計算機病毒與防治43木馬防范技術(shù)課件

1、計算機病毒與防治計算機病毒與防治課程小組第1頁，共14頁。4-3木馬防范技術(shù)木馬防治堵木馬防治查木馬防治殺4-3木馬防范技術(shù)計算機病毒與防治課程小組木馬防治防第2頁，共14頁。 木馬防治查計算機病毒與防治課程小組1檢查系統(tǒng)進程大部分木馬運行后會顯示在進程管理器中，所以對系統(tǒng)進程列表進行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異?，F(xiàn)象。但是有些進程是系統(tǒng)運行的進程，這些進程不能結(jié)束。第3頁，共14頁。 木馬防治查計算機病毒與防治課程小組2檢查注冊表、ini文件和服務(wù)木馬為了能夠在開機后自動運行，往往在注冊表如下選項中添加注冊表項：HKEY_LOCA

2、L_MACHINESoftwareMicrosoftWindowsCurrentVersionRun、HKEY_ LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunOnce、HKEY_LOCAL_ MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnceEx、HKEY_LOCAL_ MACHINE SoftwareMicrosoftWindows CurrentVersionRunServices、HKEY_LOCAL_ MACHINESoftwareMicrosoft Windows

3、CurrentVersionRunServicesOnce。第4頁，共14頁。 木馬防治查計算機病毒與防治課程小組圖3-2 注冊表信息第5頁，共14頁。 木馬防治查計算機病毒與防治課程小組遠程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入Netstat na，可以清楚地看到系統(tǒng)打開的端口和連接。也可從下載Fport軟件，運行該軟件后，可以知道打開端口的進程名，進程號和程序的路徑，這樣為查找“木馬”提供了方便之門。第6頁，共14頁。 木馬防治查計算機病毒與防治課程小組圖3

4、-3 查看端口第7頁，共14頁。木馬防治堵計算機病毒與防治課程小組查看目前運行的服務(wù)服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠能處于運行狀態(tài)的方法之一。我們可以通過點擊“開始”“運行”“cmd”，然后輸入“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。第8頁，共14頁。木馬防治堵計算機病毒與防治課程小組由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊“開始”-“運行”-“regedit”然后檢查HKEY_LOCAL_MACHINESoftware

5、MicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的boot字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe

6、就是木馬程序了！第9頁，共14頁。木馬防治堵計算機病毒與防治課程小組第10頁，共14頁。木馬防治堵計算機病毒與防治課程小組點擊“開始”“運行”“cmd”，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user 用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧！第11頁，共14頁。木馬防治殺計算機病毒與防治

7、課程小組1）關(guān)掉木馬進程2）檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。3）刪除上述可疑鍵在硬盤中的執(zhí)行文件。4）一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。5）檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWARE MicrosoftInternet ExplorerMain。中的幾項，如果被修改了，改回來就可以。6）檢查HKEY_CLASSES_ROOTtxtfileshellopencommand和HKEY_ CLASSES_ ROOTxtfileshellopencommand等等幾個常用文件類型的默認(rèn)打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認(rèn)打開程序讓病毒在用戶打開文本文件時加載的第12頁，共14頁。木馬防治防計算機病毒與防治課程小組1運行反木馬實時