黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种种方法对其进行伪装。而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!
一、文件检测
将木马在正常程序中,一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出文件中的木马。
1.MT克星
文件中只要了木马,那么其文件头特征码一定会表现出一定的规律,而MT克星正是通过分析程序的文件头特征码来判断的。程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被过的!
2.揪出在程序中的木马
光检测出了文件中了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被的木马。
二、清除DLL类后门
相对文件运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。
1.结束木马进程
由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
2.查找可疑DLL模块
由于一般用户对DLL文件的调用情况并不熟悉,因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS(超级进程王)即可派上用场。
运行软件后即可在中间的列表中可以看到当前系统中的所有进程,双击其中的某个进程后,可以在下面窗口的“全部模块”标签中,即可显示详细的信息,包括模块名称、版本和厂商,以及创建的时间等。其中的厂商和创建时间信息比较重要,如果是一个系统关键进程如“svchost.exe”,结果调用的却是一个不知名的厂商的模块,那该模块必定是有问题的。另外如果厂商虽然是微软的,但创建时间却与其它的DLL模块时间不同,那么也可能是DLL木马。
另外我们也可以直接切换到“可疑模块”选项,软件会自动扫描模块中的可疑文件,并在列表中显示出来。双击扫描结果列表中的可疑DLL模块,可看到调用此模块的进程。一般每一个DLL文件都有多个进程会调用,如果调用此DLL文件的仅仅是此一个进程,也可能是DLL木马。点击“强进删除”按钮,即可将DLL木马从进程中删除掉。
三、彻底的Rootkit检测
谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查,看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。
1.Rootkit Detector清除Rootkit
Rootkit Detector是一个Rootkit检测和清除工具,可以检测出多个Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.
用方法很简单,在命令行下直接运行程序名“rkdetector.exe”即可。程序运行后将会自动完成一系统列隐藏项目检测,查找出系统中正在运行的Rootkit程序及服务,以红色作出标记提醒,并尝试将它清除掉。
2.强大的Knlps
相比之下,Knlps的功能更为强大一些,它可以指定结束正在运行的Rootkit程序。使用时在命令行下输入“knlps.exe-l”命令,将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。找到Rootkit进程后,可以使用“-k”参数进行删除。例如已找到了“svch0st.exe”的进程,及PID号为“3908”,可以输入命令“knlps.exe -k 3908”将进程中止掉。
四、克隆帐号的检测
严格意义上来说,它已经不是后门木马了。但是他同样是在系统中建立了管理员权限的账号,但是我们查看的却是Guest组的成员,非常容易麻痹管理员。
在这里为大家介绍一款新的帐号克隆检测工具LP_Check,它可以明查秋毫的检查出系统中的克隆用户!
LP_Check的使用极其简单,程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测,可以看到程序检测出了刚才Guest帐号有问题,并在列表中以红色三角符号重点标记出来,这时我们就可以打开用户管理窗口将其删除了。
通过介绍相信已经能够让系统恢复的比较安全了,但是要想彻底避免木侵害,还是需要对其基础知识加以了解。
最新资讯
彭蕾为辅 陆奇为佐

彭蕾为辅 陆奇为佐

彭蕾的台词适合彭蕾,但不适合相当多的其他人。
苹果或曾计划发布金色款iPhone X

苹果或曾计划发布金色

据该文件送审的时间推测,苹果本来计划在去年九月份发布
从什么时候起,你玩游戏开始考虑时间成本了?

从什么时候起,你玩游戏

于是,虽然现在游戏已经是消费成本最低的娱乐之一,但玩游
印度创企Milkbasket,靠什么在杂货电商领域脱颖而出

印度创企Milkbasket,靠

当你打开冰箱发现第二天需要喝的牛奶已经没有了或者你
中美贸易战升级,对哪国CPI影响更大?

中美贸易战升级,对哪国

就通胀影响而言,特朗普挑起的中美贸易战如果全面开打,真
美团买摩拜买的是什么?

美团买摩拜买的是什么

美团买的是街头的自行车吗?
最新文章
电脑磁碟机病毒如何彻底查杀?如何规避电脑磁碟机病毒?

电脑磁碟机病毒如何彻

磁碟机木马最近成为安全领域的热门话题,“磁碟机”木
四招让你的电脑裸奔也不会中毒

四招让你的电脑裸奔也

大家都知道在自己的电脑上必须安装一个杀毒软件,这样使
U盘Ripper病毒无法删除的解决方法

U盘Ripper病毒无法删

昨天我发现的这个毒,用的是Nod32,不过清除不了,便写了这
ESET不能卸载怎么办?

ESET不能卸载怎么办?

为什么我的ESET卸载不干净,安装卡巴时提示,下面教你手动
1KB文件夹快捷方式病毒清除软件

1KB文件夹快捷方式病

1KB文件夹快捷方式病毒清除专用附件包含三部分。
 彻底消灭gggdu.com修复IE无法搜索的问题

彻底消灭gggdu.com修

突然发现IE7的搜索框不能用了,以为是IE出了问题,几次修