计算机网络木马病毒特征与查杀文档信息
目录
1发现木马
2结束木马进程
3还原木马修改的注册表键值
4删除病毒/木马启动项
4. 1系统配置实用程序
4.2注册表编辑器
4.3木马修改服务
4.4除了通过使用“系统配置实用程序”和直接修改系统注册表的方. . .
正文
摘要随着人类社会生活对Internet需求的日益增长 电脑已完全融入人们文化生活但网络上病毒与木马的日益猖獗严重影响了Internet及各项网络服务和应用本文主要介绍了木马病毒的特征和查杀方法
关键字木马病毒查杀
计算机及其网络在运行中常会受到人为因素和自然因素的破坏其中计算机病毒的侵入使计算机资源受到毁坏、数据被替换、盗
窃、和丢失。其中被称为“木马”的病毒给计算机及其网络运行造成的危害尤为严重。
木马和病毒都是一种人为的程序都属于电脑病毒。大家都知道以前的电脑病毒的作用就是为了搞破坏破坏电脑里的资料数据有些病毒制造者为了炫耀自己的技术有的是为了达到某些目的对客户进行威慑和敲诈勒索。
“木马”不一样木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码数据等如盗窃管理员密码-子网密码、偷窃上网密码、游戏帐号、股票帐号、甚至网上银行帐户等。达到偷窥别人隐私和得到经济利益的目的这就是目前网上大量木马泛滥成灾的原因。鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样所以木马虽然属于病毒中的一类但是要单独的从病毒类型中间剥离出来.独立的称之为“木马”程序。
木马程序自从出现的第一天起就成为了互联网中的一大安全隐患。木马程序有别于蠕虫病毒 因为它需要人为的控制和执行方能对网络安全造成威胁。
传统木马都由两部分组成客户端和服务器端 即C(Clienterver)类型。客户端在本地主机执行用来控制服务器端。服务器端在远程主机执行一旦执行成功远程主机就中了木马就可以被控制或者造成其他的破坏。
随着安全技术的发展个人电脑防病毒软件和个人电脑防火墙的出现使得传统木马已经走到了生存的边缘正当人们以为可以彻底铲除木马的时候新型木马问世了。
首先出现的是反弹端口木马该木马与传统木马最大的区别在于服务端一旦被执行会主动连接客户端。 由于防火墙一般是许出不许进这样反弹端口木马就利用了防火墙这一特点穿透防火墙。
为了躲避防病毒软件的查杀 DLL木马也诞生了。任何一个程序运行都需要调用自身的DLL程序 由于DLL文件本身是不能执行的所以杀毒软件不会把它列到查杀范围当中。 DLL木马利用应用程序进程都要调用很多DLL文件这种特点把自己插入到普通的应用程序的进程中使用户无法在任务管理器当中发现木马的任何踪迹。所以DLL木马又被人们称为无进程木马隐蔽性相当强。
但是木马终归是木马它与生俱来的特性是永远无法改变的所以下面给大家介绍几种木马的通用解法。
1发现木马
如果大家发现自己的电脑出现了一些异常可以利用防病毒软件进行检测但是防病毒软件在木马查杀方面功能并不强大所以大家可以借助手工方式进行检测。
无论什么木马破坏系统必须依赖网络所以我们可以利用“netstat -nao”命令来查看本机当前的网络连接及使用端命令打
开这台系统的命令行窗口cmd在当中键入“netstat -nao” 就可以看到系统中端口的连接状态其中状态显示为“ESTABL ISHED”的就是当前系统正在连接的端口。
查看本机的网络连接状态
如果用户认为某个连接比较可疑那么看看该连接后面的PID号然后再打开“任务管理器” 查看PID号所对应的程序那么就能很容易的判断出该进程是否是木马。
2结束木马进程
如果遇到的是普通木马那么用户可以直接在“任务管理器”中右击结束木马进程。如果是DLL木马我们仍然需要借助listdlls.exe 的帮助在键入“listdlls -d dll文件名称”后 即可将DLL进程结束。
3还原木马修改的注册表键值
木马最喜欢光顾的注册表键值莫过于系统中的文件关联 因为文件关联对系统的影响尤为重要 因为木马如果关联了一个文件类型那么用户一旦打开该类型的文件木马就会被执行了。例如冰河木马会把自身和.txt文件关联只要有一个. txt文件被打开木马就会先执行自己。
同样木马还会把自身与“Exe”文件、 “com”文件、 “Ini” 文件、 “Inf”文件关联。当这些文件被打开时木马就会先执行自己再调用原来文件打开程序来打开有关文件。
4删除病毒/木马启动项
很多情况下在清除木马以后重新启动计算机木马又回来了其根本原因就是木马把自己加载到了启动项当中虽然用户清除了木马但是一旦系统重启木马将再次得到加载所以我们必须将系统启动项中的木马清除干净。
4. 1系统配置实用程序
就Windows XP为例我们知道有一个叫作“msconf ig”的东西这个就是“系统配置实用程序” 通过它我们可以方便地管理一些程序的自启动信息。打开系统配置实用程序 “开始” >> “运行” 输入“msconfig” 点击“确定”打开系统配置实用程序。在“系统配置实用程序”的“启动”选项页上我们可以看到有一个启动程序列表它们前面的勾表示它们是否在系统启动时也随系统同时启动。一般对于木马的自启动项我们可以在这里将它们前面的勾去掉。
另外在程序msconfig中其他位置也有可能成为木马加载自启动项的地方如果被木马修改了我们一般可以直接修改这里。
4.2注册表编辑器
打开注册表编辑器 “开始” >> “运行” 输入“REGED IT”点击“确定”打开注册表编辑器一般木马会将自己的启动项加载到注册表中的HKEY_LOCAL_ MACHI NE\ SOFTWARE\ Mi cros oft\ W indows\CurrentVei on\ Run下这也是最常见的一个自启动项位置对于不明项目的自启动项我们一般可以直接删除。
4.3木马修改服务
这是一种非常隐蔽的启动方式木马把自己注册为系统服务并设置服务属性为“自动” 。 由于所有属性为“自动”的服务都会在开机时被执行木马当然也不例外。在“运行”里输入services.msc并回车就可以打开“服务”窗口如果发现其中存在没有描述的服务就需要注意了该程序多半也是木马程序。木马不管未来会如何地发展但是它的几个固有的特性是永远不会变的。所以大家找到了一种解决办法就能够举一反三将其清除。
4.4除了通过使用“系统配置实用程序”和直接修改系统注册表的方法来去除木马病毒的自启动项外我们还可以使用一些第三方的小工具来去掉或编辑这些启动项 比如HijackThis等等。
结束语
计算机的木马病毒会给计算机的应用带来危害随着技术的发展计算机杀毒产品的不断出现、功能的不断完善、推出速度的不断加快在一定程度上保证了计算机及其网络的安全运行。但是还要加强对计算机及其网络的管理如数据加密、构筑Internet网防火
墙仔细阅读日志及时安装各种安全补丁程序等为计算机及其网络建立安全环境使多种保护类型互相加强如果一种形式失败、另一种将继续工作最大限度地减少损害。
“计算机网络木马病毒特征与查杀”文档源于网络本人编辑整理。本着保护作者知识产权的原则仅供学习交流请勿商用。如有侵犯作者权益请作者留言或者发站内信息联系本人我将尽快删除。谢谢您的阅读与下载
今天获得消息,vdsina上了AMD EPYC系列的VDS,性价比比较高,站长弄了一个,盲猜CPU是AMD EPYC 7B12(经过咨询,详细CPU型号是“EPYC 7742”)。vdsina,俄罗斯公司,2014年开始运作至今,在售卖多类型VPS和独立服务器,可供选择的有俄罗斯莫斯科datapro和荷兰Serverius数据中心。付款比较麻烦:信用卡、webmoney、比特币,不支持PayPal...
RackNerd今天补货了3款便宜vps,最便宜的仅$9.49/年, 硬盘是SSD RAID-10 Storage,共享G口带宽,最低配给的流量也有2T,注意,这3款补货的便宜vps是intel平台。官方网站便宜VPS套餐机型均为KVM虚拟,SolusVM Control Panel ,硬盘是SSD RAID-10 Storage,共享G口带宽,大流量。CPU:1核心内存:768 MB硬盘:12 ...
无忧云怎么样?无忧云服务器好不好?无忧云值不值得购买?无忧云,无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,自营有国内雅安高防、洛阳BGP企业线路、香港CN2线路、国外服务器产品等,非常适合需要稳定的线路的用户,如游戏、企业建站业务需求和各种负载较高的项目,同时还有自营的高性能、高配置的BGP线路高防物理...