微点交流论坛 - 反病毒 - 做精明赶马人：木马查找清除全攻略

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 做精明赶马人：木马查找清除全攻略

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#1 做精明赶马人：木马查找清除全攻略

　这年头的网络越来越不安全了，黑客制作工具比Word还要简单，随便一个菜鸟都可以借助工具制作出“马”力强劲的攻击武器。看网页、收邮件、聊QQ都有可能被马“踩”到。稍不留意，你的个人信息、账户、密码等重要信息就会被它“驮”走，你知道如何识马、抓马、赶马吗？下面的招数将告诉你如何对付这些顽劣的马。

　　一、学伯乐认马识马

　　木马这东西从本质上说，就是一种远程控制软件。不过远程控制软件也分正规部队和山间土匪。正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件，如WindowsXP自带的远程协助功能，一般这类软件在运行时，都会在系统任务栏中出现，明确的告诉用户当前系统处于被控制状态；而木马则属于山间土匪，他们会偷偷潜入你的电脑进行破坏，并通过修改注册表、捆绑在正常程序上的方式运行，使你难觅其踪迹。

　　木马与普通远程控制软件另外一个不同点在于，木马实现的远程控制功能更为丰富，其不仅能够实现一般远程控制软件的功能，还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。而且你还可能成为养马者的帮凶，养马者还可能会使用你的机器去攻击别人，让你来背黑锅。

　　二、寻根溯源找到引马入门的罪魁祸首

　　作为一个不受欢迎的土匪，木马是如何钻进你系统的呢？一般有以下几种主要的传播方式：

　　最常见的就是利用聊天软件“杀熟”，例如你的QQ好友中了某种木马，这个木马很有可能在好友的机器上运行QQ，并发一条消息给你，诱使你打开某个链接或运行某个程序，如果你不慎点击或运行，马儿就会偷偷跑进来；另外一种流行的方法是买一“送”一，木马会与一些正常的文件捆绑，如与图片文件捆绑，当你浏览图片的时候，木马也会偷偷溜达进来；网页里养马也是一种常见的方法，黑客把做好的木马放到网页上，并诱使你打开，你只要浏览这个页面就可能中招；最后一种常用方法是网吧种植，网吧的机器安全性差，黑客还可以直接在机器上做手脚，所以网吧中带马的机器很多。在网吧上网时受到木马攻击的几率也很大。而且上边这些方法可能还会联合行动，组合在一起对你进行攻击。

　　三、亡羊补牢如何查杀木马

　　我们如何判断机器里是否有木马呢？下面有一些简单的方法可以尝试。

　　STEP1

　　查看开放端口，作为远程控制软件，木马同样具备远程控制软件的特征。为了与其主人联系，它必须给自己开道门（即端口），因此我们可以通过查看机器开放的端口，来判断是否有木马经过。选择“开始”—“运行”，输入“CMD”后回车，打开命令行编辑界面，在里边输入命令“netstat -an，其中“ESTABLISHED”表示已经建立连接的端口，“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子，如7626（冰河木马），54320（BackOrifice2000）等。

　　STEP2

　　查看注册表，为了实现随系统启动等功能，木马都会对注册表进行修改，我们可以通过查看注册表来寻找木马的痕迹，在“运行”中输入“regedit”，回车后打开注册表编辑器，

　　定位到：HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下，分别打开ShellFolders、UserShellFolders、Run、RunOnce和RunServices子键，检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下，分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序，就要提高警惕了，很可能木马曾经到此一游。

　　STEP3

　　查看系统配置文件，很多木马文件都会修改系统文件，而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”，回车后会打开“Windows”文件夹，找到里边的win.ini文件，在里边搜索“windows”字段，如果找到形如“load=file.exe，run=file.exe”这样的语句（file.exe为木马程序名），就要格外小心了，这很可能是木马的主程序。类似的，在system.ini文件中搜索“boot”字段，找到里边的“Shell=ABC.exe”，默认应为“Shell=Explorer.exe”，如果是其他程序则也可能是中了木马。

　　除此之外，你还可以通过查看系统进程和使用专用木马检测软件的方法，来推断系统中是否存在木马。

　　关上马厩的门做好木马防御工作

　　在系统中搜索mshta.exe文件，将其改名，如cfan.exe。再在“运行”中输入“%windows%coMMand”，将里边debug.exe和ftp.exe也改名。打开注册表编辑器，定位到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerActiveXCompatibility，在里边找到“ActiveSetupcontrols”子键（如没有需手动建立），再在其下创建新子键，命名为{6E449683_C509_11CF_AAFA_00AA00B6015C}，在右侧的空白处单击鼠标右键，选择“新键”—“DWORD值”，键名为“Compatibility”，设定键值为“0x00000400”即可。

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2008-8-20 11:54

angerr
新手上路

积分 28
发帖 31
注册 2008-8-22

#2

很不错,谢谢楼主分享了

※ ※ ※ 本文纯属【angerr】个人意见，与【微点交流论坛】立场无关※ ※ ※

走别人的路让别人无路可走

2008-8-22 13:19

louping
新手上路

积分 13
发帖 17
注册 2008-8-22

#3

很祥细,学习了````

※ ※ ※ 本文纯属【louping】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-24 17:22

wojiliang
新手上路

积分 18
发帖 16
注册 2008-8-25

#4

不错哦,支持了```

※ ※ ※ 本文纯属【wojiliang】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-8-25 16:26

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号