简单几招判断是否有木马
网络安全
如何检测一个系统中是否有木马程序呢?笔者现以一些简单的木马惯用伎俩作些说明。
1.启动任务管理器,看其中是否有陌生进程,将它们的记录下来,暂时别动它们。
2.启动注册表编辑器,查看以下几个地方:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run...
看看启动表项里是否有可疑的程序
HKEY_CLASSES_ROOT\exefile\shell\open\command
看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %*
HKEY_CLASSES_ROOT\inffile\shell\open\command
看看是否有 inf 文件关联型木马程序,正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\inifile\shell\open\command
看看是否有 ini 文件关联型木马程序,正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\txtfile\shell\open\command
看看是否有txt 文件关联型木马程序,正确的键值应该是:
%SystemRoot%\system32\NOTEPAD.EXE %1
将它们记录下来,暂时不要更改。
3.启动一个cmd 窗口,输入netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports,用来看端口与进程的关系,找出使用异常端口的进程
4.用资源管理器查看winnt\ 及 winnt\system32 的文件(记住显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。
5.查看“开始→程序→启动”中是否有奇怪的启动文件。综合以上5步的结果,应该能排列的出来一个可疑程序的清单,下面就是照单杀木马了。
6.清除木马的顺序是:先停止进程→清理注册表相关表项→删除硬盘上的木马文件。
小技巧:如果遭遇病毒,将exe 文件进行关联后,此时 exe 文件无法正常打开,此时就无法进入注册表,我们可将regedit.exe修改为regedit.com,并运行 regedit.com,即可进入注册表。
以上只是简单说了一下怎么用简单的方法自己判断系统中是否有木马,重要的是在于预防,最基本的预防方法就是给系统勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件。