计算机病毒与防治43木马防范技术课件

1、计算机病毒与防治计算机病毒与防治课程小组第1页，共14页。4-3木马防范技术木马防治堵木马防治查木马防治杀4-3木马防范技术计算机病毒与防治课程小组木马防治防第2页，共14页。 木马防治查计算机病毒与防治课程小组1检查系统进程大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。但是有些进程是系统运行的进程，这些进程不能结束。第3页，共14页。 木马防治查计算机病毒与防治课程小组2检查注册表、ini文件和服务木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：HKEY_LOCA

2、L_MACHINESoftwareMicrosoftWindowsCurrentVersionRun、HKEY_ LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunOnce、HKEY_LOCAL_ MACHINESoftwareMicrosoftWindowsCurrent VersionRunOnceEx、HKEY_LOCAL_ MACHINE SoftwareMicrosoftWindows CurrentVersionRunServices、HKEY_LOCAL_ MACHINESoftwareMicrosoft Windows

3、CurrentVersionRunServicesOnce。第4页，共14页。 木马防治查计算机病毒与防治课程小组图3-2 注册表信息第5页，共14页。 木马防治查计算机病毒与防治课程小组远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。第6页，共14页。 木马防治查计算机病毒与防治课程小组图3

4、-3 查看端口第7页，共14页。木马防治堵计算机病毒与防治课程小组查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”“运行”“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。第8页，共14页。木马防治堵计算机病毒与防治课程小组由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”-“运行”-“regedit”然后检查HKEY_LOCAL_MACHINESoftware

5、MicrosoftWindowsCurrentVersion下所有以“run”开头的键值。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的boot字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe

6、就是木马程序了！第9页，共14页。木马防治堵计算机病毒与防治课程小组第10页，共14页。木马防治堵计算机病毒与防治课程小组点击“开始”“运行”“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧！第11页，共14页。木马防治杀计算机病毒与防治

7、课程小组1）关掉木马进程2）检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。3）删除上述可疑键在硬盘中的执行文件。4）一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。5）检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWARE MicrosoftInternet ExplorerMain。中的几项，如果被修改了，改回来就可以。6）检查HKEY_CLASSES_ROOTtxtfileshellopencommand和HKEY_ CLASSES_ ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的第12页，共14页。木马防治防计算机病毒与防治课程小组1运行反木马实时