七步让木马与你断绝关系

ZDNet 安全频道频道 更新时间:2008-06-19 作者: 来源:SohuIT

本文关键词:木马 Dll exe

  大家都知道什么方法是最好的预防措施吗,我个人觉得,就是在事情没有放生之前制止了,这个是一个比较好的方法,从而,我们也就知道,只要在开机的时候,拒绝木马运行,也就从此和它88了下面给大家操作一下,我就不打字了。



  1 开始 中 启动,大家可以看里面的程序



  2 注册表中:



  "HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并双击“AutoRun”



  "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并双击“Run”



  "HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(这个一般与“开始”中“启动”的相同,但是在“启动”中没有显示)



  大家可以在这里面的程序,哪个不正常,就删除它



  3 开始---运行---gpedit.msc 策略组--用户配置--管理模块--系统--登陆--



  4 系统服务中的设置



  大家自己看看,里面有哪个不正常的,就终止它



  我们具体以鸽子为一个例子:



  我们先查看本机远程8000的端口,看是否打开,在没有中鸽子之前是没有远程8000端口的由于为了让大家看得明显,我就不改鸽子的设置。



  实战中大家要注意:



  "GrayPigeon_Hacker.com.cn,灰鸽子服务端程序。远程监控管理,"



  这些被放鸽子的人改过的信息,只要与原有的比较一下,还是可以判断出它是木马的运行鸽子



  基本步骤:



  1 查端口,一般为8000,大家可以用专业的工具查看,也可以用系统自带的工具查看比如:任务管理器,命令提示符。



  2 然后查程序所在位置终止进程,



  3 最后删除文件



  我就不操作了,大家知道就可以了值得注意的是腾讯QQ 也会开启远程8000端口的,要注意区分,可以查询腾讯IP。通过对比的方法,实现查找木马



  基本步骤:



  1备分安全状态下的一些情况



  2异常时,把异常的文件情况导出



  3对比前后两次的结果,根据集体情况,自己判断。



  具体操作,看我演示一下:



  首先,因为木马一般在windowssystem32,而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件,命令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt意思是说提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面.导好了,我们去看看,假设,我中木马了,木马为 MMMMM.exe 和mmmmmm.dll,我们再来中一个鸽子,在不安全状态下,我们又导出该目录下的文件名,命令dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt 存到C盘exe2.txt 与dll2.txt 里面下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较,



  命令fc c:exe1.txt c:exe2.txt>>c:b1.txt



  fc c:dll1.txt c:dll2.txt>>c:b2.txt



  b1.txt b2.txt这2个就是对比结果



  大家看见了吧,就这样,就可以判断是否中了木马然后我们找到他们,终止进程,删除就OK了我就不操作了

安全频道 木马 最新报道

安全频道 Dll 最新报道

安全频道 exe 最新报道

[an error occurred while processing this directive]