pc捍卫者
 当前位置 → pc捍卫者pc网络安全 → 浏览正文
教你如何拒绝木马运行
作者:本站综合    来源:www.pchwz.com    更新时间:2008年07月11日

防患于未然 教你如何拒绝木马运行

大家都知道什么方法是最好的预防措施吗,我个人觉得,就是在事情没有放生之前制止了,防患于未然,这个是一个比较好的方法,从而,我们也就知道,只要在开机的时候,拒绝木马运行,也就从此和它88了。

下面给大家操作一下,我就不打字了

1 开始 中 启动,大家可以看里面的程序

2 注册表中:

\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Command Processor\" 找到并双击“AutoRun”

\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\\" 找到并双击“Run”

\"HKEY_CURRENT_USER\\Microsoft\\Windows\\CurrentVersion\\Run\"(这个一般与“开始”中“启动”的相同,但是在“启动”中没有显示)

大家可以在这里面的程序,哪个不正常,就删除它

3 开始---运行---gpedit.msc 策略组--用户配置--管理模块--系统--登陆--

4 系统服务中的设置

大家自己看看,里面有哪个不正常的,就终止它
我们具体以鸽子为一个例子:

我们先查看本机远程8000的端口,看是否打开,在没有中鸽子之前是没有远程8000端口的

由于为了让大家看得明显,我就不改鸽子的设置,

实战中大家要注意:

\"GrayPigeon_Hacker.com.cn,灰鸽子服务端程序。远程监控管理,\"

这些被放鸽子的人改过的信息,只要与原有的比较一下,还是可以判断出它是木马的

运行鸽子

基本步骤:

1 查端口,一般为8000,

大家可以用专业的工具查看,

也可以用系统自带的工具查看

比如:任务管理器,命令提示符,

2 然后查程序所在位置终止进程,

3 最后删除文件

我就不操作了,大家知道就可以了

值得注意的是腾讯QQ 也会开启远程8000端口的,要注意区分,可以查询腾讯IP。
通过对比的方法,实现查找木马

基本步骤:

1备分安全状态下的一些情况

2异常时,把异常的文件情况导出

3对比前后两次的结果,根据集体情况,自己判断。

具体操作,看我演示一下:

首先,

因为木马一般在windows\\system32,而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件,

命令dir *.exe>c:\\exe1.txt & dir *.dll>c:\\dll1.txt

意思是说 提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面.

导好了,我们去看看,

假设,我中木马了,木马为 MMMMM.exe 和mmmmmm.dll,我们再来中一个鸽子,

在不安全状态下,我们又导出该目录下的文件名,

命令dir *.exe>c:\\exe2.txt & dir *.dll>c:\\dll2.txt 

存到C盘exe2.txt 与dll2.txt 里面

下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较,

命令fc c:\\exe1.txt c:\\exe2.txt>>c:\\b1.txt

fc c:\\dll1.txt c:\\dll2.txt>>c:\\b2.txt

b1.txt b2.txt这2个就是对比结果

大家看见了吧,就这样,就可以判断是否中了木马

然后我们找到他们,终止进程,删除就OK了

我就不操作了

通过“暂缺”判断是否是木马,再综合路径与端口

基本步骤:

1开始--运行--cmd

2再查路径,

3最后查杀木马

我们以svchost.exe为例子:

正常的svchost.exe是在%systemroot%\\system32下

木马病毒的svchost.exe是在windows\\ststem32\\wins 或者其他地方

像上兴,REDgirl等木马可以设置插入的进程,大家要小心,

鸽子的进程也可以修改,

我们来简单的操作一下,

先用任务管理器查看svchost.exe,svchost.exe会有4,5个左右,

我们关闭一下,

如果:出现关机倒计时,是正常的,可以这样取消:开始--运行--shutdown -a

我这里没有这样的情况,因为我没有中这样的木马,大家可以根据自己的情况具体判断,

开始--运行--cmd--tasklist /svc (win2000的电脑用命令\"tlist -s\",我这里是XP的)

svchost.exe“暂缺” ,那就是木马了,我这里没有,其他有的 “暂缺”,不一定是木马

大家根据自己的具体情况去判断

以上也是一个查杀木马的方法,希望大家能进一步了解木马!
借助防火墙的“访问规则”来拒绝木马的进程,

比如一些过主动防御的木马,虽然过了主动防御,

但是在防火墙还是会留下足迹的,大家可以根据自己的判断做终止它,

最后删除。

这也是一个有效的方法

建议大家要装有杀毒软件的前提下,在做一些安全措施,

比如,

安系统还原精灵,

影子系统

等等

只要重起就没有事情了,

当然这个看你会不会灵活使用,

有些人自然觉得不方便,

我个人觉得很好,这个就是冰点还原精灵,只要同时按住ctrl+alt+shift+F6 就可以弹出设置画面。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点

上一篇:教你两招木马的清除方法      下一篇7月安全补丁修正9处微软产品缺陷
Tags:
 
 
>> 推荐文章
·网络安全之12360崩了!
·最强手机芯片骁龙865跑分
·人民日报35岁现象怎么解析?
·卫星传输数据到iPhone的办法
·苹果手机销量暴降35%!
·红米K30普通版5G版,怎样选择K
·预计2025年5G用户渗透率为48
·红米K30真阉割版5G手机吗?
·Android 10与 iOS 1
·高通骁龙 865详细性能参数
·安卓的这个漏洞一直都还在
·苹果明年iPhone中或支持5G
·问题:5G网络什么时候才能普及?
·“携号转网”能否随心所欲?
·英特尔处理器缺货转投AMD
·国产OLED在市场的地位逐渐凸显
·交通安全日注重生命安全
·《携号转网服务管理规定》今起施行
>> 赞助商链接
|pc捍卫者|捍卫你地盘|唯尚技术|||版权声明|关于我们
本站文章除原创者其余源自网络,如有侵权请联系站长,将于24小时内删除