捍卫者首页
 捍卫原创
 pc网络安全
 pc娱乐
 捍卫者搜图
 pc知识技巧
 UMPC
 PC办公应用
 nod32激活码
pc捍卫者
 当前位置 → pc捍卫者pc网络安全 → 浏览正文
手工查杀嵌入式木马
作者:管理员    来源:www.pchwz.com    更新时间:2007年11月19日

D:\test 的目录

2007-11-04  11:59a      26,772,480 dx81setup.exe
2007-11-04  11:59a       473,600 g5setup解码.exe
         2 个文件   27,246,080 字节
0 个目录  505,454,592 可用字节

  dll.txt文件:
  驱动器 D 中的卷是 娱乐
  卷的序列号是 6078-F043

  D:\test 的目录

2007-03-31  02:52a        36,924 php5apache.dll
2007-03-31  02:52a        36,925 php5apache2.dll
2007-03-31  02:52a        53,314 php5apache_hooks.dll
         3 个文件    127,163 字节
  0 个目录  505,454,592 可用字节

  步骤二:我向test文件夹中拷贝几个exe和dll文件进去,再次重复步骤一,得到exe1.txt和dll1.txt两个文件,同样他们位于test文件夹中。

  步骤三:比较exe.txt和exe1.txt文件以及dll.txt和dll1.txt文件,运行CMD--fc exe.txt exe1.txt>change.txt & fc dll.txt dll1.txt>change.txt

对比后得到changedll.txt和changeexe.txt两个文件内容如下:


  changedll.txt:

  正在比较文件 dll.txt 和 DLL1.TXT

***** dll.txt

2007-03-31  02:52a        36,924 php5apache.dll
***** DLL1.TXT

2007-03-31  02:52a       417,792 fdftk.dll
2007-03-31  02:52a        90,112 fribidi.dll
2007-03-31  02:52a       346,624 gds32.dll
2007-03-31  02:52a        36,924 php5apache.dll
*****

***** dll.txt
2007-03-31  02:52a        53,314 php5apache_hooks.dll
         3 个文件    127,163 字节
         0 个目录  505,454,592 可用字节
***** DLL1.TXT
2007-03-31  02:52a        53,314 php5apache_hooks.dll
         6 个文件    981,691 字节
         0 个目录  475,787,264 可用字节
*****

  其中我们只需看上面我加粗的部分,这部分内容为增加的文件。加粗部分上面一段dll.txt内容只显示一行信息2007-03-31  02:52a 36,924 php5apache.dll,其他文件内容信息省略了,这一行内容就代表了dll.txt中的内容,而加粗这部分DLL1.TXT中的2007-03-31 02:52a 36,924 php5apache.dll就代表了dll.txt中所有内容,剩下的就是我加粗了的文件了,即增加了的文件。

  changeexe.txt:

  正在比较文件 exe.txt 和 EXE1.TXT

***** exe.txt
2007-11-04  11:59a       473,600 g5setup解码.exe
         2 个文件   27,246,080 字节
         0 个目录  505,454,592 可用字节
***** EXE1.TXT
2007-11-04  11:59a       473,600 g5setup解码.exe
2007-11-04  12:02p      13,058,048 mpsetup.exe
2006-10-30  09:11a      11,761,184 RealPlayer10-5GOLD_cn.EXE
2007-11-04  12:02p       3,963,392 Winamp278cn_DFX_Blue.EXE
         5 个文件   56,028,704 字节
         0 个目录  475,787,264 可用字节
*****

  以上增加了的内容为:

2007-11-04  12:02p      13,058,048 mpsetup.exe
2006-10-30  09:11a      11,761,184 RealPlayer10-5GOLD_cn.EXE
2007-11-04  12:02p       3,963,392 Winamp278cn_DFX_Blue.EXE

  步骤四:判断以上增加的内容是否是自己,曾经安装在test文件夹中的exe或者dll文件,如果不是则删除即可。

  总而言之要查杀这类嵌入式木马最有效的办法就是文件对比法,除了上面介绍的一些缩小查找范围的办法外,用户还可以自己再发挥想象把范围缩至最小,从而更加准确的查杀此类嵌入式木马,让嵌入式木马在我们面前无法逃逸。

上一页
本文共 2 页,第  [1]  [2]  页

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点
上一篇:怎样防范溢出提权攻击      下一篇userinit病毒的防范
Tags:
 
 
>> 推荐文章
·网络安全之12360崩了!
·最强手机芯片骁龙865跑分
·人民日报35岁现象怎么解析?
·卫星传输数据到iPhone的办法
·苹果手机销量暴降35%!
·红米K30普通版5G版,怎样选择K
·预计2025年5G用户渗透率为48
·红米K30真阉割版5G手机吗?
·Android 10与 iOS 1
·高通骁龙 865详细性能参数
·安卓的这个漏洞一直都还在
·苹果明年iPhone中或支持5G
·问题:5G网络什么时候才能普及?
·“携号转网”能否随心所欲?
·英特尔处理器缺货转投AMD
·国产OLED在市场的地位逐渐凸显
·交通安全日注重生命安全
·《携号转网服务管理规定》今起施行
>> 赞助商链接
|pc捍卫者|捍卫你地盘|唯尚技术|||版权声明|关于我们
本站文章除原创者其余源自网络,如有侵权请联系站长,将于24小时内删除