计算机木马越来越多,随着各类木马修改技术的出现,木马专杀工具也经常无能为力。单纯依靠杀毒软件和木马清除软件越来越不可靠了。
但是,计算机木马大部分都有几个显著的特点:
1。计算机木马很少修改系统中原来已经存在的文件的内容。即使修改,也仅仅修改有限几个文件。
2。计算机木马为了驻留计算机,一般会将自身复制到Windows 的系统文件夹内。如果能够准确查出文件夹内增加的文件,很容易发现这类木马
3。计算机木马通常也会修改系统注册表的一些关键键值。如果能够检测出系统注册表的内容变化情况,也有助于发现木马
一般说来,如果能够准确地找出木马对文件系统的更改情况和对注册表的更改情况,借助于Windows PE,就可以安全地清除这些木马了
如何才能准确地找出这些木马对系统的修改情况呢?一种方法是利用Regsnap等系统快照建立工具。这种方法比较简单易行。但是,现在有些木马应用了文件隐藏技术,使得调用Windows API来查询文件时无法找到这些木马文件。
另一种方法是利用Windows PE来辅助检测。这种方法比使用Regsnap要复杂,但是准确性更高。
首先,准备一台试验用的机器。这台机器不要安装重要软件。在我们的实验结束之后,这台机器就不再重要了。如果没有条件获得一台专用的实验用机,也可以使用vmware这类虚拟机。在这个机器上安装必要的系统软件。
利用Windows PE研究计算机木马的行为的方法
最新推荐文章于 2024-09-17 20:00:16 发布