『壹』 怎樣能看到運行的木馬程序
木馬偷走的是密碼而已,打開電腦任務管理器 點進程就可以看見了
『貳』 如何查看木馬
用貝殼木馬查殺試試吧!
『叄』 木馬的檢測
木馬的檢測、清除與防範
來源:CNCERT/CC廣東分中心編寫
木馬程序不同於病毒程序,通常並不象病毒程序那樣感染文件。木馬一般是以尋找後門、
竊取密碼和重要文件為主,還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作,具有很強的隱蔽性、
突發性和攻擊性。由於木馬具有很強的隱蔽性,用戶往往是在自己的密碼被盜、
機密文件丟失的情況下才知道自己中了木馬。在這里將介紹如何檢測自己的機子是否中了木馬,
如何對木馬進行清除和防範。
木馬檢測
1、查看開放埠
當前最為常見的木馬通常是基於TCP/UDP協議進行Client端與Server端之間的通訊的,
這樣我們就可以通過查看在本機上開放的埠,看是否有可疑的程序打開了某個可疑的埠。
例如冰河使用的監聽埠是7626,Back Orifice 2000使用的監聽埠是54320等。
假如查看到有可疑的程序在利用可疑埠進行連接,則很有可能就是中了木馬。
查看埠的方法有幾種:
(1)使用Windows本身自帶的netstat命令
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*
(2)使用windows2000下的命令行工具fport
E:\software>Fport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
420 svchost -> 135 TCP E:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
768 MSTask -> 1025 TCP E:\WINNT\system32\MSTask.exe
8 System -> 1027 TCP
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
256 lsass -> 500 UDP E:\WINNT\system32\lsass.exe
(3)使用圖形化界面工具Active Ports
這個工具可以監視到電腦所有打開的TCP/IP/UDP埠,還可以顯示所有埠所對應的程序所在的路徑,
本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。這個工具適用於Windows NT/2000/XP平台。
2、查看win.ini和system.ini系統配置文件
查看win.ini和system.ini文件是否有被修改的地方。
例如有的木馬通過修改win.ini文件中windows節 的「load=file.exe ,run=file.exe」語句進行自動載入。
此外可以修改system.ini中的boot節,實現木馬載入。
例如 「妖之吻」 病毒,將「Shell=Explorer.exe」 (Windows系統的圖形界面命令解釋器)
修改成「Shell=yzw.exe」,在電腦每次啟動後就自動運行程序yzw.exe。
修改的方法是將「shell=yzw.exe」還原為「shell=explorer.exe」就可以了。
3、查看啟動程序
如果木馬自動載入的文件是直接通過在Windows菜單上自定義添加的,
一般都會放在主菜單的「開始->程序->啟動」處,
在Win98資源管理器里的位置是「C:\windows\start menu\programs\啟動」處。
通過這種方式使文件自動載入時,一般都會將其存放在注冊表中下述4個位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
檢查是否有可疑的啟動程序,便很容易查到是否中了木馬。
在Win98系統下,還可以直接運行Msconfig命令查看啟動程序和system.ini、win.ini、autoexec.bat等
文件。
4、查看系統進程
木馬即使再狡猾,它也是一個應用程序,需要進程來執行。可以通過查看系統進程來推斷木馬是否存在。
在Windows NT/XP系統下,按下「CTL+ALT+DEL」,進入任務管理器,就可看到系統正在運行的全部進程。
在Win98下,可以通過Prcview和winproc工具來查看進程。查看進程中,要求你要對系統非常熟悉,
對每個系統運行的進程要知道它是做什麼用的,這樣,木馬運行時,
就很容易看出來哪個是木馬程序的活動進程了。
5、查看注冊表
木馬一旦被載入,一般都會對注冊表進行修改。一般來說,
木馬在注冊表中實現載入文件一般是在以下等處:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunServices
此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
「「%1」 %*」處,如果其中的「%1」被修改為木馬,那麼每次啟動一個該可執行文件時木馬就會啟動一次,
例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件,
每次打開記事本時就會自動啟動冰河木馬,做得非常隱蔽。
還有「廣外女生」木馬就是在HKEY_CLASSES_ROOT\exefile\shell\open
\command=「「%1」 %*」處將其默認鍵值改成"%1" %*",
並在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices添加了名稱為"Diagnostic Configuration"的鍵值;
6、使用檢測軟體
上面介紹的是手工檢測木馬的方法,此外,我們還可以通過各種殺毒軟體、
防火牆軟體和各種木馬查殺工具等檢測木馬。各種殺毒軟體主要有:KV3000,Kill3000、瑞星等,
防火牆軟體主要有國外的Lockdown,國內的天網、金山網鏢等,各種木馬查殺工具主要有:The Cleaner、
木馬剋星、木馬終結者等。這里推薦一款工具防護工具McAfee VirusScan ,
它集合了入侵防衛及防火牆技術,為個人電腦和文件伺服器提供全面的病毒防護。
木馬清除
檢測到電腦中了木馬後,就要根據木馬的特徵來進行清除。查看是否有可疑的啟動程序、
可疑的進程存在,是否修改了win.ini、system.ini系統配置文件和注冊表。
如果存在可疑的程序和進程,就按照特定的方法進行清除。
主要的步驟都不外乎以下幾個:
(但並不是所有的木馬清除都能夠根據下列步驟刪除,這里只是介紹清除木馬的基本方法)
1、刪除可疑的啟動程序
查看系統啟動程序和注冊表是否存在可疑的程序後,判斷是否中了木馬,
如果存在木馬,則除了要查出木馬文件並刪除外,還要將木馬自動啟動程序刪除。
例如Hack.Rbot病毒、後門就會拷貝自身到一些固定的windows自啟動項中:
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
查看一下這些目錄,如果有可疑的啟動程序,則將之刪除。
2、恢復win.ini和system.ini系統配置文件的原始配置
許多病毒會將win.ini和system.ini系統配置文件修改,使之能在系統啟動時載入和運行木馬程序。
例如電腦中了「妖之吻」病毒後,病毒會將system.ini中的boot節的
「Shell=Explorer.exe」欄位修改成「Shell=yzw.exe」,清除木馬的方法是把system.ini給恢復原始配置,
即「Shell=yzw.exe」修改回「Shell=Explorer.exe」,再刪除掉病毒文件即可。
TROJ_BADTRANS.A病毒,也會更改win.ini以便在下一次重新開機時執行木馬程序。
主要是將win.ini中的windows節的「Run=」欄位修改成「Run= C:%WINDIR%INETD.EXE」欄位。
執行清除的步驟如下:
(1)打開win.ini文本文件,將欄位「RUN=C:%WINDIR%INETD.EXE」中 等號後面的字元刪除,
僅保留「RUN=」。
(2)將被TROJ_BADTRANS.A病毒感染的文件刪除。
3、停止可疑的系統進程
木馬程序在運行時都會在系統進程中留下痕跡。通過查看系統進程可以發現運行的木馬程序,
在對木馬進行清除時,當然首先要停掉木馬程序的系統進程。
例如Hack.Rbot病毒、後門除了將自身拷貝到一些固定的windows自啟動項中外,
還在進程中運行wuamgrd.exe程序,修改了注冊表,以便病毒可隨機自啟動。
在看到有木馬程序在進程中運行,則需要馬上殺掉進程,並進行下一步操作,修改注冊表和清除木馬文件。
4、修改注冊表
查看注冊表,將注冊表中木馬修改的部分還原。例如上面所提到的Hack.Rbot病毒、後門,
向注冊表的以下地方:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
添加了鍵值"Microsoft Update" = "wuamgrd.exe",以便病毒可隨機自啟動。
這就需要我們進入注冊表,將這個鍵值給刪除。注意:可能有些木馬會不允許執行.exe文件,
這樣我們就需要先將regedit.exe改成系統能夠運行的,比如可以改成regedit.com。
這里就說說如何清除Hack.Rbot病毒、後門的。
(1)將進程中運行的wuamgrd.exe進程停止,這是一個木馬程序;
(2)將Hack.Rbot拷貝到windows啟動項中的啟動文件刪除;
(3)將Hack.Rbot添加到注冊表中的鍵值"Microsoft Update"=
"wuamgrd.exe"刪除;
(4)手工或用專殺工具刪除被Hack.Rbot病毒感染的文件。並全面檢查系統。
5、使用殺毒軟體和木馬查殺工具進行木馬查殺
常用的殺毒軟體包括KV3000、瑞星、諾頓等,這些軟體對木馬的查殺是比較有效的,
但是要注意時刻更新病毒庫,而且對於一些木馬查殺不徹底,在系統重新啟動後還會自動載入。
此外,你還可以使用The Cleaner、木馬剋星、木馬終結者等各種木馬轉殺工具對木馬進行查殺。
這里推薦一款工具Anti-Trojan Shield,這是一款享譽歐洲的專業木馬偵測、攔截及清除軟體。
可以在http://www.atshield.com網站下載。
木馬防範
隨著網路的普及,硬體和軟體的高速發展,網路安全顯得日益重要。對於網路中比較流行的木馬程序,
傳播時間比較快,影響比較嚴重,因此對於木馬的防範就更不能疏忽。
我們在檢測清除木馬的同時,還要注意對木馬的預防,做到防範於未然。
1、不要隨意打開來歷不明的郵件
現在許多木馬都是通過郵件來傳播的,當你收到來歷不明的郵件時,請不要打開,應盡快刪除。
並加強郵件監控系統,拒收垃圾郵件。
2、不要隨意下載來歷不明的軟體
最好是在一些知名的網站下載軟體,不要下載和運行那些來歷不明的軟體。
在安裝軟體的同時最好用殺毒軟體查看有沒有病毒,之後才進行安裝。
3、及時修補漏洞和關閉可疑的埠
一般木馬都是通過漏洞在系統上打開埠留下後門,以便上傳木馬文件和執行代碼,
在把漏洞修補上的同時,需要對埠進行檢查,把可疑的埠關閉。
4、盡量少用共享文件夾
如果必須使用共享文件夾,則最好設置帳號和密碼保護。注意千萬不要將系統目錄設置成共享,
最好將系統下默認共享的目錄關閉。Windows系統默認情況下將目錄設置成共享狀態,這是非常危險的。
5、運行實時監控程序
在上網時最好運行反木馬實時監控程序和個人防火牆,並定時對系統進行病毒檢查。
6、經常升級系統和更新病毒庫
經常關注廠商網站的安全公告,這些網站通常都會及時的將漏洞、木馬和更新公布出來,
並第一時間發布補丁和新的病毒庫等。
採用注冊表來管理系統配置,主要是為了提高系統的穩定性,平時操作系統出現的一些問題,
諸如系統無法啟動、應用程序無法運行、系統不穩定等情況,很多都是因為注冊表出現錯誤而造成的,
而通過修改相應的數據就能解決這些問題,所以,掌握如何正確備份、恢復注冊表的方法,
可以讓每一個用戶更加得心應手地使用自己的電腦。
一、利用注冊表編輯器手工備份注冊表
注冊表編輯器(Regedit)是操作系統自帶的一款注冊表工具,通過它就能對注冊表進行各種修改。
當然,"備份"與"恢復"注冊表自然是它的本能了。
(1)通過注冊表編輯器備份注冊表
由於修改注冊表有時會危及系統的安全,因此不管是WINDOWS 98還是WINDOWS 2000甚至WINDOWS XP,
都把注冊表編輯器"藏"在了一個非常隱蔽的地方,要想"請"它出山,必須通過特殊的手段才行。
點擊"開始"菜單,選擇菜單上的"運行"選項,在彈出的"運行"窗口中輸入"Regedit"後,點擊"確定"按鈕,
這樣就啟動了注冊表編輯器。
點擊注冊表編輯器的"注冊表"菜單,再點擊"導出注冊表文件"選項,
在彈出的對話框中輸入文件名"regedit",將"保存類型"選為"注冊表文件",再將"導出范圍"設置為"全部",
接下來選擇文件存儲位置,最後點擊"保存"按鈕,就可將系統的注冊表保存到硬碟上。
完成上述步驟後,找到剛才保存備份文件的那個文件夾,就會發現備份好的文件已經放在文件夾中了。
(2)在DOS下備份注冊表
當注冊表損壞後,WINDOWS(包括"安全模式")無法進入,此時該怎麼辦呢?
在純DOS環境下進行注冊表的備份、恢復是另外一種補救措施,下面來看看在DOS環境下,
怎樣來備份、恢復注冊表。
在純DOS下通過注冊表編輯器備份與恢復注冊表前面已經講解了利用注冊表編輯器在WINDOWS環境下備份、
恢復注冊表,其實"Regedit.exe"這個注冊表編輯器不僅能在WINDOWS環境中運行,也能在DOS下使用。
雖然在DOS環境中的注冊表編輯器的功能沒有在WINDOWS環境中那麼強大,但是也有它的獨到之處。
比如說通過注冊表編輯器在WINDOWS中備份了注冊表,可系統出了問題之後,無法進入WINDOWS,
此時就可以在純DOS下通過注冊表編輯器來恢復注冊表。
應該說在DOS環境中備份注冊表的情況還是不多見的,一般在WINDOWS中備份就行了,
不過在一些特殊的情況下,這種方式就顯得很實用了。
進入DOS後,再進入C盤的WINDOWS目錄,在該目錄的提示符下輸入"regedit"後按回車鍵,
便能查看"regedit"的使用參數。
通過"Regedit"備份注冊表仍然需要用到"system.dat"和"user.dat"這兩個文件,
而該程序的具體命令格式是這樣的:
Regedit /L:system /R:user /E filename.reg Regpath
參數含義:
/L:system指定System.dat文件所在的路徑。
/R:user指定User.dat文件所在的路徑。
/E:此參數指定注冊表編輯器要進行導出注冊表操作,在此參數後面空一格,輸入導出注冊表的文件名。
Regpath:用來指定要導出哪個注冊表的分支,如果不指定,則將導出全部注冊表分支。在這些參數中
,"/L:system"和"/R:user"參數是可選項,如果不使用這兩個參數,
注冊表編輯器則認為是對WINDOWS目錄下的"system.dat"和"user.dat"文件進行操作。
如果是通過從軟盤啟動並進入DOS,
那麼就必須使用"/L"和"/R"參數來指定"system.dat"和"user.dat"文件的具體路徑,
否則注冊表編輯器將無法找到它們。
比如說,如果通過啟動盤進入DOS,
則備份注冊表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",
該命令的意思是把整個注冊表備份到WINDOWS目錄下,其文件名為"regedit.reg"。
而如果輸入的是"regedit /E D:\regedit.reg"這條命令,
則是說把整個注冊表備份到D盤的根目錄下(省略了"/L"和"/R"參數),其文件名為"Regedit.reg"。
( 3)用注冊表檢查器備份注冊表
在DOS環境下的注冊表檢查器Scanreg.exe可以用來備份注冊表。
命令格式為:
Scanreg /backup /restore /comment
參數解釋:
/backup用來立即備份注冊表
/restore按照備份的時間以及日期顯示所有的備份文件
/comment在/restore中顯示同備份文件有關的部分
注意:在顯示備份的注冊表文件時,壓縮備份的文件以 .CAB文件列出,
CAB文件的後面單詞是Started或者是NotStarted,Started表示這個文件能夠成功啟動Windows,
是一個完好的備份文件,NotStarted表示文件沒有被用來啟動Windows,
因此還不能夠知道是否是一個完好備份。
比如:如果我們要查看所有的備份文件及同備份有關的部分,命令如下:
Scanreg /restore /comment
注冊表恢復
注冊表中存放著計算機軟硬體的配置信息,病毒、網頁惡意代碼往往要修改注冊表,
平時安裝、操作軟體也會使注冊表內容發生變化。當計算機工作不正常時,
往往可以通過恢復注冊表來修復。所以,平時我們應經常備份注冊表(運行regedit,導出注冊表文件)。
這樣,需要時就可以導入過去某個備份,使電腦恢復正常。
如果平時沒有導出注冊表,則只好通過運行 scanreg /restore來恢復注冊表,
或運行scanreg
/fix來修復注冊表。不過該命令應該在DOS下執行。對於win98系統,開機時按F8,
選擇Command Prompt
Only進入DOS;對於WinMe系統,則可以運行Command進入DOS。當然,也可以用軟盤引導系統,
進入C:\windows\command子目錄,然後執行上述修復注冊表的命令。
目前網頁惡意代碼最可惡的破壞行為之一是在注冊表中禁止了程序運行。
此時因IE無法運行,不能使用在線自動修復;且「微機數據維護」等修復軟體也不能運行;
同樣也不能導入注冊表文件來修復注冊表。此時唯一的辦法就是在DOS下運行C:\windows
scanreg /restore來修復注冊表。
『肆』 如何在Win7系統任務管理器查出隱藏在進程中的木馬
在Win7系統任務管理器中我們可以方便地對系統的各項資源、進程進行了解。有時候我們發現自己的電腦運行起來非常慢,這可能是由於一些木馬程序進入佔用大量的系統資源造成的。一些木馬程序進入我們系統後,在後台運行時它都會偽裝起來,這樣我們會很難發現他的行蹤。我們除了能方便的查看各個任務的進程來查看是否中了木馬等病毒程序外,我們還可以通過Win7系統提供的「資源監視」功能,在查看進程的同時還能了解系統資源的各種狀態,揪出系統背後木馬程序。
首先在Windows任務欄按下滑鼠右鍵,在右鍵菜單欄中選擇「啟動任務管理器」,在「性能」界面中單擊「資源監視器」按鈕,打開「資源監視器」界面
Win7系統「資源監視器」功能,比以前的版本要強大很多,在此我們可以方便地查看各項資源使用情況。在此我們可以非常方便的查看系統中運行的程序對CPU、內存、網路監視器等使用情況,下面我們就以查看哪個程序CPU使用率高 為例來了解一下查看方法.
一般木馬程序在後台運行時都要不不斷復制系統中的文件信息,這樣該程序會佔用大量的CPU和內存資源。首先我們來查看某個程序佔用CPU資源情況,在「資源監視器」界面切換到CPU項下,在此顯示出所有正在運行的程序的CPU使用情況。如果你發現某個進程CPU使用率較高,在「進程」列表中勾選某個需要查看的進程後,在「服務」項中我們可以看到與該進程相關聯的所有服務項目,在下面的「關聯句柄」項目中我們可以看到和該程序關聯的所有進程信息。
『伍』 如何查看隱藏的木馬進程啊,
病毒和木馬隱藏的不外乎幾個方面.
啟動項. 服務..注冊表.
如果你中了病毒.
首先查看一下啟動.
有沒有可疑的文件或程序在運行?
服務是病毒常光顧的地方.
如果你遇到不能刪掉的文件.
有可能隱藏在裡面了.
這方面要靠你仔細的觀察了.
注冊表你要看的是這個根項
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
『陸』 如何查詢電腦中木馬程序
打開任務管理器查看進程 看看有無新加的進程 上網路搜索下
『柒』 怎樣查看木馬及病毒文件
你可以下載一款殺毒軟體殺毒,比如騰訊電腦管家
打開騰訊電腦管家--閃電殺毒--全盤掃描--完成
騰訊電腦管家應用了具有「自學習能力」的自研第二代「鷹眼」引擎,
業界首創將CPU虛擬執行技術運用到殺毒軟體中,
能夠根除頑固病毒、大幅度提升深度查殺能力,
並且大大降低了殺毒軟體對用戶電腦系統資源的佔用率。
同時,沿用「4+1」多引擎架構保證了騰訊電腦管家病毒查殺的穩定性。
誤殺率也極低,深受廣大用戶的認可。
『捌』 怎麼在任務管理器看木馬
呵呵~~~打開任務管理器,查看進程 裡面有很多了,自己去找可疑的進程,比如QQ的進程有QQ.EXE TIMPLAFORM.EXE等等,如果看到一個自己不知道的,可以在網路搜索一下,基本上就知道是什麼了或者是不是病毒木馬進程了。
『玖』 如何用最簡單的方法檢查計算機是否中了木馬病毒
嚴格來講,木馬和病毒是兩種概念。木馬是一種載體,最終的目的是把宿主程序(一般是後門程序和病毒程序)植入目標計算機。
所以你的問題的答案應該是這樣的:
對於木馬程序,首先應該查看系統進程(使用windows2000/xp的任務管理器或者第三方軟體)中有沒有異常活動的進程,如果有,仔細檢查該進程的來源。
再用工具查看windows的啟動項,用winxp下的msconfig或者其他工具都可以。一般木馬的入口都在這里,把可疑的啟動項禁止,再次啟動以確認。
使用netstat程序或者其他工具查看本機的埠開放情況,對於無法確認的開放埠,察看其監聽程序是否為合法軟體。
最後,可以用專用工具來查殺,比如木馬防線,木馬剋星等工具,防病毒軟體在這方面的功能比較弱,但也有一定的功效。
『拾』 怎樣查看木馬進程
第一步:打開任務管理器。根據和常見進程比較,很明顯會發現兩個「熟悉的陌生人」(和系統基本進程名稱相似,但不相同):「internet.exe」和「systemtray.exe」。請和上一實例中的」配角「進程比較。
第二步:打開「系統信息」的「軟體環境→正在運行任務」,查看路徑信息,兩者均指向WindowsSystem32目錄,而且文件大小、日期均相同,但從文件日期來看並不屬於微軟的系統文件。進入資源管理器查看其版本屬性,雖然公司標明為Microsoft,但與系統文件中的微軟公司名稱書寫並不相同,基本可斷定是非法進程,並且為雙進程模式。
第三步:在嘗試結束進程時,第一次選擇「systemtray.exe」來結束進程樹,結果進程馬上就再生了,任務管理器中又顯示出這兩個進程!於是再次選擇「internet.exe」,然後結束進程樹●。進程沒有再生,從而將木馬進程從系統中清除。
實例三:真真假假系統進程
許多病毒和木馬為避免從進程名稱中發現它們的蹤影,往往會採用「障眼法」,使用和系統文件或系統進程名稱類似的進程名稱。
1.文件名偽裝
(1)修改常見程序或進程個別字元
例如,上面介紹的「Falling Star」木馬的進程名稱「internet.exe」就與輸入法進程「internat.exe」十分相似。「WAY無賴小子」的服務端進程名稱為「msgsvc.exe」,與系統基本進程「msgsrv32.exe」類似,還有Explorer.exe和Exp1orer.exe的區別,不仔細的話你能看出來嗎?(數字「1」取代了字母「l」)
(2)修改擴展名
著名的冰河木馬的服務端進程為Kernel32.exe,乍一看很熟悉,好像是哪個系統進程,其實系統根本不存在這樣一個文件,Windows 9x的基本進程中卻有一個叫做「Kernel32.dll」的。諸如此類的還有「Shell32.exe」的木馬進程是從「Shell32.dll」這個大家都很熟悉的文件「演變」而來的,實際在系統中都是不存在的。
2.路徑偽裝
Windows目錄和System目錄是系統核心文件所在地,一般是「閑人免進」。因此,出入它們的文件一般都被人們認為是系統文件,而病毒和木馬就借機將源文件放在這兩個目錄中。對於這類情況,一般只需要通過系統信息找到其源文件路徑,打開文件的屬性,從日期(這個非常重要,可以看是否與系統文件日期一樣)、版本、公司名稱信息中即可看出破綻。沒有哪個病毒、木馬文件能設計得與系統文件完全一致。
實例四:優化系統從進程開始
除系統運行必須的基本進程外,每個程序運行後都會在系統中生成進程,每個進程都會佔用一定的CPU資源和內存資源。過多的進程和一些設計不良的進程就會導致系統變慢、性能下降,這時可對它們進行一下優化。
1.精簡進程
系統中的一些進程並不是必須的,結束它們並不會對系統造成什麼損害。
比如:internat.exe(顯示輸入法圖標)、systray.exe(顯示系統托盤小喇叭圖標)、ctfmon.exe(微軟Office輸入法)、mstask.exe(計劃任務)、sysexplr.exe(超級解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做「進程殺手」的免費小工具,具備自動精簡進程功能,可自動中止系統基本進程以外的所有進程。在懷疑電腦運行了某些黑客進程或病毒進程但又不能確定是哪一個時,該軟體就可以有效清除那些非法進程。不過它只適合Windows 9x/Me。下載地址http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.殺死不良進程
有時你會發現系統運行速度特別慢,這時可打開任務管理器,單擊「進程」標簽,點擊「CPU」列標簽讓進程按CPU資源佔用排序,可以很明顯地看到資源佔用最高的程序。同樣方法,可以點擊「內存」列標簽,查看那些內存佔用大戶,及時結束進程。
這里有一種情況比較特殊:在查看CPU佔用率時,一個叫做「System Idle Process」的進程會一直顯示在90%左右。不必擔心,實際上它並沒有佔用這么多系統資源,單擊「性能」標簽可看到其實際的CPU資源佔用情況。
★對於Windows 9x,使用任務管理器是無法像Windows 2000/XP那樣看到所有進程以及CPU、內存佔用情況,推薦使用Process Explorer(下載地址http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)。
★如果某個16位程序影響了系統運行,而且死活也關不掉,可進入任務管理器的進程選項卡,找到NTVDM.exe進程,將其關掉即可殺掉所有16位應用程序,而不用重啟。
3.優化軟體或游戲性能
你還可以通過改變軟體和游戲進程優先順序來提高其性能,這樣能使它們運行得更快,當然負作用就是可能影響到其他正在運行的進程。比如,為避免刻錄緩存溢出問題造成刻錄失敗,可進入任務管理器的進程選項卡,找到並右擊刻錄軟體的進程項,選擇「設置優先順序」,然後在彈出的子菜單中選擇「高」。如果你不想每次都這樣設置,可使用下面的方法。
第一步:打開軟體或游戲所在目錄,比如:D:/game,在這里新建一個文本文件,在其中輸入以下語句:
echo off
start /priority game.exe
說明:將priority替換為所需的CPU優先順序,建議使用high(高)、abovenormal(高於標准),因為它們的效果最好。將game.exe替換為軟體或游戲的可執行文件名稱,比如:stvoy.exe。
第二步:做完以上修改後將其保存為game.bat,現在就能通過這個文件來啟動游戲或軟體,而它將會使游戲或軟體具有更高的CPU優先順序。不過要注意的是,該文件必須要保存在游戲或軟體所在目錄