怎么手工查殺木馬
我們有些時(shí)候會(huì)中一些很頑強(qiáng)的木馬病毒,很難刪除,基本上防火墻直接不能用了,到底是什么問(wèn)題呢?那你知道怎么手工查殺木馬嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于怎么手工查殺木馬的相關(guān)資料,供你參考。
手工查殺木馬一、關(guān)于木馬
木馬,其實(shí)質(zhì)只是一個(gè)網(wǎng)絡(luò)客戶/服務(wù)程序。網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器),另一臺(tái)主機(jī)接受服務(wù)(客戶機(jī))。作為服務(wù)器的主機(jī)一般會(huì)打開一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽(tīng) (Listen), 如果有客戶機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求(Connect Request), 服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行,來(lái)應(yīng)答客戶機(jī)的請(qǐng)求,這個(gè)程序稱為守護(hù)進(jìn)程。就我們前面所講的木馬來(lái)說(shuō),被控制端相當(dāng)于一臺(tái)服務(wù)器,控制端則相當(dāng)于一臺(tái)客戶機(jī),被控制端為控制端提供服務(wù)。
手工查殺木馬二、發(fā)現(xiàn)木馬
由于木馬是基于遠(yuǎn)程控制的程序,因此中木馬的機(jī)器會(huì)開有特定的端口。一般一臺(tái)個(gè)人用的系統(tǒng)在開機(jī)后最多只有137、138、139三個(gè)端口。若上網(wǎng)沖浪會(huì)有其他端口,這是本機(jī)與網(wǎng)上主機(jī)通訊時(shí)打開的,IE一般會(huì)打開連續(xù)的端口:1025,1026,1027……,QQ會(huì)打開4000、4001……等端口。
在DOS命令行下用netstat -na命令可以看到本機(jī)所有打開的端口。如果發(fā)現(xiàn)除了以上所說(shuō)的端口外,還有其他端口被占用(特別是木馬常用端口被占用),那可要好好查查了,你很有可能“中彩”了!比方說(shuō)木馬“冰河”所占用的端口是7626,黑洞2001所占用的端口是2001,網(wǎng)絡(luò)公牛用的是234444端口……如果發(fā)現(xiàn)這些端口被占用了,基本上就可以判定: 你中木馬了!
手工查殺木馬三、查找木馬
首先要使你的系統(tǒng)能顯示隱藏文件,因?yàn)橐恍┠抉R文件屬性是隱藏的。
多數(shù)木馬都會(huì)把自身復(fù)制到系統(tǒng)目錄下并加入啟動(dòng)項(xiàng)(如果不復(fù)制到系統(tǒng)目錄下則很容易被發(fā)現(xiàn),不加入啟動(dòng)項(xiàng)在重啟后木馬就不執(zhí)行了),啟動(dòng)項(xiàng)一般都是加在注冊(cè)表中的,具體位置在:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”開頭的鍵值;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”開頭的鍵值;
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的鍵值。
如木馬冰河的啟動(dòng)鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\WINDOWS\SYSTEM\KERNEL32.EXE"
廣外女生1.51版的啟動(dòng)鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Diagnostic Configuration"="C:\WINDOWS\SYSTEM\DIAGCFG.EXE"
藍(lán)色火焰0.5的啟動(dòng)鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Network Services"="C:\WINDOWS\SYSTEM\tasksvc.exe"
不過(guò),也有一些木馬不在這些地方加載,它們躲在下面這些地方:
?、僭赪in.ini中啟動(dòng)
在Win.ini的[windows]字段中有啟動(dòng)命令“load=”和“run=”,在一般情況下“=”后面是空白的,如果有后跟程序,比方說(shuō)是這個(gè)樣子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,這個(gè)file.exe很可能是木馬。
?、谠赟ystem.ini中啟動(dòng)
System.ini位于Windows的安裝目錄下,其[boot]字段的shell=Explorer.exe 是木馬喜歡的隱蔽加載之所,木馬通常的做法是將該句變?yōu)檫@樣:shell=Explorer. exe window.exe,注意這里的window.exe就是木馬程序。
另外,在System.ini中的[386Enh]字段,要注意檢查在此段內(nèi)的“driver= 路徑\程序名”,這里也有可能被木馬所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]這三個(gè)字段,這些段也是起到加載驅(qū)動(dòng)程序的作用,但也是增添木馬程序的好場(chǎng)所。
?、墼贏utoexec.bat和Config.sys中加載運(yùn)行
但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后,將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行,而且采用這種方式不是很隱蔽,所以這種方法并不多見(jiàn),但也不能因此而掉以輕心哦。
④在Winstart.bat中啟動(dòng)
Winstart.bat是一個(gè)特殊性絲毫不亞于Autoexec.bat的批處理文件,也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成,在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動(dòng)程序之后開始執(zhí)行(這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行,危險(xiǎn)由此而來(lái)。
?、輪?dòng)組
木馬隱藏在啟動(dòng)組雖然不是十分隱蔽,但這里的確是自動(dòng)加載運(yùn)行的好場(chǎng)所,因此還是有木馬喜歡在這里駐留的。啟動(dòng)組對(duì)應(yīng)的文件夾為:C: \Windows\Start Menu\Programs\StartUp,在注冊(cè)表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
⑥*.INI
即應(yīng)用程序的啟動(dòng)配置文件,控制端利用這些文件能啟動(dòng)程序的特點(diǎn),將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋同名文件,這樣就可以達(dá)到啟動(dòng)木馬的目的了。
?、咝薷奈募P(guān)聯(lián)
修改文件關(guān)聯(lián)是木馬常用手段(主要是國(guó)產(chǎn)木馬,老外的木馬大都沒(méi)有這個(gè)功能),比方說(shuō)正常情況下txt文件的打開方式為Notepad.EXE文件,但一旦中了文件關(guān)聯(lián)木馬,則txt文件打開方式就會(huì)被修改為用木馬程序打開,如著名的國(guó)產(chǎn)木馬冰河就是這樣干的。“冰河”就是通過(guò)修改
HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C: \Windows\Notepad.exe %1”改為“C:\Windows\System\SYSEXPLR.EXE %1”,這樣一旦你雙擊一個(gè)txt文件,原本應(yīng)用Notepad打開該文件的,現(xiàn)在卻變成啟動(dòng)木馬程序了,好狠毒哦!請(qǐng)大家注意,不僅僅是txt文件,其他諸如HTM、EXE、ZIP、COM等都是木馬的目標(biāo)。對(duì)付這類木馬,只能檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command 主鍵,查看其鍵值是否正常。
?、嗬壩募?/p>
實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接,然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起,然后上傳到服務(wù)端覆蓋原文件,這樣即使木馬被刪除了,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會(huì)被安裝上去了。綁定到某一應(yīng)用程序中,如綁定到系統(tǒng)文件,那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬。
當(dāng)發(fā)現(xiàn)可疑文件時(shí),你可以試試能不能刪除它,因?yàn)槟抉R多是以后臺(tái)方式運(yùn)行的,通過(guò)按Ctrl+Alt+Del是找不到的,而后臺(tái)運(yùn)行的應(yīng)是系統(tǒng)進(jìn)程。如果在前臺(tái)進(jìn)程里找不到,而又刪不了(提示正在被使用)那就應(yīng)該注意了。
手工查殺木馬四、手工清除
如果你發(fā)現(xiàn)自己的硬盤總是莫明其妙地讀盤,軟驅(qū)燈經(jīng)常自己亮起,網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)異?,F(xiàn)象,很可能就是因?yàn)橛心抉R潛伏在你的機(jī)器里面,此時(shí)就應(yīng)該想辦法清除這些家伙了。
那么如何清除木馬而不誤刪其他有用文件呢?當(dāng)你通過(guò)上述方法找到可疑程序時(shí),你可以先看看該文件的屬性。一般系統(tǒng)文件的修改時(shí)間應(yīng)是1999年或1998年而不應(yīng)該是最近的時(shí)間(安裝最新的Win2000、 WinXP的系統(tǒng)除外),文件的創(chuàng)建時(shí)間應(yīng)當(dāng)不會(huì)離現(xiàn)在很近。當(dāng)看到可疑的執(zhí)行文件時(shí)間是最近甚至是當(dāng)前,那八成就有問(wèn)題了。
首先查進(jìn)程,檢查進(jìn)程可以借助第三方軟件,如Windows優(yōu)化大師,利用其“查看進(jìn)程”功能把可疑進(jìn)程殺掉后,然后再看看原來(lái)懷疑的端口還有沒(méi)有開放(有時(shí)需重啟),如果沒(méi)有了那說(shuō)明你對(duì)了,再把該程序刪掉,這樣你就手工刪除了這匹木馬了。
如果該木馬改變了TXT、EXE或ZIP等文件的關(guān)聯(lián),那你應(yīng)把注冊(cè)表改過(guò)來(lái),如果不會(huì)改,那就把注冊(cè)表改回到以前的就可以恢復(fù)文件關(guān)聯(lián),可通過(guò)在DOS下執(zhí)行scanreg/restore命令來(lái)恢復(fù)注冊(cè)表,不過(guò)這條命令只能恢復(fù)前五天的注冊(cè)表(這是系統(tǒng)默認(rèn)的)。此舉可輕松恢復(fù)被木馬改變的注冊(cè)表鍵值,簡(jiǎn)單易用。
看過(guò)文章“怎么手工查殺木馬”的人還看了: