科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道好消息!木马查杀防范秘技红宝书(8)

好消息!木马查杀防范秘技红宝书(8)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如今木马数量众多,传播方式也多种多样,让你防不胜防,只要你能上网,就有可能中弹落“马”!目前木马大致可分成五大类:即网游、广告、通讯、后门和网银类。
  • 评论
  • 分享微博
  • 分享邮件


  五、检查系统目录中文件

  木马也可能藏在系统目录中。启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。

  六、在注册表中检查

  单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。

  (1)检查自启动项

  查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。

  此外,使用组策略也能让木马在系统登录时自动启动(方法如下),该方法添加的自启动程序也被记录在注册表中,但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马,在上面的注册表项中又找不到它,建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项,或是进入“组策略”的“在用户登录时运行这些程序”,看看其中有无启动的程序。

  组策略添加自启动木马程序的方法:在“开始→运行”中执行“Gpedit.msc”打开“组策略”,展开“本地计算机策略→用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项,选定“设置”项中的“已启用”项,单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中,输入要自启动的木马程序路径即可。

  (2)检查文件关联是否被修改

  国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。

  木马修改文件关联的方法是:修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

  注意:木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马,你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。

好消息!木马查杀防范秘技红宝书

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章