如何刪除電腦中隱藏的木馬

木馬在互聯(lián)網(wǎng)上肆虐，我們一不小心就會(huì)成為黑客手中的肉雞。到時(shí)自己的電腦成為被黑客控制的傀儡，而且自己的個(gè)人隱私也完全暴露。拒絕黑客控制，我的電腦我做主。在五一節(jié)后這一黑客大肆捕獲肉雞的時(shí)段開始了，我們針對木馬特點(diǎn)，用4招自檢避免成為黑客肉雞。

　　小知識：肉雞實(shí)際上就是中了黑客的木馬，或者被安裝了后門程序的電腦。黑客可以像計(jì)算機(jī)管理員一樣對肉雞進(jìn)行所有操作?，F(xiàn)在許多人把有WEBSHELL權(quán)限的遠(yuǎn)程主機(jī)也叫做肉雞。

第一招：系統(tǒng)進(jìn)程辨真?zhèn)?br>
當(dāng)前流行的木馬，為了更好地對自身加以隱藏，使用了很多方法進(jìn)行自身隱蔽，其中最常見的就是進(jìn)程隱藏。這種方法不僅讓人很難通過常見的檢查手法查找到，如果用戶操作不當(dāng)?shù)脑掃€可能將系統(tǒng)進(jìn)程刪除，造成系統(tǒng)不穩(wěn)定甚至崩潰。常見的這類木馬程序包括灰鴿子、守望者、上興木馬等。

自檢方法

　　黑客為了對木馬進(jìn)行更好的偽裝，常常將木馬名稱設(shè)置得和系統(tǒng)進(jìn)程名稱十分相似。通常系統(tǒng)進(jìn)程都是有System用戶加載的，如果我們發(fā)現(xiàn)某個(gè)“系統(tǒng)進(jìn)程”是由當(dāng)前用戶加載的，那么這個(gè)“系統(tǒng)進(jìn)程”一定有問題。

　　另外我們也可以從系統(tǒng)進(jìn)程的路徑來進(jìn)行分辨，比如正常的系統(tǒng)進(jìn)程svchost.exe應(yīng)該在“c:\Windows\system32”目錄下，如果用戶發(fā)現(xiàn)它的路徑在其他目錄下就表明該進(jìn)程有問題。

　　除此以外，現(xiàn)在的木馬很注意對自身服務(wù)端程序的保護(hù)，我們通過“任務(wù)管理器”很可能查看不到木馬的服務(wù)端進(jìn)程，因?yàn)槟抉R程序通過線程插入等技術(shù)對服務(wù)端程序進(jìn)行了隱藏。

　　在這里樹樹建議大家使用IceSword（下載地址：http://download.cpcw.com）對進(jìn)程進(jìn)行管理。它除了可以查看各種隱藏的木馬后門進(jìn)程，還可以非常方便地終止采用多線程保護(hù)技術(shù)的木馬進(jìn)程。

　　進(jìn)入IceSword點(diǎn)擊“文件→設(shè)置”命令，去掉對話框中的“不顯示狀態(tài)為Deleting的進(jìn)程”選項(xiàng)。點(diǎn)擊程序主界面工具欄中的“進(jìn)程”按鈕，在右邊進(jìn)程列表中就可以查看到當(dāng)前系統(tǒng)中所有的進(jìn)程，隱藏的進(jìn)程會(huì)以紅色醒目地標(biāo)記出?！　?br>
　　另外，如果發(fā)現(xiàn)多個(gè)IE進(jìn)程、Explore進(jìn)程或者Lsass進(jìn)程，那么我們就要留意了。因?yàn)楹芏嗄抉R都會(huì)偽裝成這幾個(gè)進(jìn)程訪問網(wǎng)絡(luò)。

應(yīng)對方法

　　在IceSword的進(jìn)程列表中選擇隱藏的木馬程序，點(diǎn)擊鼠標(biāo)右鍵中的“強(qiáng)行結(jié)束”命令即可結(jié)束這個(gè)進(jìn)程。然后點(diǎn)擊IceSword的“文件”按鈕，通過程序模擬的資源管理器命令，找到并刪除木馬程序的文件即可。]

第二招：啟動(dòng)項(xiàng)中細(xì)分析

　　一些木馬程序通過系統(tǒng)的相關(guān)啟動(dòng)項(xiàng)目，使得相關(guān)木馬文件也可以隨機(jī)啟動(dòng)，這類木馬程序包括TinyRAT、Evilotus、守望者等。

檢方法

　　運(yùn)行安全工具SysCheck（下載地址：http://download.cpcw.com），點(diǎn)擊“服務(wù)管理”按鈕后即可顯示出當(dāng)前系統(tǒng)中的服務(wù)信息，如果被標(biāo)注為紅色的就是增加的非系統(tǒng)服務(wù)。通過“僅顯示非微軟”選項(xiàng)就可以屏蔽系統(tǒng)自帶的服務(wù)，這樣惡意程序添加的服務(wù)項(xiàng)就可以立刻現(xiàn)形。

　　點(diǎn)擊“修改時(shí)間”或“創(chuàng)建時(shí)間”選項(xiàng)，就可以讓用戶馬上查看到新建的系統(tǒng)服務(wù)。從圖中我們可以看到一個(gè)被標(biāo)注為紅色、名稱為Windows Media Player的系統(tǒng)服務(wù)，該服務(wù)所指向的是一個(gè)不明程序路徑。因此可以確定該服務(wù)就是木馬程序的啟動(dòng)服務(wù)。

通過安全工具SysCheck的“活動(dòng)文件”項(xiàng)目，可以顯示出包括啟動(dòng)項(xiàng)等信息在內(nèi)的、容易被惡意程序改寫的系統(tǒng)注冊表鍵值。比如現(xiàn)在某些惡意程序，通過修改系統(tǒng)的“load”項(xiàng)進(jìn)行啟動(dòng)，或者修改系統(tǒng)的BITS服務(wù)進(jìn)行啟動(dòng)。由于SysCheck程序只是關(guān)注改寫了的鍵值，所以在不同的系統(tǒng)上顯示的內(nèi)容并不一樣。

應(yīng)對方法

　　進(jìn)入SysCheck點(diǎn)擊鼠標(biāo)右鍵中的“中止服務(wù)”選項(xiàng)，中止該木馬程序的啟動(dòng)服務(wù)，接著點(diǎn)擊“刪除服務(wù)”命令刪除指定的服務(wù)鍵值。然后點(diǎn)擊“文件瀏覽”按鈕，由于SysCheck采用了反HOOK手段，所以內(nèi)置的資源管理器可以看到隱藏的文件或文件夾，這樣就方便了我們進(jìn)行隱藏文件的刪除工作。按照木馬服務(wù)所指的文件路徑，找到文件后點(diǎn)擊鼠標(biāo)右鍵中的“刪除”按鈕即可。

第三招：系統(tǒng)鉤子有善惡

　　木馬程序之所以能成功地獲取用戶賬號信息，就是通過鉤子函數(shù)對鍵盤以及鼠標(biāo)的所有操作進(jìn)行監(jiān)控，在辨別程序類型后盜取相應(yīng)的賬號信息。也就是說，只要擁有鍵盤記錄功能的木馬程序，就肯定會(huì)有系統(tǒng)鉤子存在。

自檢方法

　　通過游戲木馬檢測大師（下載地址：http://download.cpcw.com）的“鉤子列表”功能，可以顯示系統(tǒng)已經(jīng)安裝的各種鉤子，這樣可以顯示出當(dāng)前網(wǎng)絡(luò)中流行的主流木馬。

點(diǎn)擊“鉤子列表”標(biāo)簽進(jìn)行鉤子信息的查看，并且不時(shí)點(diǎn)擊鼠標(biāo)右鍵中的“刷新”命令對系統(tǒng)鉤子進(jìn)行刷新。因?yàn)槟抉R程序只有在鍵盤記錄的時(shí)候才會(huì)啟用鉤子，如果大家中了木馬，那么很快就會(huì)在列表中有所發(fā)現(xiàn)了。在本例中一個(gè)名為WH_JOURNALRECORD可疑的鉤子被程序以顯著顏色標(biāo)記出來。

　　這個(gè)鉤子是用來監(jiān)視和記錄輸入事件的，黑客可以使用這個(gè)鉤子記錄連續(xù)的鼠標(biāo)和鍵盤事件。在此時(shí)，我們就應(yīng)該引起重視，不要再使用QQ等需要輸入密碼的程序。

應(yīng)對方法

　　清除方法比較簡單，只要記錄下動(dòng)用系統(tǒng)鉤子的進(jìn)程PID，通過PID值找到該木馬程序的進(jìn)程后結(jié)束該進(jìn)程，再輸入“Regedit”打開注冊表編輯器，并點(diǎn)擊“編輯”菜單中的“查找”命令，在此窗口搜索該木馬程序進(jìn)程的相關(guān)消息，將找到的所有信息全部刪除。

　　重新啟動(dòng)計(jì)算機(jī)，只要在安全模式下刪除系統(tǒng)目錄中的木馬文件信息即可。當(dāng)然也可以通過前面幾種方式進(jìn)行相互檢測，這樣可以更加有效地清除系統(tǒng)中的木馬程序。

第四招：數(shù)據(jù)包里藏乾坤

現(xiàn)在，越來越多的木馬程序利用了Rootkit技術(shù)。Rootkit是一種集合了系統(tǒng)間諜程序、病毒以及木馬等特性的一種惡意程序，它利用操作系統(tǒng)的模塊化技術(shù)，作為系統(tǒng)內(nèi)核的一部分進(jìn)行運(yùn)行，有些Rootkits可以通過替換DLL文件或更改系統(tǒng)來攻擊Windows平臺。

自檢方法

　　同樣我們還是使用游戲木馬檢測大師這款程序，利用它的“發(fā)信檢測”功能來判斷自己的系統(tǒng)中是否被安裝了木馬程序。在使用該功能以前，首先需要判斷系統(tǒng)的網(wǎng)卡是否工作正常。

　　我們關(guān)閉其他一切會(huì)擾亂網(wǎng)絡(luò)數(shù)據(jù)捕捉的程序，然后去除“只捕獲smtp發(fā)信端口（25）和Web發(fā)信端口（80）”選項(xiàng)，點(diǎn)擊“開始”按鈕就可以進(jìn)行數(shù)據(jù)包的捕捉。如果這時(shí)捕捉到有數(shù)據(jù)包發(fā)出，就證明自己的系統(tǒng)中存在木馬程序。

　　根據(jù)木馬程序連接方式的不同，捕捉到的數(shù)據(jù)信息也不盡相同，但是捕捉到客戶端程序的IP地址還是沒有問題的。用過嗅探器的朋友都知道，我們可以通過設(shè)置過濾病毒特征數(shù)據(jù)包來發(fā)現(xiàn)蠕蟲病毒，當(dāng)然這種方法需要一定的相關(guān)知識，這里就不再敘述了。

應(yīng)對方法

　　對于這種利用Rootkit技術(shù)的木馬程序，可以直接通過一些Rootkit檢測工具進(jìn)行查看。比如檢測工具Rootkit Detector（下載地址：http://download.cpcw.com），它通過程序內(nèi)置的MD5數(shù)據(jù)庫，來比較所檢測到的Windows 2000/XP/2003 系統(tǒng)全部服務(wù)和進(jìn)程的MD5校驗(yàn)值，這樣就可以檢測出系統(tǒng)下的Rootkit程序。

　　在命令提示符窗口運(yùn)行命令：rd.exe，程序會(huì)自動(dòng)對當(dāng)前系統(tǒng)進(jìn)行檢測。程序首先會(huì)統(tǒng)計(jì)出系統(tǒng)中服務(wù)的數(shù)目、當(dāng)前的進(jìn)程，以及被隱藏的進(jìn)程，并且將系統(tǒng)當(dāng)前的進(jìn)程用列表顯示出來，然后進(jìn)入安全模式進(jìn)行刪除即可。

　　我們可以根據(jù)需要，搭配使用些速殺流行木馬以及病毒的專殺工具，讓自己的電腦更加安全

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報(bào)。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

如何刪除電腦中隱藏的木馬