首页 | 资讯中心 | 软件分类 | 最近更新 | 推荐软件 | 热门软件 | 国产软件 | 国外软件 | 文学原创 | 武侠商城 | 会员登陆 | 社区BBS
设为主页
收藏本站
联系我们
| 游戏娱乐 | 网络教程 | 软硬资讯 | IT职场 | 影视资讯 |
搜索东东:   高级搜索 | 发布软件 | 商业合作 | 郑重声明 | 留言本
当前位置:月亮精品影视软件下载网文章首页网络教程安全防护→木马查杀防范秘技红宝书
木马查杀防范秘技红宝书
作者:不详  来源于:转自163科技频道  发布时间:2005-11-23 18:25:34
例如图9中本机打开了TCP 135和2513两个端口,这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口,一般不要通过停止RPC服务来关闭,因为如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也关机了。冲击波病毒利用的就是135端口,为了防范黑客利用该端口攻击,建议你使用第三方防火墙,设置外界不能连接本机的135端口,这样来堵住135端口。

  另外,图9中TCP 2513端口是灰鸽子(GrayPigeon.exe)打开的,这里有个常识请你记住,如果你发现TCP协议的linsten在1025端口以上,则可能是木马,你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听,采用主动连接方式(非反弹连接),等待远方电脑的连接,可以断定这是非法连接。

  此时你应该右击该连接,选择连接属性,记录下执行文件GrayPigeon.exe的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。
  四、检查与启动相关的文件

  (1)检查启动组

  启动组是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动",你应该检查这些地方。

  (2)检查Autoexec.bat、Config.sys和Winstart.bat

  Autoexec.bat和Config.sys都位于C盘根目录下,在它们中也可以加载木马程序,但这并不多见,你不能掉以轻心,最好检查一下。

  Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。

  (3)检查Win.ini和System.ini

  Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!

  System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。

  五、检查系统目录中文件

  木马也可能藏在系统目录中。启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。

  六、在注册表中检查

  单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。

  (1)检查自启动项

  查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。

  此外,使用组策略也能让木马在系统登录时自动启动(方法如下),该方法添加的自启动程序也被记录在注册表中,但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马,在上面的注册表项中又找不到它,建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项,或是进入“组策略”的“在用户登录时运行这些程序”,看看其中有无启动的程序。

  组策略添加自启动木马程序的方法:在“开始→运行”中执行“Gpedit.msc”打开“组策略”,展开“本地计算机策略→用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项,选定“设置”项中的“已启用”项,单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中,输入要自启动的木马程序路径即可。

  (2)检查文件关联是否被修改

  国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]  下一页
[] [返回上一页] [告诉好友] [发表评论] [打 印] [ 字体: ]
上篇文章:《儿时的记忆·中国动画卡通影视简史》 
下篇文章:XP注册表提升网速
∷相关文章∷
∷相关软件∷
  关于本站 - 下载声明 - 软件发布 - 下载帮助 - 广告联系 - 友情连接 - 用户注册 <# 一切精彩软件尽在月亮下载 #>  

月亮武侠文学网版权所有 Copyright © 2003-2005 www.moodmoon.com. All Rights Reserved .
不论在与不在,点击这里给我发消息2656497(广告事务) 不论在与不在,请点击这里给我发消息2656497(购碟事务)
月亮武侠影视QQ群:8527031 鄂ICP备05003179 月亮武侠灌水QQ群:6668715