科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>实战优化大师 让木马无处藏身

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现如今各种形形色色盗号木马及电脑病毒的猖獗的确让许多电脑用户感到棘手,甚至是恼火。笔者觉得一方面有木马病毒编制技巧和伪装技术的不断更新换代原因,而更重要的另一个方面就是用户对木马及电脑病毒防范技能的缺乏。

来源:zdnet网络安全 2008年02月29日

关键字:病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

前几天朋友的第4个网络游戏帐号在家中再次被盗,这着实让笔者感到震惊!现如今各种形形色色盗号木马及电脑病毒的猖獗的确让许多电脑用户感到棘手,甚至是恼火。

事实上,成千上万种怀揣不同目的的木马程序及电脑病毒之所以能那么快速和广泛的传播、那么轻而易举和悄无声息的植入到用户电脑中,笔者觉得一方面有木马病毒编制技巧和伪装技术的不断更新换代原因,而更重要的另一个方面就是用户对木马及电脑病毒防范技能的缺乏。

众所周知,目前网络安全形势是非常严峻的,户在进行浏览网页、收取邮件和下载文件等上网操作时均有可能被病毒或木马“盯上”,有时甚至我们在打开一张普普通通的图片时也会让木马溜进系统。由此可见,用户快速掌握一些实用的徒手发现、清除及防范针对常见电脑病毒和木马的安全技能是非常必要的。

一、快速发现木马的依据

所谓“木马”,实际上就是一种基于远程控制的黑客程序,一般有服务器端和控制器端两个程序组成,黑客必须首先将控制器端程序事先安插在用户电脑上并使其处于启动状态,才能让控制器端程序被服务器端程序远程控制,从而达到盗取用户各种帐号及其它隐私信息的罪恶目的。基于“木马是运行着的进程”这一点,我们就很容易直观查找到木马的一些“蛛丝马迹”了。

1.查看“任务管理器”

处于工作状态的木马程序首先应该是一个活动进程,所以用户可以同时按下Ctrl+Alt+Del组合键,打开“任务管理器”对话框,在其“进程”面板中用户可能通过查找和发现是否有陌生的进程文件名来判断是否有木马的存在(如图1)。这种方法主要靠用户对系统组成的深入了解和相关记忆及经验来判断,对于进程文件名伪装的比较好的木马,比如将文件名修改成与系统文件名非常相似的像Window.exe、.dl、Systom.ini等,一般用户在识别起来可能会感到有难度。

这里笔者给大家举一个很经典的例子,有一种木马程序会伪装成“RUNDLL32.EXE”进程,该木马同时会以命令行的方式调用相关动态链接程序库,进而启动后台真正的木马程序。但是用户只要按下Ctrl+Alt+Del组合键打开“任务管理器”,就会发现这个被伪装“RUNDLL32.EXE”进程CPU占用率竟然高达95%,这显然是不合常理的(如图2)。

许多木马进程在自身启动工作状态以后,还会在后台悄悄开启部分系统服务来达到“信息监听”的目的,所以用户通过经常查看和关闭部分不必要的系统服务,也可以发现和防范木马:用户在系统的“运行”框中输入“msconfig”命令,随后将打开的“系统配置实用程序”切换到“服务”面板,而那里通过查看是否存在有陌生的系统服务来快速发现木马(如图3)。不过这种方法同样对用户的相关专业水平和经验要求较高,并且用户即便发现了陌生的系统服务,可能也无法知道对应木马的藏身之处。

3.查看注册表中的“启动”键值

用户可以打开Windows的注册表,在其“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion”和“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”下所有以“run”开头的键值中去寻找可疑的和一些陌生的键值(如图4)。不过这种方法的缺点与上面两个基本相同,都需要用户有较高的相关认知能力。 

另外,用户通过对系统Win.ini文件、System.ini文件、Autoexec.bat文件和Config.sys文件中相关语句的查看也可以发现和防范木马,比如在Win.ini文件中,在正常情况下其[Windows]字段中启动命令“load=”和“run=”等号后面应该是空白的,如果等号后面跟有“*.exe”字样,则可能就是木马程序。但是这种方法在操作上就显得过于繁琐了。

二、快速发现和防范木马的“杀手锏” 

现在病毒和木马的变种非常多,有的病毒和木马自身就是几十乃至上百个不同的变种,而如AV终结者、灰鸽子等众多恶性病毒木马变种还会自动关闭部分杀毒软件的实时防控功能,所以用户自己学会一些快速发现和防范病毒木马的相关知识及技能是很有好处的。但是,上面也提到,尽管查看系统任务管理器、查看系统服务、查看注册表、查看相关系统文件等都可以发现病毒木马,但对用户的相关专业技术知识要求较高。那么有没有一种更加快捷的发现和防范病毒木马的方法呢?笔者经过比较,意外发现我们所熟知的“Windows优化大师”在反木马方面,的确可以“四两拨千斤”。 

1.增强型“任务管理器”

前面已经反复提到,在Windows系统自带的“任务管理器”中,用户只能通过对进程名称的识别来判断病毒或木马的存在,如系统中输入法控制器的进程名称为“IMJPMIG.EXE”,如果用户发现的是“INJPMIG.EXE”,外形很神似但仔细看又不是那么回事的进程,则就应该引起足够警觉,但这仅仅从名称上来识别毕竟难度非常大。

在“Windows优化大师”中,它提供了一个叫做“Wopti进程管理”的专用工具,它可以很智能的提供几乎所有系统常见进程的详细“档案”。用户在“开始”菜单中依次选择“开始→Wopti Utilities→Wopti进程管理”即可打开该专用工具(如图5)。在这个专用工具中,对于系统中的每一个当前活动进程,软件除了以列表的形式给出进程名称、优先级、进程所占用的线程数目、CPU占用率、CPU时间、内存使用状况、内存占用峰值、用户对象、进程创建时间和进程使用时间等详细的进程“属性信息”外,用户还可以在软件界面下方即时查看到包括进程命令行参数、发行厂商、进程版本、进程文件名称、内部名称、原始产品名称等在内的进程“描述信息”。另外特别值得一提的是,如果用户由“进程描述”选项卡切换到“模块列表”选项卡,则还可以查看到关于该进程所调用的所有.DLL链接库文件及各个.DLL链接库文件的详细属性(如图6)。事实上,有了这些详尽的进程信息,判断病毒或木马的存在,也就成了一件易如反掌的事了。

2.增强型“系统服务管理器”

同样,Windows优化大师所提供的“系统服务管理器”也要比Windows系统自带的要先进的多。用户打开“Windows优化大师”,然后切换到“系统优化”下面的“后台服务优化”子面板,在那里软件列出了所有可以提供的系统服务,对于每一个系统服务,软件也都给出了包括服务名称、开启服务的命令行、启动组项目、所依存的服务类型、该系统服务的提供商及对应系统服务的功能描述等在内的对应详细的系统服务信息。借助这些信息,用户可以很直观的对各个系统服务究竟是干什么的,作出正确的判断了。另外,用户还可以在软件中随时开启或禁止某些指定的系统服务(如图7)。

如果用户对某些系统服务的开启或禁止使用仍然不是很清楚,则用户还可以在刚才打开的面板下方单击“设置导向”按钮,在打开的系统服务设置向导中,软件还会进一步对每一个系统服务的具体操作给出“建议”(如图8)。

3.增强型“启动项管理”

通常,我们只能在Windows注册表中对随系统自启动程序进行管理,操作上比较繁琐,其实,“Windows优化大师”提供了更方便的程序“启动项管理”功能:将软件切换到“系统优化”下面的“开机速度优化”子面板,在这个面板的下方,用户可以看到随系统自启动的所有进程列表,用户可以对每一个进程进行“展开”,这样就可以实时查阅到关于该进程的类型、安装位置、使用的命令行、进程名称、发行厂商、进程版本、进程描述等所有详细信息,对于系统中的一些常规进程,软件会自动给出“建议保留”的操作建议(如图9)。

4.软件其它重要安全防范设置

“Windows优化大师”详细的进程及系统服务的背景信息给我们快速识别病毒木马的存在提供了科学依据,当然这款软件不仅如此,它还提供了更多的重要安全防范设置,用户将软件切换到“系统安全优化”面板,在那里用户可以进行包括自动扫描木马程序、自动扫描蠕虫病毒、常见病毒免疫、自动抵御SYN、ICMP、SNMP攻击、启用AFD.SYS保护、禁止建立空连接、禁止系统自动启用服务器共享、禁止自动登录和禁止光盘、U盘自动运行等在内的数十项重要安全防范设置(如图10)。

“Windows优化大师”作为一款功能非常全面且知名度极高的老牌系统优化软件,以上只是它在防范各种病毒及木马程序方面的一个最基础的功能展示,希望朋友们都能灵活运用,“四两拨千斤”并非遥不可及的神话。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题