查找和清除線程插入式病毒木馬介紹

查找和清除線程插入式病毒木馬介紹

　　目前網(wǎng)絡(luò)上最猖獗的病毒估計(jì)非木馬程序莫數(shù)了，特別是在過(guò)去的2004年木馬程序的攻擊性也有了很大的加強(qiáng)，在進(jìn)程隱藏方面，做了較大的改動(dòng)，不再采用獨(dú)立的EXE可執(zhí)行文件形式，而是改為內(nèi)核嵌入方式，下面由學(xué)習(xí)啦小編給你做出詳細(xì)的查找和清除插入式病毒木馬介紹!希望對(duì)你有幫助!

　　查找和清除線程插入式病毒木馬介紹：

　　查找和清除線程插入式病毒木馬1、通過(guò)自動(dòng)運(yùn)行機(jī)制查木馬

　　一說(shuō)到查找木馬，許多人馬上就會(huì)想到通過(guò)木馬的啟動(dòng)項(xiàng)來(lái)尋找“蛛絲馬跡”，具體的地方一般有以下幾處：

　　1)注冊(cè)表啟動(dòng)項(xiàng)：

　　在“開(kāi)始/運(yùn)行”中輸入“regedit.exe”打開(kāi)注冊(cè)表編輯器，依次展開(kāi)[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"開(kāi)頭的項(xiàng)，其下是否有新增的和可疑的鍵值，也可以通過(guò)鍵值所指向的文件路徑來(lái)判斷，是新安裝的軟件還是木馬程序。

　　另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]鍵值也可能用來(lái)加載木馬，比如把鍵值修改為“X:\windows\system\ABC.exe "%1"%”。

　　2)系統(tǒng)服務(wù)

　　有些木馬是通過(guò)添加服務(wù)項(xiàng)來(lái)實(shí)現(xiàn)自啟動(dòng)的，大家可以打開(kāi)注冊(cè)表編輯器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑鍵值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主鍵。

　　然后禁用或刪除木馬添加的服務(wù)項(xiàng)：在“運(yùn)行”中輸入“Services.msc”打開(kāi)服務(wù)設(shè)置窗口，里面顯示了系統(tǒng)中所有的服務(wù)項(xiàng)及其狀態(tài)、啟動(dòng)類型和登錄性質(zhì)等信息。找到木馬所啟動(dòng)的服務(wù)，雙擊打開(kāi)它，把啟動(dòng)類型改為“已禁用”，確定后退出。也可以通過(guò)注冊(cè)表進(jìn)行修改，依次展開(kāi)“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服務(wù)顯示名稱”鍵，在右邊窗格中找到二進(jìn)制值“Start”，修改它的數(shù)值數(shù)，“2”表示自動(dòng)，“3”表示手動(dòng)，而“4”表示已禁用。當(dāng)然最好直接刪除整個(gè)主鍵，平時(shí)可以通過(guò)注冊(cè)表導(dǎo)出功能，備份這些鍵值以便隨時(shí)對(duì)照。

　　3)開(kāi)始菜單啟動(dòng)組

　　現(xiàn)在的木馬大多不再通過(guò)啟動(dòng)菜單進(jìn)行隨機(jī)啟動(dòng)，但是也不可掉以輕心。如果發(fā)現(xiàn)在“開(kāi)始/程序/啟動(dòng)”中有新增的項(xiàng)，可以右擊它選擇“查找目標(biāo)”到文件的目錄下查看一下，如果文件路徑為系統(tǒng)目錄就要多加小心了。也可以在注冊(cè)表中直接查看，它的位置為[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]，鍵名為Startup。

　　4)系統(tǒng)INI文件Win.ini和System.ini

　　系統(tǒng)INI文件Win.ini和System.ini里也是木馬喜歡隱蔽的場(chǎng)所。選擇“開(kāi)始/運(yùn)行”，輸入“msconfig”調(diào)出系統(tǒng)配置實(shí)用程序，檢查Win.ini的[Windows]小節(jié)下的load和run字段后面有沒(méi)有什么可疑程序，一般情況下“=”后面是空白的;還有在System.ini的[boot]小節(jié)中的Shell=Explorer.exe后面也要進(jìn)行檢查。

　　5)批處理文件

　　如果你使用的是WIN 9X系統(tǒng)，C盤根目錄下“AUTOEXEC.BAT”和WINDOWS目錄下的“WinStart.bat”兩個(gè)批處理文件也要看一下，里面的命令一般由安裝的軟件自動(dòng)生成，在系統(tǒng)默認(rèn)會(huì)將它們自動(dòng)加載。在批處理文件語(yǔ)句前加上“echo off”，啟動(dòng)時(shí)就只顯示命令的執(zhí)行結(jié)果，而不顯示命令的本身;如果再在前面加一個(gè)“@”字符就不會(huì)出現(xiàn)任何提示，以前的很多木馬都通過(guò)此方法運(yùn)行。

　　查找和清除線程插入式病毒木馬2、通過(guò)文件對(duì)比查木馬

　　最近新出現(xiàn)的一種木馬。它的主程序成功加載后，會(huì)將自身做為線程插入到系統(tǒng)進(jìn)程SPOOLSV.EXE中，然后刪除系統(tǒng)目錄中的病毒文件和病毒在注冊(cè)表中的啟動(dòng)項(xiàng)，以使反病毒軟件和用戶難以查覺(jué)，然后它會(huì)監(jiān)視用戶是否在進(jìn)行關(guān)機(jī)和重啟等操作，如果有，它就在系統(tǒng)關(guān)閉之前重新創(chuàng)建病毒文件和注冊(cè)表啟動(dòng)項(xiàng)。下面的幾招可以讓它現(xiàn)出原形(下面均以Win XP系統(tǒng)為例)：

　　1)對(duì)照備份的常用進(jìn)程

　　大家平時(shí)可以先備份一份進(jìn)程列表，以便隨時(shí)進(jìn)行對(duì)比查找可疑進(jìn)程。方法如下：開(kāi)機(jī)后在進(jìn)行其他操作之前即開(kāi)始備份，這樣可以防止其他程序加載進(jìn)程。在運(yùn)行中輸入“cmd”，然后輸入“tasklist /svc >X:\processlist.txt”(提示：不包括引號(hào)，參數(shù)前要留空格，后面為文件保存路徑)回車。這個(gè)命令可以顯示應(yīng)用程序和本地或遠(yuǎn)程系統(tǒng)上運(yùn)行的相關(guān)任務(wù)/進(jìn)程的列表。輸入“tasklist /?”可以顯示該命令的其它參數(shù)。

　　2)對(duì)照備份的系統(tǒng)DLL文件列表

　　對(duì)于沒(méi)有獨(dú)立進(jìn)程的DLL木馬怎么辦嗎?既然木馬打的是DLL文件的主意，我們可以從這些文件下手，一般系統(tǒng)DLL文件都保存在system32文件夾下，我們可以對(duì)該目錄下的DLL文件名等信息作一個(gè)列表，打開(kāi)命令行窗口，利用CD命令進(jìn)入system32目錄，然后輸入“dir *.dll>X:\listdll.txt”敲回車，這樣所有的DLL文件名都被記錄到listdll.txt文件中。日后如果懷疑有木馬侵入，可以再利用上面的方法備份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本編輯工具進(jìn)行對(duì)比;或者在命令行窗口進(jìn)入文件保存目錄，輸入“fc listdll.txt listdll2.txt”，這樣就可以輕松發(fā)現(xiàn)那些發(fā)生更改和新增的DLL文件，進(jìn)而判斷是否為木馬文件。

　　3)對(duì)照已加載模塊

　　頻繁安裝軟件會(huì)使system32目錄中的文件發(fā)生較大變化，這時(shí)可以利用對(duì)照已加載模塊的方法來(lái)縮小查找范圍。在“開(kāi)始/運(yùn)行”中輸入“msinfo32.exe”打開(kāi) “系統(tǒng)信息”，展開(kāi)“軟件環(huán)境/加載的模塊”，然后選擇“文件/導(dǎo)出”把它備份成文本文件，需要時(shí)再備份一個(gè)進(jìn)行對(duì)比即可。

　　4)查看可疑端口

　　所有的木馬只要進(jìn)行連接，接收/發(fā)送數(shù)據(jù)則必然會(huì)打開(kāi)端口，DLL木馬也不例外，這里我們使用netstat命令查看開(kāi)啟的端口。我們?cè)诿钚写翱谥休斎?ldquo;netstat -an”顯示出顯示所有的連接和偵聽(tīng)端口。Proto是指連接使用的協(xié)議名稱，Local Address是本地計(jì)算機(jī)的IP地址和連接正在使用的端口號(hào)，F(xiàn)oreign Address是連接該端口的遠(yuǎn)程計(jì)算機(jī)的IP地址和端口號(hào)，State則是表明TCP連接的狀態(tài)。Windows XP所帶的netstat命令比以前的版本多了一個(gè)-O參數(shù)，使用這個(gè)參數(shù)就可以把端口與進(jìn)程對(duì)應(yīng)起來(lái)。輸入“netstat /?”可以顯示該命令的其它參數(shù)。

　　接著我們可以通過(guò)分析所打開(kāi)的端口，將范圍縮小到具體的進(jìn)程上，然后使用進(jìn)程分析軟件，例如《Windows優(yōu)化大師》目錄下的WinProcess.exe程序，來(lái)查找嵌入其中的木馬程序。有些木馬會(huì)通過(guò)端口劫持或者端口重用的方法來(lái)進(jìn)行通信的，一般它們會(huì)選擇139、80等常用端口，所以大家分析時(shí)要多加注意。也可以利用網(wǎng)絡(luò)嗅探軟件(如：Commview)來(lái)了解打開(kāi)的端口到底在傳輸些什么數(shù)據(jù)。
看了“查找和清除線程插入式病毒木馬介紹”文章的還看了：

1.電腦病毒木馬防治介紹

2.木馬病毒的介紹

3.黑客泄露電腦病毒木馬介紹

4.木馬電腦病毒介紹

5.電腦病毒木馬藏于錄取通知書(shū)介紹