一个简单实用的木马、病毒的检测方法-灰鸽子木马

一个简单实用的木马、病毒的检测方法

辽宁省锦州网通

、启动任务管理器，看其中是否有陌生进程，记录下来，暂时别动它

2、启动注册表编辑器，查看以下几个地方：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

...

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

...

看看启动表项里是否有可疑的程序

HKEY_CLASSES_ROOT\exefile\shell\open\command

看看是否有 exe 文件关联型木马程序，正确的键值应该是："%1" %*

HKEY_CLASSES_ROOT\inffile\shell\open\command

看看是否有 inf 文件关联型木马程序，正确的键值应该是：%SystemRoot%\system32\NOTEPAD.EXE %1

HKEY_CLASSES_ROOT\inifile\shell\open\command

看看是否有 ini 文件关联型木马程序，正确的键值应该是：%SystemRoot%\system32\NOTEPAD.EXE %1

HKEY_CLASSES_ROOT\txtfile\shell\open\command

看看是否有 txt 文件关联型木马程序，正确的键值应该是：%SystemRoot%\system32\NOTEPAD.EXE %1

记录下来，暂时不要更改

3、启动一个 cmd 窗口，netstat -an 看看是否有异常端口，建议www.sometips.com 下载一个 Active Ports

用来看端口与进程的关系，找出使用异常端口的进程

4、用资源管理器查看winnt\ 及 winnt\system32 的文件（记得显示全部文件，包括受保护文件），按时间排序，找出建立时间或修改时间异常的程序，记录下来

5、开始->程序->启动中是否有奇怪的启动文件

综合以上5步的结果，应该能排出来一个可疑程序的清单，下面就是照单杀马了

6、清除木马的顺序是：

先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件

注：对于有些木马，使用了线程注入或三线程保护方式，需要使用相关工具进行清除（或者自己写写试试，就当是练习 coding）

另外，曾经见过一只马，采用了 autorun 文件关联，在每个分区的根下都有一个 autorun 文件，只要访问这个分区，就会加载木马文件

一个小技巧：exe 文件被关联后，当出现 exe 文件无法打开时，可将regedit.exe 复制为 regedit.com，并运行 regedit.com,将 exe 文件关联改回来即可，前提是系统中没有相关进程在监视这个表项。

以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马，更重要的是预防，最基本的预防方式就是给MS点颜面，勤打补丁，另外就是尽量不要运行可疑程序，还有就是最好有一个强大的防病毒软件，推荐 Norton Antivirus

PS:建议先将上面这些项目导出备份，等再看发现不对时除了记下不对的地方好处理外，直接导入修复也方便。

/* 为加速页面的打开，将区域点击相关的JS缓存在经验本地服务器上：http://clkstat.qihoo.com/qhstat.js */ function statClkHandle(host,args,evt) { var e =(evt.target) ? evt.target : window.event.srcElement ; var ec = window.encodeURIComponent ? encodeURIComponent : escape; var a = null; if ( e ) { if ( e.tagName.toLowerCase() == 'input') { if ( e.type.toLowerCase() == 'button' ) { if ( document.images ) { Name = e.value; logClick(2,host,args,oName); } } } else if ( e.tagName.toLowerCase() == 'a' || e.tagName.toLowerCase() == 'img' || e.tagName.toLowerCase() == 'font' || e.tagName.toLowerCase() == 'b' || e.tagName.toLowerCase() == 'span' ) { a = qhstat_geta( e ); if ( a && a.tagName != null && a.tagName.toLowerCase() == 'a' ) { if( document.images ){ url =ec(a).replace(/\+/g,"%2B"); logClick(1,host,args,url); } } } } } function logClick(type,host,args,dest) {/*{{{*/ rnd = Math.random( ); srnd = rnd.toString( ).substr(2,4); new Image().src = "http://"+host+"/stat.gif?"+args+"&_u="+dest+"&_r=" + srnd +"&_t="+type; }/*}}}*/ function qhstat_geta( e ) {/*{{{*/ while ( e && e.tagName != null && e.tagName.toLowerCase() != "a" ) { e = ( e.parentNode ) ? e.parentNode : e.parentElement; } return e; }/*}}}*/ function writePvStatCode(host,statArgs) {/*{{{*/ rnd = Math.random( ); srnd = rnd.toString( ).substr(2,4); new Image().src = "http://"+host+"/stat.gif?"+statArgs+"&r=" + srnd; }/*}}}*/ function logClick2(type,host,args,dest) {/*{{{*/ httpReq = crtHttpReqest(); if(httpReq != false ) { rnd = Math.random( ); srnd = rnd.toString( ).substr(2,4); url = "stat.gif?"+args+"&u="+dest+"&r=" + srnd+"&t="+type; try{ httpReq.open("GET", url, true); httpReq.send(null); } catch(e) { } } }/*}}}*/ function crtHttpReqest() {/*{{{*/ var xmlHttp = false; try { xmlHttp = new ActiveXObject("Msxml2.XMLHTTP"); } catch (e) { try { xmlHttp = new ActiveXObject("Microsoft.XMLHTTP"); } catch (e2) { xmlHttp = false; } } if (!xmlHttp && typeof XMLHttpRequest != 'undefined') xmlHttp = new XMLHttpRequest(); return xmlHttp; }/*}}}*/ var _LC=escape(top.location); var _JS="pvstat.qihoo.com"; var _R=Math.round(Math.random()*10000); var _AG="_pdt=legend&_pg=s100829&_v=040&_h=w3.web.lft"; if (parseInt(navigator.appVersion)>=4){ _CO=''; } else { _CO=''; } document.write(_CO);