木马查杀(windows boot manager)

Windows:

1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。

2. 用户检查,打开“我的电脑”–>“管理”–>“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。

3. 查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。

4. 检查系统中拥有启动方式的文件,system.ini和win.ini,在“运行”中输入这2个文件名的名字即可打开(路径在system32下)system.ini中查看有【boot】的字段查看下面shell=Explorer.exe,如果Explorer.exe后面还有exe或者cmd、com等执行文件就要进行检查这些文件了,通常Explorer.exe后面没有东西。在【386Enh】下的“dirver=路劲”以及【mic】、【drivers】、【drivers32】字段下也可能加载木马。另外在win.ini中注意【windows】下的“load=路径”,“run=路径”一般情况下是空白。

5. 启动组的检查,假设系统安装在C盘,路径为C:\Documents and Settings\用户名\“开始”菜单\程序\启动\…。或者在C:\Documents and Settings\All Users\“开始”菜单\程序\启动\…

6.修改文件关联的木马。在注册表中查看文件关联,

EXE文件的关联:HKEY_CLASSES_ROOT\exefile\shell\open\command,正常值为”%1″ %*

TXT文件的关联: HKEY_CLASSES_ROOT\txtfile\shell\open\command,正常为C:\WINDOWS\notepad.exe %1

INF文件的关联: HKEY_CLASSES_ROOT\inffile\shell\open\command,正常为%SystemRoot%\System32\NOTEPAD.EXE %1

INI文件的关联: HKEY_CLASSES_ROOT\inifile\shell\open\command C:\WINDOWS\System32\NOTEPAD.EXE %1

7.dll样式木马,用木马的dll代替系统的dll,系统需要调用正常dll函数的时候,木马dll就会先被调用执行,然后再由木马dll去调用系统正常的dll,这时,系统运行正常,但是木马也随之启动.

8. 捆绑exe文件的木马,利用开机自启动的exe程序进行捆绑自身或将自身伪装成正常exe程序的图标,如QQ,MSN,PPS等,这样开机后会先启动木马,然后由木马调用正常的程序,在正常的程序启动的时候木马也悄然启用,于dll木马类似的方式.

9.注册表中的大众启动项.HKLM\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项

还有HKCU\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项

以及 HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项

如果找到木马进程却不能结束的话,说明木马进程之间有守护作用,不止一个进程,在cmd用taskkill –T –PID “进程PID”来判断进程之间的守护关系,然后找到写一个批处理用taskkill –PID “进程PID”结束多有的守护进程即可,如果木马嵌套在某个系统进程中,如services.exe、svchost.exe中的话只有用专业的工具(比如“冰刃”等)进行内部dll模块的卸载了。如果是因为木马运行程序无法删除的话,进入cmd下,cd切换到木马所在目录,用attrib –s –h –r “木马运行程序” 命令消除木马的系统属性,然后再用delete “木马运行程序”命令来删除木马程序。

所谓未雨绸缪说的就是提前做好准备,以便应对突发状况,在不用任何外界工具的情况下,可以再刚装好系统的时候备份系统目录下的所有文件的名字,cmd进入system32目录下运行

dir *.exe>c:\exeback.txt

dir *.dll>c:dllback.txt

这样记录了系统目录下所有的exe程序和dll文件,等需要查杀的时候,可以再用dir命令将现在的exe文件和dll文件的名称全比导出到txt文本,然后在cmd下用

fc exeback.txt exeback1.txt>bijiaoexe.txt比较exe文件

fc dllback.txt dllback1.txt>bijiaodll.txt 比较dll文件

就可以发现多出来的exe文件和dll文件了

当然,用电脑就免不了要装一些软件,安装软件自然会使system32目录中的文件发生较大的变化,多出不少文件,就算是用了fc进行比较也还是不方便,这时就可以利用对照已加载的正常软件的模块的方法来缩小杀找范围。运行中输入msinfo32.exe依次展开“软件环境”-“加载的模块”,然后选择“文件”-导出,之后再与前面比较的那份txt文档进行比较,排除正常的模块文件。

另外,查看进程中的模块的命令式cmd下tasklist /svc

二.在线查杀木马

1.procexp.exe开启virtual在线查杀,发现木马进程。

2.procexp.exe暂停木马进程打包备份木马文件,保留证据。

3.Autoruns.exe启动项中找到对应木马进程,右键删除。(此方法可删除注册表中的值)

4.Autoruns.exe开启virtual在线查毒,检查是否有可疑进程。

5.tcpview.exe检查网络连接情况,关注SYN_SENT。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 16699894@qq.com 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年12月23日 20:08:53
下一篇 2022年12月23日 20:11:27

相关推荐

  • 陶红老公是谁

      陶红老公是徐峥。   徐峥简介   徐峥,1972年4月18日出生于上海,中国内地男演员、导演。毕业于上海戏剧学院。   1998年,出演话剧《股票的颜色》获得第十届白玉兰戏剧…

    投稿 2022年10月21日
  • 实习报告总结1000字

      实习生,是从学生转变为职场人的一个重要阶段。实习期间的表现也将决定你是否能留在公司继续工作。下面是小编给大家整理的关于毕业生实习心得万能,欢迎大家来阅读   。   毕业生实习…

    投稿 2022年10月21日
  • 完美芦荟胶真假对比(完美芦荟胶真假辨别)

    完美芦荟胶真假辨别 胶应该是包含塑料包装的,在瓶口的位置应该有一层密封较好的塑料包装,且塑料包装撕下后无法再粘回去。如果是假的完美芦荟胶瓶口处没有塑料包装保护而有的假完美芦荟胶可能…

    2022年10月22日
  • app id注册不了为什么(五分钟注册美区Apple ID)

    这篇文章教大家注册一个非常稳定的美区 Apple ID。 创个美区 Apple ID 还是挺有必要的,可以下到许多国内没有上架的应用,和国区 Apple ID 两者互补,享受最全面…

    2022年10月22日
  • 支付宝跨行转账要手续费吗(支付宝能一次转10万元吗)

    又到一年开学季,跨行转账少不了。 (时间紧张的朋友请看文末) 不知大家上学时是否曾遇到和我相似的情况。 无论是升高中还是上大学,学校里都会发一张银行卡。学校里办的卡,自然在学校的处…

    2022年10月22日
  • A3纸大小是多少厘米乘多少厘米(手工达人必须知道的常见尺寸)

    是不是每次都在百度?A3是多大尺寸? A3纸大还是A4纸大? 下面吧常用的尺寸通俗的讲一下: 几个世纪以来,人们已经广泛的认识到了标准化纸张在实际应用中的优势。 ISO(国际标准)…

    2022年10月22日
  • 疑似张同学成立农业发展公司(曾称会帮助有需要的农民卖农产品)

    近期,短视频博主“张同学”因记录农村日常生活走红。 据悉,“张同学”真名张凯,辽宁营口大石桥市松树村人。近日其接受采访曾表示,后续会考虑帮村民卖家乡特产。 企查查APP显示,12月…

    2022年10月22日
  • 李白简介及人生经历著名事迹,礼拜祖籍是哪里人

    李白之名高千古, 万古风流谁能及? 醉后成书天下名, 诗书流传永相随。 李白(701年—762年12月),字太白,号青莲居士,又号“谪仙人”,唐代伟大的浪漫主义诗人,被后人誉为“诗…

    2022年10月22日
  • 珠海冬天需要穿羽绒服吗

      珠海冬天的气温大约在15℃左右,基本是不需要穿羽绒服的,但是遇到寒潮天气还是要穿棉服或者轻薄羽绒服的。珠海位于广东省中南部,是珠三角中海洋面积最大、岛屿最多、海岸线最长的城市,…

    2022年10月24日
  • 李睿宁(李昱辰名字打分)

    要为宝宝起个好名不要让孩子输在起跑线上、李昱娴、是满分、不符合八字三才五格现在的父母都非常注重孩子、龙需水,出自说文俊材千人也”,母亲姓黄,好名。李俊材特别优异的人才,不好,。 谢…

    2022年10月21日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注