表于 2014-5-8 08:32 | 显示全部楼层
南无普贤菩萨南无普贤菩萨南无普贤菩萨

4881

帖子

7154

积分

0

精华

善定同修

发表于 2014-5-15 06:33 | 显示全部楼层
南无药师琉璃光如来
南无药师琉璃光如来
南无药师琉璃光如来

3593

帖子

3657

积分

0

精华

善戒同修

发表于 2014-5-20 09:59 | 显示全部楼层
南无佛南无法南无僧

3358

帖子

4914

积分

0

精华

善戒同修

发表于 2014-5-26 00:08 | 显示全部楼层
南无弥勒菩萨 南无弥勒菩萨 南无弥勒菩萨
您需要登录后才可以回帖 登录 | 现在注册

本版积分规则

手机版|Archiver|地藏论坛 ( 京ICP备13032921号 )

GMT+8, 2017-1-22 07:45 , Processed in 0.093197 second(s), 30 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表