国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP
如何刪除電腦中隱藏的木馬

如何刪除電腦中隱藏的木馬

        木馬在互聯(lián)網(wǎng)上肆虐,我們一不小心就會(huì)成為黑客手中的肉雞。到時(shí)自己的電腦成為被黑客控制的傀儡,而且自己的個(gè)人隱私也完全暴露。拒絕黑客控制,我的電腦我做主。在五一節(jié)后這一黑客大肆捕獲肉雞的時(shí)段開始了,我們針對木馬特點(diǎn),用4招自檢避免成為黑客肉雞。

  小知識:肉雞實(shí)際上就是中了黑客的木馬,或者被安裝了后門程序的電腦。黑客可以像計(jì)算機(jī)管理員一樣對肉雞進(jìn)行所有操作?,F(xiàn)在許多人把有WEBSHELL權(quán)限的遠(yuǎn)程主機(jī)也叫做肉雞。

第一招:系統(tǒng)進(jìn)程辨真?zhèn)?br>
當(dāng)前流行的木馬,為了更好地對自身加以隱藏,使用了很多方法進(jìn)行自身隱蔽,其中最常見的就是進(jìn)程隱藏。這種方法不僅讓人很難通過常見的檢查手法查找到,如果用戶操作不當(dāng)?shù)脑掃€可能將系統(tǒng)進(jìn)程刪除,造成系統(tǒng)不穩(wěn)定甚至崩潰。常見的這類木馬程序包括灰鴿子、守望者、上興木馬等。

自檢方法

  黑客為了對木馬進(jìn)行更好的偽裝,常常將木馬名稱設(shè)置得和系統(tǒng)進(jìn)程名稱十分相似。通常系統(tǒng)進(jìn)程都是有System用戶加載的,如果我們發(fā)現(xiàn)某個(gè)“系統(tǒng)進(jìn)程”是由當(dāng)前用戶加載的,那么這個(gè)“系統(tǒng)進(jìn)程”一定有問題。

  另外我們也可以從系統(tǒng)進(jìn)程的路徑來進(jìn)行分辨,比如正常的系統(tǒng)進(jìn)程svchost.exe應(yīng)該在“c:\Windows\system32”目錄下,如果用戶發(fā)現(xiàn)它的路徑在其他目錄下就表明該進(jìn)程有問題。

  除此以外,現(xiàn)在的木馬很注意對自身服務(wù)端程序的保護(hù),我們通過“任務(wù)管理器”很可能查看不到木馬的服務(wù)端進(jìn)程,因?yàn)槟抉R程序通過線程插入等技術(shù)對服務(wù)端程序進(jìn)行了隱藏。

  在這里樹樹建議大家使用IceSword(下載地址:http://download.cpcw.com)對進(jìn)程進(jìn)行管理。它除了可以查看各種隱藏的木馬后門進(jìn)程,還可以非常方便地終止采用多線程保護(hù)技術(shù)的木馬進(jìn)程。

  進(jìn)入IceSword點(diǎn)擊“文件→設(shè)置”命令,去掉對話框中的“不顯示狀態(tài)為Deleting的進(jìn)程”選項(xiàng)。點(diǎn)擊程序主界面工具欄中的“進(jìn)程”按鈕,在右邊進(jìn)程列表中就可以查看到當(dāng)前系統(tǒng)中所有的進(jìn)程,隱藏的進(jìn)程會(huì)以紅色醒目地標(biāo)記出?! ?br>
  另外,如果發(fā)現(xiàn)多個(gè)IE進(jìn)程、Explore進(jìn)程或者Lsass進(jìn)程,那么我們就要留意了。因?yàn)楹芏嗄抉R都會(huì)偽裝成這幾個(gè)進(jìn)程訪問網(wǎng)絡(luò)。

應(yīng)對方法

  在IceSword的進(jìn)程列表中選擇隱藏的木馬程序,點(diǎn)擊鼠標(biāo)右鍵中的“強(qiáng)行結(jié)束”命令即可結(jié)束這個(gè)進(jìn)程。然后點(diǎn)擊IceSword的“文件”按鈕,通過程序模擬的資源管理器命令,找到并刪除木馬程序的文件即可。]

第二招:啟動(dòng)項(xiàng)中細(xì)分析

  一些木馬程序通過系統(tǒng)的相關(guān)啟動(dòng)項(xiàng)目,使得相關(guān)木馬文件也可以隨機(jī)啟動(dòng),這類木馬程序包括TinyRAT、Evilotus、守望者等。

檢方法

  運(yùn)行安全工具SysCheck(下載地址:http://download.cpcw.com),點(diǎn)擊“服務(wù)管理”按鈕后即可顯示出當(dāng)前系統(tǒng)中的服務(wù)信息,如果被標(biāo)注為紅色的就是增加的非系統(tǒng)服務(wù)。通過“僅顯示非微軟”選項(xiàng)就可以屏蔽系統(tǒng)自帶的服務(wù),這樣惡意程序添加的服務(wù)項(xiàng)就可以立刻現(xiàn)形。

  點(diǎn)擊“修改時(shí)間”或“創(chuàng)建時(shí)間”選項(xiàng),就可以讓用戶馬上查看到新建的系統(tǒng)服務(wù)。從圖中我們可以看到一個(gè)被標(biāo)注為紅色、名稱為Windows Media Player的系統(tǒng)服務(wù),該服務(wù)所指向的是一個(gè)不明程序路徑。因此可以確定該服務(wù)就是木馬程序的啟動(dòng)服務(wù)。

通過安全工具SysCheck的“活動(dòng)文件”項(xiàng)目,可以顯示出包括啟動(dòng)項(xiàng)等信息在內(nèi)的、容易被惡意程序改寫的系統(tǒng)注冊表鍵值。比如現(xiàn)在某些惡意程序,通過修改系統(tǒng)的“load”項(xiàng)進(jìn)行啟動(dòng),或者修改系統(tǒng)的BITS服務(wù)進(jìn)行啟動(dòng)。由于SysCheck程序只是關(guān)注改寫了的鍵值,所以在不同的系統(tǒng)上顯示的內(nèi)容并不一樣。

應(yīng)對方法

  進(jìn)入SysCheck點(diǎn)擊鼠標(biāo)右鍵中的“中止服務(wù)”選項(xiàng),中止該木馬程序的啟動(dòng)服務(wù),接著點(diǎn)擊“刪除服務(wù)”命令刪除指定的服務(wù)鍵值。然后點(diǎn)擊“文件瀏覽”按鈕,由于SysCheck采用了反HOOK手段,所以內(nèi)置的資源管理器可以看到隱藏的文件或文件夾,這樣就方便了我們進(jìn)行隱藏文件的刪除工作。按照木馬服務(wù)所指的文件路徑,找到文件后點(diǎn)擊鼠標(biāo)右鍵中的“刪除”按鈕即可。

第三招:系統(tǒng)鉤子有善惡

  木馬程序之所以能成功地獲取用戶賬號信息,就是通過鉤子函數(shù)對鍵盤以及鼠標(biāo)的所有操作進(jìn)行監(jiān)控,在辨別程序類型后盜取相應(yīng)的賬號信息。也就是說,只要擁有鍵盤記錄功能的木馬程序,就肯定會(huì)有系統(tǒng)鉤子存在。

自檢方法

  通過游戲木馬檢測大師(下載地址:http://download.cpcw.com)的“鉤子列表”功能,可以顯示系統(tǒng)已經(jīng)安裝的各種鉤子,這樣可以顯示出當(dāng)前網(wǎng)絡(luò)中流行的主流木馬。

點(diǎn)擊“鉤子列表”標(biāo)簽進(jìn)行鉤子信息的查看,并且不時(shí)點(diǎn)擊鼠標(biāo)右鍵中的“刷新”命令對系統(tǒng)鉤子進(jìn)行刷新。因?yàn)槟抉R程序只有在鍵盤記錄的時(shí)候才會(huì)啟用鉤子,如果大家中了木馬,那么很快就會(huì)在列表中有所發(fā)現(xiàn)了。在本例中一個(gè)名為WH_JOURNALRECORD可疑的鉤子被程序以顯著顏色標(biāo)記出來。

  這個(gè)鉤子是用來監(jiān)視和記錄輸入事件的,黑客可以使用這個(gè)鉤子記錄連續(xù)的鼠標(biāo)和鍵盤事件。在此時(shí),我們就應(yīng)該引起重視,不要再使用QQ等需要輸入密碼的程序。

應(yīng)對方法

  清除方法比較簡單,只要記錄下動(dòng)用系統(tǒng)鉤子的進(jìn)程PID,通過PID值找到該木馬程序的進(jìn)程后結(jié)束該進(jìn)程,再輸入“Regedit”打開注冊表編輯器,并點(diǎn)擊“編輯”菜單中的“查找”命令,在此窗口搜索該木馬程序進(jìn)程的相關(guān)消息,將找到的所有信息全部刪除。

  重新啟動(dòng)計(jì)算機(jī),只要在安全模式下刪除系統(tǒng)目錄中的木馬文件信息即可。當(dāng)然也可以通過前面幾種方式進(jìn)行相互檢測,這樣可以更加有效地清除系統(tǒng)中的木馬程序。

第四招:數(shù)據(jù)包里藏乾坤

現(xiàn)在,越來越多的木馬程序利用了Rootkit技術(shù)。Rootkit是一種集合了系統(tǒng)間諜程序、病毒以及木馬等特性的一種惡意程序,它利用操作系統(tǒng)的模塊化技術(shù),作為系統(tǒng)內(nèi)核的一部分進(jìn)行運(yùn)行,有些Rootkits可以通過替換DLL文件或更改系統(tǒng)來攻擊Windows平臺。

自檢方法

  同樣我們還是使用游戲木馬檢測大師這款程序,利用它的“發(fā)信檢測”功能來判斷自己的系統(tǒng)中是否被安裝了木馬程序。在使用該功能以前,首先需要判斷系統(tǒng)的網(wǎng)卡是否工作正常。

  我們關(guān)閉其他一切會(huì)擾亂網(wǎng)絡(luò)數(shù)據(jù)捕捉的程序,然后去除“只捕獲smtp發(fā)信端口(25)和Web發(fā)信端口(80)”選項(xiàng),點(diǎn)擊“開始”按鈕就可以進(jìn)行數(shù)據(jù)包的捕捉。如果這時(shí)捕捉到有數(shù)據(jù)包發(fā)出,就證明自己的系統(tǒng)中存在木馬程序。

  根據(jù)木馬程序連接方式的不同,捕捉到的數(shù)據(jù)信息也不盡相同,但是捕捉到客戶端程序的IP地址還是沒有問題的。用過嗅探器的朋友都知道,我們可以通過設(shè)置過濾病毒特征數(shù)據(jù)包來發(fā)現(xiàn)蠕蟲病毒,當(dāng)然這種方法需要一定的相關(guān)知識,這里就不再敘述了。

應(yīng)對方法

  對于這種利用Rootkit技術(shù)的木馬程序,可以直接通過一些Rootkit檢測工具進(jìn)行查看。比如檢測工具Rootkit Detector(下載地址:http://download.cpcw.com),它通過程序內(nèi)置的MD5數(shù)據(jù)庫,來比較所檢測到的Windows 2000/XP/2003 系統(tǒng)全部服務(wù)和進(jìn)程的MD5校驗(yàn)值,這樣就可以檢測出系統(tǒng)下的Rootkit程序。

  在命令提示符窗口運(yùn)行命令:rd.exe,程序會(huì)自動(dòng)對當(dāng)前系統(tǒng)進(jìn)行檢測。程序首先會(huì)統(tǒng)計(jì)出系統(tǒng)中服務(wù)的數(shù)目、當(dāng)前的進(jìn)程,以及被隱藏的進(jìn)程,并且將系統(tǒng)當(dāng)前的進(jìn)程用列表顯示出來,然后進(jìn)入安全模式進(jìn)行刪除即可。

  我們可以根據(jù)需要,搭配使用些速殺流行木馬以及病毒的專殺工具,讓自己的電腦更加安全
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊舉報(bào)
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
兩種方法刪除感染病毒的頑固DLL文件
按圖索驥查殺頑固病毒
手工查殺木馬病毒3
【圖】掌握DLL文件即刻讓軟件都“綠”起來
如何清除正在運(yùn)行的EXE、DLL病毒-殺毒防毒-IT技術(shù)-天極網(wǎng)
黑客基礎(chǔ):會(huì)了這一招,小白再也不怕木馬病毒、流氓軟件了!(上)
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服