科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道好消息!木马查杀防范秘技红宝书(7)

好消息!木马查杀防范秘技红宝书(7)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如今木马数量众多,传播方式也多种多样,让你防不胜防,只要你能上网,就有可能中弹落“马”!目前木马大致可分成五大类:即网游、广告、通讯、后门和网银类。
  • 评论
  • 分享微博
  • 分享邮件

  例如图9中本机打开了TCP 135和2513两个端口,这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口,一般不要通过停止RPC服务来关闭,因为如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也关机了。冲击波病毒利用的就是135端口,为了防范黑客利用该端口攻击,建议你使用第三方防火墙,设置外界不能连接本机的135端口,这样来堵住135端口。

  另外,图9中TCP 2513端口是灰鸽子(GrayPigeon.exe)打开的,这里有个常识请你记住,如果你发现TCP协议的linsten在1025端口以上,则可能是木马,你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听,采用主动连接方式(非反弹连接),等待远方电脑的连接,可以断定这是非法连接。

  此时你应该右击该连接,选择连接属性,记录下执行文件GrayPigeon.exe的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。

  四、检查与启动相关的文件

  (1)检查启动组

  启动组是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动",你应该检查这些地方。

  (2)检查Autoexec.bat、Config.sys和Winstart.bat

  Autoexec.bat和Config.sys都位于C盘根目录下,在它们中也可以加载木马程序,但这并不多见,你不能掉以轻心,最好检查一下。

  Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。

  (3)检查Win.ini和System.ini

  Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!

  System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章