扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这里笔者给大家举一个很经典的例子,有一种木马程序会伪装成“RUNDLL32.EXE”进程,该木马同时会以命令行的方式调用相关动态链接程序库,进而启动后台真正的木马程序。但是用户只要按下Ctrl+Alt+Del组合键打开“任务管理器”,就会发现这个被伪装“RUNDLL32.EXE”进程CPU占用率竟然高达95%,这显然是不合常理的(如图2)。
2.查看系统服务
许多木马进程在自身启动工作状态以后,还会在后台悄悄开启部分系统服务来达到“信息监听”的目的,所以用户通过经常查看和关闭部分不必要的系统服务,也可以发现和防范木马:用户在系统的“运行”框中输入“msconfig”命令,随后将打开的“系统配置实用程序”切换到“服务”面板,而那里通过查看是否存在有陌生的系统服务来快速发现木马(如图3)。不过这种方法同样对用户的相关专业水平和经验要求较高,并且用户即便发现了陌生的系统服务,可能也无法知道对应木马的藏身之处。
图3
3.查看注册表中的“启动”键值
用户可以打开Windows的注册表,在其“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion”和“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下所有以“run”开头的键值中去寻找可疑的和一些陌生的键值(如图4)。不过这种方法的缺点与上面两个基本相同,都需要用户有较高的相关认知能力。
图4
另外,用户通过对系统Win.ini文件、System.ini文件、Autoexec.bat文件和Config.sys文件中相关语句的查看也可以发现和防范木马,比如在Win.ini文件中,在正常情况下其[Windows]字段中启动命令“load=”和“run=”等号后面应该是空白的,如果等号后面跟有“*.exe”字样,则可能就是木马程序。但是这种方法在操作上就显得过于繁琐了。
现在病毒和木马的变种非常多,有的病毒和木马自身就是几十乃至上百个不同的变种,而如AV终结者、灰鸽子等众多恶性病毒木马变种还会自动关闭部分杀毒软件的实时防控功能,所以用户自己学会一些快速发现和防范病毒木马的相关知识及技能是很有好处的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者