如何刪除電腦中隱藏的木馬

木馬在互聯(lián)網(wǎng)上肆虐，我們一不小心就會(huì )成為黑客手中的肉雞。到時(shí)自己的電腦成為被黑客控制的傀儡，而且自己的個(gè)人隱私也完全暴露。拒絕黑客控制，我的電腦我做主。在五一節后這一黑客大肆捕獲肉雞的時(shí)段開(kāi)始了，我們針對木馬特點(diǎn)，用4招自檢避免成為黑客肉雞。

　　小知識：肉雞實(shí)際上就是中了黑客的木馬，或者被安裝了后門(mén)程序的電腦。黑客可以像計算機管理員一樣對肉雞進(jìn)行所有操作?，F在許多人把有WEBSHELL權限的遠程主機也叫做肉雞。

第一招：系統進(jìn)程辨真偽

當前流行的木馬，為了更好地對自身加以隱藏，使用了很多方法進(jìn)行自身隱蔽，其中最常見(jiàn)的就是進(jìn)程隱藏。這種方法不僅讓人很難通過(guò)常見(jiàn)的檢查手法查找到，如果用戶(hù)操作不當的話(huà)還可能將系統進(jìn)程刪除，造成系統不穩定甚至崩潰。常見(jiàn)的這類(lèi)木馬程序包括灰鴿子、守望者、上興木馬等。

自檢方法

　　黑客為了對木馬進(jìn)行更好的偽裝，常常將木馬名稱(chēng)設置得和系統進(jìn)程名稱(chēng)十分相似。通常系統進(jìn)程都是有System用戶(hù)加載的，如果我們發(fā)現某個(gè)“系統進(jìn)程”是由當前用戶(hù)加載的，那么這個(gè)“系統進(jìn)程”一定有問(wèn)題。

　　另外我們也可以從系統進(jìn)程的路徑來(lái)進(jìn)行分辨，比如正常的系統進(jìn)程svchost.exe應該在“c:\Windows\system32”目錄下，如果用戶(hù)發(fā)現它的路徑在其他目錄下就表明該進(jìn)程有問(wèn)題。

　　除此以外，現在的木馬很注意對自身服務(wù)端程序的保護，我們通過(guò)“任務(wù)管理器”很可能查看不到木馬的服務(wù)端進(jìn)程，因為木馬程序通過(guò)線(xiàn)程插入等技術(shù)對服務(wù)端程序進(jìn)行了隱藏。

　　在這里樹(shù)樹(shù)建議大家使用IceSword（下載地址：http://download.cpcw.com）對進(jìn)程進(jìn)行管理。它除了可以查看各種隱藏的木馬后門(mén)進(jìn)程，還可以非常方便地終止采用多線(xiàn)程保護技術(shù)的木馬進(jìn)程。

　　進(jìn)入IceSword點(diǎn)擊“文件→設置”命令，去掉對話(huà)框中的“不顯示狀態(tài)為Deleting的進(jìn)程”選項。點(diǎn)擊程序主界面工具欄中的“進(jìn)程”按鈕，在右邊進(jìn)程列表中就可以查看到當前系統中所有的進(jìn)程，隱藏的進(jìn)程會(huì )以紅色醒目地標記出?！　?br>
　　另外，如果發(fā)現多個(gè)IE進(jìn)程、Explore進(jìn)程或者Lsass進(jìn)程，那么我們就要留意了。因為很多木馬都會(huì )偽裝成這幾個(gè)進(jìn)程訪(fǎng)問(wèn)網(wǎng)絡(luò )。

應對方法

　　在IceSword的進(jìn)程列表中選擇隱藏的木馬程序，點(diǎn)擊鼠標右鍵中的“強行結束”命令即可結束這個(gè)進(jìn)程。然后點(diǎn)擊IceSword的“文件”按鈕，通過(guò)程序模擬的資源管理器命令，找到并刪除木馬程序的文件即可。]

第二招：?jiǎn)?dòng)項中細分析

　　一些木馬程序通過(guò)系統的相關(guān)啟動(dòng)項目，使得相關(guān)木馬文件也可以隨機啟動(dòng)，這類(lèi)木馬程序包括TinyRAT、Evilotus、守望者等。

檢方法

　　運行安全工具SysCheck（下載地址：http://download.cpcw.com），點(diǎn)擊“服務(wù)管理”按鈕后即可顯示出當前系統中的服務(wù)信息，如果被標注為紅色的就是增加的非系統服務(wù)。通過(guò)“僅顯示非微軟”選項就可以屏蔽系統自帶的服務(wù)，這樣惡意程序添加的服務(wù)項就可以立刻現形。

　　點(diǎn)擊“修改時(shí)間”或“創(chuàng )建時(shí)間”選項，就可以讓用戶(hù)馬上查看到新建的系統服務(wù)。從圖中我們可以看到一個(gè)被標注為紅色、名稱(chēng)為Windows Media Player的系統服務(wù)，該服務(wù)所指向的是一個(gè)不明程序路徑。因此可以確定該服務(wù)就是木馬程序的啟動(dòng)服務(wù)。

通過(guò)安全工具SysCheck的“活動(dòng)文件”項目，可以顯示出包括啟動(dòng)項等信息在內的、容易被惡意程序改寫(xiě)的系統注冊表鍵值。比如現在某些惡意程序，通過(guò)修改系統的“load”項進(jìn)行啟動(dòng)，或者修改系統的BITS服務(wù)進(jìn)行啟動(dòng)。由于SysCheck程序只是關(guān)注改寫(xiě)了的鍵值，所以在不同的系統上顯示的內容并不一樣。

應對方法

　　進(jìn)入SysCheck點(diǎn)擊鼠標右鍵中的“中止服務(wù)”選項，中止該木馬程序的啟動(dòng)服務(wù)，接著(zhù)點(diǎn)擊“刪除服務(wù)”命令刪除指定的服務(wù)鍵值。然后點(diǎn)擊“文件瀏覽”按鈕，由于SysCheck采用了反HOOK手段，所以?xún)戎玫馁Y源管理器可以看到隱藏的文件或文件夾，這樣就方便了我們進(jìn)行隱藏文件的刪除工作。按照木馬服務(wù)所指的文件路徑，找到文件后點(diǎn)擊鼠標右鍵中的“刪除”按鈕即可。

第三招：系統鉤子有善惡

　　木馬程序之所以能成功地獲取用戶(hù)賬號信息，就是通過(guò)鉤子函數對鍵盤(pán)以及鼠標的所有操作進(jìn)行監控，在辨別程序類(lèi)型后盜取相應的賬號信息。也就是說(shuō)，只要擁有鍵盤(pán)記錄功能的木馬程序，就肯定會(huì )有系統鉤子存在。

自檢方法

　　通過(guò)游戲木馬檢測大師（下載地址：http://download.cpcw.com）的“鉤子列表”功能，可以顯示系統已經(jīng)安裝的各種鉤子，這樣可以顯示出當前網(wǎng)絡(luò )中流行的主流木馬。

點(diǎn)擊“鉤子列表”標簽進(jìn)行鉤子信息的查看，并且不時(shí)點(diǎn)擊鼠標右鍵中的“刷新”命令對系統鉤子進(jìn)行刷新。因為木馬程序只有在鍵盤(pán)記錄的時(shí)候才會(huì )啟用鉤子，如果大家中了木馬，那么很快就會(huì )在列表中有所發(fā)現了。在本例中一個(gè)名為WH_JOURNALRECORD可疑的鉤子被程序以顯著(zhù)顏色標記出來(lái)。

　　這個(gè)鉤子是用來(lái)監視和記錄輸入事件的，黑客可以使用這個(gè)鉤子記錄連續的鼠標和鍵盤(pán)事件。在此時(shí)，我們就應該引起重視，不要再使用QQ等需要輸入密碼的程序。

應對方法

　　清除方法比較簡(jiǎn)單，只要記錄下動(dòng)用系統鉤子的進(jìn)程PID，通過(guò)PID值找到該木馬程序的進(jìn)程后結束該進(jìn)程，再輸入“Regedit”打開(kāi)注冊表編輯器，并點(diǎn)擊“編輯”菜單中的“查找”命令，在此窗口搜索該木馬程序進(jìn)程的相關(guān)消息，將找到的所有信息全部刪除。

　　重新啟動(dòng)計算機，只要在安全模式下刪除系統目錄中的木馬文件信息即可。當然也可以通過(guò)前面幾種方式進(jìn)行相互檢測，這樣可以更加有效地清除系統中的木馬程序。

第四招：數據包里藏乾坤

現在，越來(lái)越多的木馬程序利用了Rootkit技術(shù)。Rootkit是一種集合了系統間諜程序、病毒以及木馬等特性的一種惡意程序，它利用操作系統的模塊化技術(shù)，作為系統內核的一部分進(jìn)行運行，有些Rootkits可以通過(guò)替換DLL文件或更改系統來(lái)攻擊Windows平臺。

自檢方法

　　同樣我們還是使用游戲木馬檢測大師這款程序，利用它的“發(fā)信檢測”功能來(lái)判斷自己的系統中是否被安裝了木馬程序。在使用該功能以前，首先需要判斷系統的網(wǎng)卡是否工作正常。

　　我們關(guān)閉其他一切會(huì )擾亂網(wǎng)絡(luò )數據捕捉的程序，然后去除“只捕獲smtp發(fā)信端口（25）和Web發(fā)信端口（80）”選項，點(diǎn)擊“開(kāi)始”按鈕就可以進(jìn)行數據包的捕捉。如果這時(shí)捕捉到有數據包發(fā)出，就證明自己的系統中存在木馬程序。

　　根據木馬程序連接方式的不同，捕捉到的數據信息也不盡相同，但是捕捉到客戶(hù)端程序的IP地址還是沒(méi)有問(wèn)題的。用過(guò)嗅探器的朋友都知道，我們可以通過(guò)設置過(guò)濾病毒特征數據包來(lái)發(fā)現蠕蟲(chóng)病毒，當然這種方法需要一定的相關(guān)知識，這里就不再敘述了。

應對方法

　　對于這種利用Rootkit技術(shù)的木馬程序，可以直接通過(guò)一些Rootkit檢測工具進(jìn)行查看。比如檢測工具Rootkit Detector（下載地址：http://download.cpcw.com），它通過(guò)程序內置的MD5數據庫，來(lái)比較所檢測到的Windows 2000/XP/2003 系統全部服務(wù)和進(jìn)程的MD5校驗值，這樣就可以檢測出系統下的Rootkit程序。

　　在命令提示符窗口運行命令：rd.exe，程序會(huì )自動(dòng)對當前系統進(jìn)行檢測。程序首先會(huì )統計出系統中服務(wù)的數目、當前的進(jìn)程，以及被隱藏的進(jìn)程，并且將系統當前的進(jìn)程用列表顯示出來(lái)，然后進(jìn)入安全模式進(jìn)行刪除即可。

　　我們可以根據需要，搭配使用些速殺流行木馬以及病毒的專(zhuān)殺工具，讓自己的電腦更加安全

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

如何刪除電腦中隱藏的木馬