如何检测一个系统中是否有木马程序

转载 2004年08月19日 22:09:00
ASPInsiders 如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明: 1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它
2、启动注册表编辑器,查看以下几个地方:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
...
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
...
看看启动表项里是否有可疑的程序 HKEY_CLASSES_ROOT/exefile/shell/open/command
看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %* HKEY_CLASSES_ROOT/inffile/shell/open/command
看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%/system32/NOTEPAD.EXE %1 HKEY_CLASSES_ROOT/inifile/shell/open/command
看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%/system32/NOTEPAD.EXE %1 HKEY_CLASSES_ROOT/txtfile/shell/open/command
看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%/system32/NOTEPAD.EXE %1 记录下来,暂时不要更改
3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports
用来看端口与进程的关系,找出使用异常端口的进程
4、用资源管理器查看winnt/ 及 winnt/system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来
5、开始->程序->启动中是否有奇怪的启动文件 综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了 :D 6、清除木马的顺序是:
先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件 注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)
另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件 一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。 以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件,推荐 Norton Antivirus

木马程序的制作

0x0:想必大家都听说过计算机病毒或者木马吧,看着电影里面的黑客敲几下键盘就能控制你的系统,窃取你的隐私资料,执行任意命令,很炫酷吧,其实这种技术不难实现,接下来我就带领大家来玩一玩木马的制作. 实验...
  • Sufeiboy
  • Sufeiboy
  • 2017年03月08日 13:39
  • 1231

一个简单木马程序的实现

一个简单木马的实现,麻雀虽小,五脏俱全,用到了socket和窗口隐藏技术
  • szq123456123
  • szq123456123
  • 2014年06月09日 10:44
  • 6233

一个木马程序

服务端DLL Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.c...
  • zy_dreamer
  • zy_dreamer
  • 2013年05月24日 19:47
  • 836

Qt应用程序如何监测另一个程序状态?(windows系统)

以前在做项目时有用过QProcess启动一个应用程序。 在按下按钮的槽函数中调用QProcess的start函数即可,非常的简单。但是这次不一样了,被调用的程序,并非我的程序启动的。我需要先 判断它...
  • can3981132
  • can3981132
  • 2017年02月22日 16:33
  • 1628

linux 进程(关于守护进程、检查一个进程是否活着、如何写一个进程号文件)

本文主要包括三个部分:     一是如何实现一个守护进程,二是如何检测一个进程是否活着,三是保证某一执行文件只有一个实例在运行。 /*  * 1.守护进程  */ 守护进程的最大特点就是脱离了中断,L...
  • andylauren
  • andylauren
  • 2016年08月19日 16:06
  • 3024

用C++编写的木马程序

用C++编写的木马程序 DLL在程序编制中可作出巨大贡献,它提供了具共性代码的复用能力。但是,正如一门高深的武学,若被掌握在正义之侠的手上,便可助其仗义江湖;但若被掌握在邪恶之徒的手上,则必然在...
  • hawk140
  • hawk140
  • 2016年08月28日 11:45
  • 1822

如何检查下载的软件是否带有后门

现在网络上的东西愈来愈不可信了。 不论下载什么工具都得多个心眼,特别是经常玩黑的朋友。 俗话说:常在河边走,哪有不湿鞋。弄不好哪天自己就中招了。 下面我就简单分析下,如何判断软件是否...
  • qq591840685
  • qq591840685
  • 2015年10月11日 09:54
  • 538

原生如何检测变量是否是一个数组的几种方法

首先先总计一下检测js类型的常用的方法如:typeof 这个方法只能检测js基本类型如:undefined/null/number/boolean/object,而要检测Array类型则需要以下几种...
  • oliverpeng1521314
  • oliverpeng1521314
  • 2017年04月29日 17:46
  • 804

检测点是否在扇形之内

前几天,同事在报告中提及检测角色是否在扇形攻击范围的方法。我觉得该方法的性能不是太好,提出另一个颇为直接的方法。此问题在游戏中十分常见,只涉及简单的数学,却又可以看出实现者是否细心,所以我觉得可当作一...
  • Game_jqd
  • Game_jqd
  • 2016年04月12日 17:33
  • 820

检测字符串中是否含有中文

检测字符串中是否含有中文: 思路: 我们都知道,英文字符串和中文字符串最大的区别在于每一个英文字符占用一个字节,而每一个中文字符占用两个字节。 知道这一点,就为我们检测字符串中是否有中文提供了实...
  • ExceptionalBoy
  • ExceptionalBoy
  • 2017年02月09日 08:14
  • 743
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何检测一个系统中是否有木马程序
举报原因:
原因补充:

(最多只允许输入30个字)