目前網(wǎng)絡(luò)上最猖獗的病毒估計非木馬程序莫數(shù)了 ， 2005年木馬程序的攻擊性也有了很大的加強 ， 在進程隱藏方面 ， 做了較大的改動 ， 不再采用獨立的EXE可執(zhí)行文件形式 ， 而是改為內(nèi)核嵌入方式、遠(yuǎn)程線程插入技術(shù)、掛接PSAPI等 ， 這些木馬也是目前最難對付的 。本期就教你查找和清除線程插入式木馬 。
一、通過自動運行機制查木馬
一說到查找木馬 ， 許多人馬上就會想到通過木馬的啟動項來尋找“蛛絲馬跡” ， 具體的地方一般有以下幾處:
1)注冊表啟動項
在“開始/運行”中輸入“regedit.exe”打開注冊表編輯器 ， 依次展開[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion] ， 查看下面所有以Run開頭的項 ， 其下是否有新增的和可疑的鍵值 ， 也可以通過鍵值所指向的文件路徑來判斷 ， 是新安裝的軟件還是木馬程序 。
另外[HKEY_LOCAL_MACHINESoftwareclassesexefileshellopencommand]鍵值也可能用來加載木馬 ， 比如把鍵值修改為“X:windowssystemABC.exe %1%” 。
【查找與清除插入式特絡(luò)伊木馬】2)系統(tǒng)服務(wù)
有些木馬是通過添加服務(wù)項來實現(xiàn)自啟動的 ， 大家可以打開注冊表編輯器 ， 在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]下查找可疑鍵值 ， 并在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]下查看的可疑主鍵 。
然后禁用或刪除木馬添加的服務(wù)項:在“運行”中輸入“Services.msc”打開服務(wù)設(shè)置窗口 ， 里面顯示了系統(tǒng)中所有的服務(wù)項及其狀態(tài)、啟動類型和登錄性質(zhì)等信息 。找到木馬所啟動的服務(wù) ， 雙擊打開它 ， 把啟動類型改為“已禁用” ， 確定后退出 。也可以通過注冊表進行修改 ， 依次展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices服務(wù)顯示名稱”鍵 ， 在右邊窗格中找到二進制值“Start” ， 修改它的數(shù)值數(shù) ， “2”表示自動 ， “3”表示手動 ， 而“4”表示已禁用 。當(dāng)然最好直接刪除整個主鍵 ， 平時可以通過注冊表導(dǎo)出功能 ， 備份這些鍵值以便隨時對照 。
3)開始菜單啟動組
現(xiàn)在的木馬大多不再通過啟動菜單進行隨機啟動 ， 但是也不可掉以輕心 。如果發(fā)現(xiàn)在“開始/程序/啟動”中有新增的項 ， 可以右擊它選擇“查找目標(biāo)”到文件的目錄下查看一下 ， 如果文件路徑為系統(tǒng)目錄就要多加小心了 。也可以在注冊表中直接查看 ， 它的位置為[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders] ， 鍵名為Startup 。
4)系統(tǒng)INI文件Win.ini和System.ini
系統(tǒng)INI文件Win.ini和System.ini里也是木馬喜歡隱蔽的場所 。選擇“開始/運行” ， 輸入“msconfig”調(diào)出系統(tǒng)配置實用程序 ， 檢查Win.ini的[Windows]小節(jié)下的load和run字段后面有沒有什么可疑程序 ， 一般情況下“=”后面是空白的;還有在System.ini的[boot]小節(jié)中的Shell=Explorer.exe后面也要進行檢查 。
5)批處理文件
如果你使用的是Win9X系統(tǒng) ， C盤根目錄下“AUTOEXEC.BAT”和WINDOWS目錄下的“WinStart.bat”兩個批處理文件也要看一下 ， 里面的命令一般由安裝的軟件自動生成 ， 在系統(tǒng)默認(rèn)會將它們自動加載 。在批處理文件語句前加上“echo off” ， 啟動時就只顯示命令的執(zhí)行結(jié)果 ， 而不顯示命令的本身;如果再在前面加一個“@”字符就不會出現(xiàn)任何提示 ， 以前的很多木馬都通過此方法運行 。
二、通過文件對比查木馬
最近新出現(xiàn)的一種木馬 。它的主程序成功加載后 ， 會將自身做為線程插入到系統(tǒng)進程SPOOLSV.EXE中 ， 然后刪除系統(tǒng)目錄中的病毒文件和病毒在注冊表中的啟動項 ， 以使反病毒軟件和用戶難以查覺 ， 然后它會監(jiān)視用戶是否在進行關(guān)機和重啟等操作 ， 如果有 ， 它就在系統(tǒng)關(guān)閉之前重新創(chuàng)建病毒文件和注冊表啟動項 。下面的幾招可以讓它現(xiàn)出原形(下面均以Win XP系統(tǒng)為例):

推薦閱讀

• 

  穿書自救指南第二季什么時候播 《穿書自救指南》劇情簡介
• 

  win10創(chuàng)意者怎么取消web和應(yīng)用商店個性化廣告
• 

  留置權(quán)抵押權(quán)質(zhì)權(quán)順序是什么呢
• 

  什么菜刮油效果好 哪些菜刮油效果好
• 

  同站中轉(zhuǎn)無需出站是什么意思
• 溫州瑞安市2023年新居民積分獎勵如何領(lǐng)取？
• 

  201×35的簡便計算201×35的簡便計算怎么算
• 

  橡皮樹能放室內(nèi)嗎
• 

  鮮榨果汁的做法有哪些
• 

  汽車變速箱的原理是什么
• 

  為什么騰訊口碑差知乎,為什么有人說騰訊很垃圾
• 

  聲吶能發(fā)現(xiàn)水里的人嗎
• 

  學(xué)制及授予何種學(xué)位，中國學(xué)制學(xué)位區(qū)別
• 

  西安至北京自駕費用是多少費用多少錢，西安開車到北京要花費多錢多長時間
• 

  吃黑金谷的禁忌
• 

  饅頭上有一點點霉點可以吃嗎

• oppoa7x中清除緩存的簡單操作步驟
• 眼睛被電焊弧光灼傷的治療與預(yù)防
• ES1009與2100的比較
• c280小試印象
• 快速有效地封殺—巧利用Iris來查找蠕蟲病毒
• 荷花的品質(zhì)與做人的道理 荷花告訴我們什么道理
• 創(chuàng)造與魔法胡蘿卜哪里多
• oppor17pro中清除緩存的操作步驟
• 1130版與0923版之對比
• 機動車二維碼在什么地方怎么查找