日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

如何查找和清除線程插入式木馬程序( 二 )

云知道


1)對(duì)照備份的常用進(jìn)程
大家平時(shí)可以先備份一份進(jìn)程列表,以便隨時(shí)進(jìn)行對(duì)比查找可疑進(jìn)程 。方法如下:開(kāi)機(jī)后在進(jìn)行其他操作之前即開(kāi)始備份,這樣可以防止其他程序加載進(jìn)程 。在運(yùn)行中輸入“cmd”,然后輸入“tasklist /svc >X:processlist.txt”(提示:不包括引號(hào),參數(shù)前要留空格,后面為文件保存路徑)回車 。這個(gè)命令可以顯示應(yīng)用程序和本地或遠(yuǎn)程系統(tǒng)上運(yùn)行的相關(guān)任務(wù)/進(jìn)程的列表 。輸入“tasklist /?”可以顯示該命令的其它參數(shù) 。
2)對(duì)照備份的系統(tǒng)DLL文件列表
對(duì)于沒(méi)有獨(dú)立進(jìn)程的DLL木馬怎么辦嗎?既然木馬打的是DLL文件的主意,我們可以從這些文件下手,一般系統(tǒng)DLL文件都保存在system32文件夾下,我們可以對(duì)該目錄下的DLL文件名等信息作一個(gè)列表,打開(kāi)命令行窗口,利用CD命令進(jìn)入system32目錄,然后輸入“dir *.dll>X:listdll.txt”敲回車,這樣所有的DLL文件名都被記錄到listdll.txt文件中 。日后如果懷疑有木馬侵入,可以再利用上面的方法備份一份文件列表“l(fā)istdll2.txt”,然后利用“UltraEdit”等文本編輯工具進(jìn)行對(duì)比;或者在命令行窗口進(jìn)入文件保存目錄,輸入“fc listdll.txt listdll2.txt”,這樣就可以輕松發(fā)現(xiàn)那些發(fā)生更改和新增的DLL文件,進(jìn)而判斷是否為木馬文件 。
3)對(duì)照已加載模塊
頻繁安裝軟件會(huì)使system32目錄中的文件發(fā)生較大變化,這時(shí)可以利用對(duì)照已加載模塊的方法來(lái)縮小查找范圍 。在“開(kāi)始/運(yùn)行”中輸入“msinfo32.exe”打開(kāi) “系統(tǒng)信息”,展開(kāi)“軟件環(huán)境/加載的模塊”,然后選擇“文件/導(dǎo)出”把它備份成文本文件,需要時(shí)再備份一個(gè)進(jìn)行對(duì)比即可 。
4)查看可疑端口
所有的木馬只要進(jìn)行連接,接收/發(fā)送數(shù)據(jù)則必然會(huì)打開(kāi)端口,DLL木馬也不例外,這里我們使用netstat命令查看開(kāi)啟的端口 。我們?cè)诿钚写翱谥休斎搿皀etstat -an”顯示出顯示所有的連接和偵聽(tīng)端口 。Proto是指連接使用的協(xié)議名稱,Local Address是本地計(jì)算機(jī)的IP地址和連接正在使用的端口號(hào),F(xiàn)oreign Address是連接該端口的遠(yuǎn)程計(jì)算機(jī)的IP地址和端口號(hào),State則是表明TCP連接的狀態(tài) 。Windows XP所帶的netstat命令比以前的版本多了一個(gè)-O參數(shù),使用這個(gè)參數(shù)就可以把端口與進(jìn)程對(duì)應(yīng)起來(lái) 。輸入“netstat /?”可以顯示該命令的其它參數(shù) 。
接著我們可以通過(guò)分析所打開(kāi)的端口,將范圍縮小到具體的進(jìn)程上,然后使用進(jìn)程分析軟件,例如《Windows優(yōu)化大師》目錄下的WinProcess.exe程序,來(lái)查找嵌入其中的木馬程序 。有些木馬會(huì)通過(guò)端口劫持或者端口重用的方法來(lái)進(jìn)行通信的,一般它們會(huì)選擇139、80等常用端口,所以大家分析時(shí)要多加注意 。也可以利用網(wǎng)絡(luò)嗅探軟件(如:Commview)來(lái)了解打開(kāi)的端口到底在傳輸些什么數(shù)據(jù) 。

推薦閱讀