扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
例如图9中本机打开了TCP 135和2513两个端口,这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口,一般不要通过停止RPC服务来关闭,因为如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也关机了。冲击波病毒利用的就是135端口,为了防范黑客利用该端口攻击,建议你使用第三方防火墙,设置外界不能连接本机的135端口,这样来堵住135端口。
另外,图9中TCP 2513端口是灰鸽子
此时你应该右击该连接,选择连接属性,记录下执行文件GrayPigeon.exe的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。
四、检查与启动相关的文件
(1)检查启动组
启动组是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表
(2)检查Autoexec.bat、Config.sys和Winstart.bat
Autoexec.bat和Config.sys都位于C盘根目录下,在它们中也可以加载木马程序
Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。
(3)检查Win.ini和System.ini
Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。