木马查杀
2018-07-21如今网络安全隐患越来越严重了,黑客工具傻瓜化,随便一个菜鸟都可以借助工具制作出自己的“马”。聊QQ、收邮件、看网页都有可能被马给“踩”。稍不留神,你的账户、密码、个人信息等重要信息就会被这些“马”给“驮”走了,你知道怎么识马、抓马、赶马吗?下面的我们就来看看如何对付这些顽劣的“马”。
一、学伯乐识“马”木马这从本质上说就是一种远程控制软件。不过远程控制软件也有规部队和山野土匪之分。正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如WindowsXP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马则属于山野土匪,他们会偷偷潜入你的电脑进行破坏,通过修改注册表、捆绑在正常程序上等方式运行,使你觉察不到其踪迹。
木马与普通远程控制软件另外一个不同点在于,木马实现远程控制的能力更强,不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、修改注册表、盗取密码、记录键盘动作和限制系统功能等。而且你还可能成为养“马”者的帮凶,养“马”者还可能用你的电脑去攻击别人,让你背黑锅。
二、寻根溯源,找到引“马”入室的罪魁祸首
作为一个不受欢迎的土匪,木马是如何钻进我们的系统的呢?一般有这么几种途径:
(1)利用QQ传播。例如你的QQ好友中了某种木马,这个木马很有可能在好友的电脑上运行QQ,并发一条消息给你,诱使你打开某个链接或运行某个程序,如果你不慎点击或运行,“马”儿就会偷偷跑进来;
(2)与文件捆绑。如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜进来;
(3)网页挂马。黑客把做好的木马放到网页上,诱使你打开网页,你只要浏览这个页面就中招了;
(4)网吧种马。网吧的电脑安全性差,黑客可以直接在电脑上做手脚,所以网吧中藏“马”的机器很多,在网吧上网时受到木马攻击的几率很大。
(5)以上这些方法联合行动,组合在一起对你进行攻击。
三、查“马”杀“马”
“查”马
(1)查看开放的端口。同远程控制软件一样,为了与其主人联系,它必须给自己开道后门(即端口),因此我们可以通过查看电脑开放的端口情况来判断是否有木马经过。选择“开始”-->“运行”-->输入“CMD”后回车-->打开命令行编辑界面,在里边输入命令“netstat -an”,其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如 7626(冰河木马),54320(BackOrifice2000)等。
(2)查看注册表。为了实现随系统自动启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,
定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开ShellFolders、UserShellFolders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾“到此一游”。
(3)查看系统配置文件。很多木马文件都会修改系统文件,而win.ini和system.ini文件被修改最频繁。我们需要对其进行定期检查。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell= Explorer.exe”,如果是其他程序则也可能是中了木马。
(4)除以上方法以外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。
“防”马
在系统中搜索mshta.exe文件,修改文件名,如改为cfan.exe。再在“运行”中输入“%windows%coMMand”,将里边 debug.exe和也改名。打开注册表编辑器,定位到: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Active XCompatibility,在里边找到“ActiveSetupcontrols”子键(如没有就手动建立一个),在其目录下创建新子键,命名为 {6E449683_C509_11CF_AAFA_00AA00B6015C},在右侧的空白处单击鼠标右键,选择“新键”-->“DWORD值”,键名取为 “Compatibility”,设定键值为“0x00000400”即可。