SiS001! Board - [第一会所关闭注册]

标题: [交流] 木马处理之我见 [打印本页]

作者: 五月幽狼 时间: 2006-10-23 21:33 标题: 木马处理之我见

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。
1.)检查注册表
看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell
Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

另外，你也可以试试用下面的办法来解决：
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html

杀毒就用卡巴：http://www.51ct.cn/downinfo/88.html(这是最新版，！网站里还有别的版本，想用就找一下)

木马就用Ewido：http://www.51ct.cn/downinfo/585.html
官方网站：www.ewido.net

防火墙就用ZoneAlarm：
http://www.51ct.cn/downinfo/374.html（这个可是世界第一,不用那就太没有天理了!序列号：LMLTK-XT5RC-XHVML-ROE4W）

这三个合起来用，可以使得系统坚若磐石
它们每个都是当今世界最强的，不用是你的损失！！

卡巴和ZoneAlarm同时安装后会出现一连网就重新启动的情况！ 5.388以前的版本在“实时保护设置”里，把“禁用网络攻击保护”打上勾,,,,,5.388版本卡巴在设置实时保护打开后，在网络的选项下，把“启用网络攻击实时防御”前面的钩去掉！！！这样就不会和za冲突！！！！！！

下面是一权威人士对杀毒软件的看法 (本人觉得很有道理)

看一个杀毒软件的好坏，要看它真正能够识别病毒的能力；
中国脱壳能力最强的杀毒软件KV，只能脱两种壳，UPX和ASPack；
中国公安部卖的瑞星，只能脱一种壳,UPX壳；
金山和诺顿根本没有脱壳能力。
也就是说一个原本能被他们查杀的病毒，随便加一个冷门的壳，就无法查出来了。
而卡巴斯基支持4000种以上的脱壳技术（现在还在增加），虽然扫描速度下降了，但是识别病毒的能力相当强，无论怎样加壳，都会被识别。
前几天出了一个能够躲过卡巴斯基查杀的加壳工具"Nspack"，震惊了中国木马界。
但是不到一个星期，卡巴斯基就可以识别这种壳了。
我曾经在病毒特征码附近用反汇编添加花指令，都无法躲过卡巴斯基的法眼，更何况是加壳。
要想躲过卡巴斯基的追杀，至今只能通过修改特征码的方法。
卡巴斯基的病毒库虽然不是世界最多（诺顿最多），但是它的识别病毒的能力却是世界上任何一种其他杀毒软件无法比拟的！！
我坚信卡巴斯基的能力

作者: 清水流流 时间: 2006-10-23 22:04

冰刃，太猛了，像我这菜鸟无法搞掂。谢谢！

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.92.12/bbs1/)