科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Syscheck反黑工具将木马清除到底

Syscheck反黑工具将木马清除到底

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

尽管瑞星、卡巴等一系列著名杀软,有着超强的杀毒功效,但是其清除病毒及木马的“套路”,早已被黑客们所熟悉,所以很难查杀到一些具有针对杀软而隐蔽的木马。因此这里你妨使用有着“天下无敌”反黑绰号的Syscheck工具,将机器里的木马、病毒连根删除。

作者:论坛整理 来源:zdnet网络安全 2008年5月25日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

尽管瑞星、卡巴等一系列著名杀软,有着超强的杀毒功效,但是其清除病毒及木马的“套路”,早已被黑客们所熟悉,所以很难查杀到一些具有针对杀软而隐蔽的木马。因此这里你妨使用有着“天下无敌”反黑绰号的Syscheck工具,将机器里的木马、病毒连根删除。

一、 集杀毒软件之所长的Syscheck工具

Syscheck工具与冰刃一样,都是国产的安全检测工具,它集合了众多安全软件的杀毒优点,具有强大的系统扫描、系统修复、进程管理及内核检测,而一体的清除功效。对于如今流行的Rootkit木马病毒可准确检测并将其删除,另外对付流氓软件之类的恶意程序,也更是小菜一碟,总之有了Syscheck反黑工具,我们菜鸟也就有了安全保障。 小提示:Syscheck反黑工具,采用了特殊的检测技术,因此一些杀毒软件可能对其软件,实为危险程序,来给予报警及阻挡提示,这是误报,请大家不要担心。

二、 按照进程的颜色提示,可轻松揪出木马程序

启动Syscheck程序,在弹出的操作界面里,单击“进程管理”按钮,此时下方编辑区就会出现三种颜色的进程提示(如图1),

进程管理项

其中黑色代表绝对安全的系统进程,而红色进程则代表第三方程序进程,这类进程很有可能是潜伏在系统里的木马进程,你可根据其进程名称及模块里所提供的信息,来判断它是不是木马。如果发现的可疑进程,与系统的某些进程、安装路径极为相似,那么这肯定就是黑客为了迷惑我们的木马进程,勾选其进程的复选框后,单击左下角“批量结束进程”按钮,即可将其木马终止运行。当然有些木马采用了“进程守护”功能,在结束进程后,它们依然可以自动启动和恢复被关闭的进程,所以你还需勾选上“禁止外部线程创建”项,来防止其木马进程的“重生”。

另外最后一种颜色紫色,也代表的是系统进程,不过与其黑色代表不同的是,它有第三方程序加载在其中,比如DLL文件或其他驱动程序,因此这类进程很有可能被黑客所利用。要想知道某进程加载危险文件的位置,只要勾选下面“模块简洁显示”复选框,选择“紫色进程”的名称,此时模块信息内,所出现红色文件的位置,就是存在危险的加载文件。如果你无法判断它们是不是木马,可以通过在“模块信息”窗口内,右键点击危险文件名,选择“使用Goole搜索”选项,来查阅其文件相关资料进行识别。当然也许你能无需查阅资料,便知它是木马,可直接右键该DLL模块文件,选择“卸载模块并删除文件”选项(如图2),

卸载模块并删除文件

即可将其加载到系统进程里的DLL木马文件删除。

或许你是一个刚刚入门的电脑新手,感觉以上清除木马的方法有点烦琐,那么这里你可以直接单击“快速净化”按钮(如图3)。

快速净化图

在弹出的“操作确认”对话框内,单击“是(Y)”按钮,它就会像系统还原一样,修复系统第三方加载模块,并进行全面净化,让潜伏在系统进程内的木马“化为灰烬”。

三、 木马服务连根拔

木马运行除了进程可以启动外,其服务的驱动方式也是让木马“苏醒”的重要渠道,因此这类启动的木马,我们通过进程管理是无法查杀的,此时你可利用Syscheck的“服务管理”功能来查杀。这里单击界面中的“服务管理”按钮,其默认显示的是系统当前所有启动服务,为了便于查找潜伏的木马服务,我们选择“仅显示非微软”选项,来观看除系统服务外的第三方服务(如图4)。

第三方服务图

通过右键菜单,可以查看服务对应的文件信息,从而能够准确判断出它是否为木马服务。倘若其服务对应的是木马文件,可在该服务处单击“右键”按钮,选择“停止服务”或者“禁用服务”选项,即可将运行的木马终止。如果你的系统刚刚安装完,并且想在以后的日子里,能够快速查找到自己系统,新增的服务及木马,请在第一次使用服务快照功能时,选择“使用过滤列表”选项。然后在弹出的“要记录默认服务”窗口,单击“Yes”按钮,此时就会将当前系统所运行的服务记录,当以后要检测系统服务时,只要再选择其“使用过滤列表”选项后,列表窗口就会只显示新增的服务了。如果其新增的服务有可信任服务,可单击“右键”按钮,选择“加入信任列表”选项,即可将其加入到默认记录的服务内。

以后机器假如身中木马,只要把系统还原到初试可信任服务,那些再顽固不化的木马、病毒,也会飘然而去。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章