• 欢迎访问金刀客博客!
  • 2019,春节快乐!

我是这样帮MM找出木马程序的<转贴系列之十一>

技术文章 admin 2463次浏览 已收录 0个评论

今天一上QQ,就看见我的好朋友Rena呼叫我,说是电脑很多奇怪问题。具体是电脑变得很慢,网速也比平时慢了一大截,CPU占用率经常100%;有时鼠标会自己到处移动,并把她开着的窗口关掉了,防病毒软件实时监控被莫名其妙地关闭并且无法重新打开,而且MM的另一个QQ密码被盗了……
  从以上的种种迹象,不难看出,MM是遭到黑客入侵了。于是有了这次反黑经历。文章技术含量不高,但可以告诉你查杀木马后门的一般步骤,相信对你也是很有帮助的。
  首先必须准备一些检测工具。这里我要用到的是Pstools里的pslist.exe和IceSword。
  一、检查系统进程
  进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。大多数木马运行时,并没有隐藏其进程。所以,通过pslist.exe列出进程列表,可以揪出可疑进程。注意:检查进程时要格外细心,比如“Explorer”是真正的系统进程,而“Exp1orer”就是木马了。前者是字母“l”,后者是数字“1”;或者把其中的“o”改为数字“0”,两者仅仅一字之差,这是木马的瞒天过海之计。
  首先在开始–>运行里输入“cmd”然后回车,打开命令提示符。然后跳转到Pstools所在目录,运行pslist.exe,就可以看到当前系统正在运行的进程了。不过并没有发现可疑进程,看来这只马已经把进程隐藏了。当然如果你发现了可疑进程,可用pskill.exe结束进程。如图1:

  二、检查注册表启动项
  大部分木马都会在注册表的启动项中添加注册表项,以便于可以开机后随系统启动。这里,我们的IceSword要派上用场了。IceSword是一斩断黑手的利刃,它适用于Windows 2000/XP/2003操作系统,用于查探系统中的幕后黑手。打开IceSword,在左侧的“查看”选项卡里,点击“启动组”,则你的系统里有哪些程序是随系统启动的一目了然。在MM的电脑里,发现了C:\WINNT\System32\Ps.exe被加载到启动项,显然这个程序以前没见过。如图2:

  三、检测开放端口
  通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。一般木马和后门程序,都会在在系统中开放某个端口并初于监听状态,以便为骇客随时可以再次控制你的系统打开方便之门。现在有很多木马采用反向连接技术,即不在系统开放端口,而是主动连接骇客事先设置好的IP地址。这样便可以轻松穿透防火墙。而MM的电脑现在正对外连接IP为192.168.136.1的4141端口,这里面肯定有问题!可以初步断定,该木马有反向连接功能。如图3:

  四、妙用搜索
  当我们创建或访问过一个程序时,它的最后修改时间和最后访问时间是会随之变化的。那么,我们就可以通过系统自带的搜索功能,搜索出最接电脑近出现不正常现象的时间里,系统都创建了哪些文件或者修改过哪些文件。在文件夹的工具栏中,点击搜索;在“要搜索的文件或文件夹名为”和“包含文件”两栏不要填任何关键字;“搜索选项”里,选择“日期”,由于我MM是3月6号电脑开始不正常的,所以我搜索介于2005-3-5和2005-3-6之间,点“立即搜索”,结果出来了(如图4)。其中有个Ps.exe是刚创建的,而且前面已经知道了该程序随系统启动。可以肯定这个就是木马程序了,立刻删除!然后再把启动项里的相关注册表项也一并删掉,到这里问题就已经解决了,电脑恢复正常。

  总结
  很多人以为装了杀毒软件,开了防火墙,打了所有的系统补丁就算安全了,就坚不可摧了。其实网络安全更重要的是要有安全意识。当别人发邮件给你,说附件里是美女图片时,不要轻易去打开附件。不要随便打开别人发给你的网址。不要随便接收别人发给你的文件。最后,一定要勤打补丁和勤升级杀毒软件。


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明我是这样帮MM找出木马程序的<转贴系列之十一>
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到