高级木马的自我保护与查杀之策
高级木马的自动保护与查杀
在课程开始之前我先给大家理清一下思路:
A.如何知道电脑中是否有病毒或木马呢?
  答案是:检查。
B.用什么检查?
答案是:专业工具!
C.检查什么?
答案是:依次检查这几项:启动项、进程、模块、内核、服务函数、联网情况与端口。
    好了,下面我就开始教大家如何检查了。
    我们采用的专业工具是狙剑,这里以CNNIC中文上网”软件为例来讲解全套的木马所采用的技术及破解之道,因为它用的技术比较高级并且是木马经常会采用的,大家可以到网上搜索看看都是如何评价它所采用的技术的。CNNIC软件下载地址:
为什么无法删除文件wwwnic/html/Dir/2003/10/11/0670.htm
    第一项,我们先检测启动项:
打开狙剑,“基本功能---自启动程序---隐藏微软签名项”,如上图所示:我们到了可疑的启
动项(把滚动条向下拉还会看到七八个可疑的)。
我们所用的查工具其功能需满足以下两点:
A、能够对到的启动项进行数字签名认证,以防木马改成与系统一样的名字。
B、能对付木马的各种隐藏启动项的技术,以防隐藏型木马被漏查。
  第二项,我们再检查进程。
从上图可以看到,我们到了可疑的进程,而且这个进程与某一启动项中的文件是同一文件,一个可疑进程要求自启动,显然符合一定的木马特征。
    对工具的要求是与上面相同:要求能进行数字签名认证以防木马改名字;要求能列出隐藏进程了进程,我们是否就可以删除了呢?试试看
我们在任务管理器中按右键结束“”进程,提示进程无法中止。这时有的人可能会想到个强力工具结束进程,是的,个强力工具是可以杀掉,但杀掉进程就是清除了木马么?很显然这两者之间肯定是无法划等号的。
    在后面我要讲解的就是为什么用任务管理器无法结束进程,而强力工具为什么又能杀掉,什么样的工具能杀掉什么样的进程,让您明白了原理之后,自然就透彻的了解了木马,再遇到新的、未知的木马也就不怕了,能杀了。
    我们再试试删除启动项是否可以:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。