与木马斗争妙招来助力
开篇:润墨网以专业的文秘视角,为您筛选了一篇与木马斗争妙招来助力范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
上网过程中,遭遇木马程序袭击总是不可避免,轻则会失去计算机系统控制权,严重的时候能发生重要隐私外泄,从而引起经济或名誉上的损失。为了减少各种不必要的损失,我们需要立即行动起来,与木马程序坚决斗争到底。
判断是否存在木马
倘若怀疑自己的Windows系统,已经被意外感染木马程序,而手头恰好又没有专门工具进行扫描确认时,不妨巧妙通过Windows系统自身的力量,来判断木马攻击是否存在。
着眼帐号进行判断
进入Windows系统的MS-DOS工作窗口,通过内置的“net user”命令,弄清楚当前Windows系统中究竟存在哪些用户账号,之后在命令行提示符下,执行“net user + xxx”命令(“xxx”为陌生用户的账号名称),了解陌生用户处于哪种权限级别。
正常来说,只有用户自己添加的账号和系统自带的administrator账号隶属于administrator组外,倘若看到一个Windows系统自带的用户拥有administrator组访问权限时,那很可能意味着本地计算机已经被木马入侵了,而且还在本地系统中进行了账号克隆操作。为了避免安全威胁,我们可以在DOS命令行中,使用“net user xxx /del”命令,将存在可疑的用户账号给删除掉,禁止木马程序利用该陌生账号攻击计算机。
着眼服务进行判断
有些狡猾的木马程序,往往会将自己伪装成不易让人发现的系统服务,所以,我们应该定期打开系统服务列表界面,检查正在运行的系统服务,有哪些是不明来历的服务。当然,也可以进入MS-DOS工作窗口,执行“net start”命令,从返回的如图1所示结果界面中,就能直观查明有什么系统服务在启动运行。一旦有陌生系统服务处于启动状态时,可以执行“net stop xxx”命令(“xxx”为陌生系统服务名称),强行将其工作状态停用掉。
当然,如果想查看某个陌生系统服务的详细属性信息时,建议大家依次单击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“services.msc”命令,切换到系统服务列表界,用鼠标双击某个服务选项,在对应选项设置对话框中,就能看到目标系统服务的工作状态、登录性质和启动类型等信息。
当确认某个陌生服务,就是木马程序所启动的服务时,只要在对应服务属性对话框中,点击“停止”按钮,将其工作状态强行停止,之后将它的启动类型参数选择为“已禁用”,以避免该木马服务日后跟随Windows系统自动启动运行,确认后保存设置操作即可。
着眼连接进行判断
一些木马程序常常会占用本地计算机中的网络端口,如果我们能够对Windows系统的网络端口进行及时监控,一旦发现有数值比较大的端口被占用时,那多半是木马程序已经感染了计算机系统。在查看本地计算机中所有网络端口的开启状态时,可以依次单击“开始”|“运行”命令,弹出系统运行对话框,输入“cmd”命令并回车,切换到DOS命令行工作窗口,输入“netstat -na”命令,单击回车键后,从返回的如图2所示结果界面中,就能直观看到所有网络端口的状态信息,包括源地址端口号和目标地址端口号。
寻找木马文件踪迹
当确认本地系统中存在木马攻击时,我们就需要努力将躲藏起来的木马攻击文件找到,并将其及时删除掉,以避免它继续威胁系统安全。考虑到木马文件都具有隐藏属性,只有先开启Windows系统的隐藏文件显示功能,才能方便寻找木马文件踪迹。在打开隐藏文件显示功能时,只要先打开系统资源管理器窗口,依次点击“组织”|“文件夹和搜索选项”命令,弹出文件夹选项设置框,选择“查看”标签,切换到如图3所示的标签设置页面,选中“显示隐藏的文件、文件夹和驱动器”选项,同时取消选中“隐藏受保护的操作系统文件”选项,单击“确定”按钮后保存设置操作。
考虑到很多木马程序都会将自身拷贝到系统文件夹中,同时会添加到系统启动项,这是因为要是木马程序不这么操作,很容易被用户发现,不添加到系统启动项中,重新启动Windows系统后,木马程序就不能自动发作运行了。所以,要想寻找木马文件踪迹,必须要检查以下一些位置。
检查启动文件夹
木马将自身隐藏在系统启动文件夹中,尽管隐蔽效果不是很好,不过能方便自动加载运行。系统启动文件夹位置一般位于“C:\Documents and Settings\xxx\开始菜单\程序\启动”,这里的“xxx”为当前登录用户账号。还有一个系统启动文件夹对所有用户有效,无论哪种权限的用户登录进入系统,只要将程序添加到该文件夹中,都能达到自动启动目的,该启动文件夹位置常位于“C:\Documents and Settings\All Users\开始菜单\程序\启动”。
检查系统注册表
系统注册表中的许多启动分支下面,可以寻找到木马文件踪迹,所以我们应该定期查看下面分支中的一些键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon。
当然,也有一些特别的木马程序,会将自己伪装为系统服务,隐藏到系统注册表中,日后它们会以系统服务方式发作运行,从而给本地计算机带来安全威胁。为了能查找到这类木马的“身影”,我们需要打开系统注册表,将鼠标定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支上,仔细检查该分支下的键值,就能将木马文件寻找出来了。
为了禁止木马文件日后继续将自身隐藏到注册表启动分支中,我们可以对特定分支的编辑权限进行控制。在进行这种操作时,先选中目标注册表分支,依次选择“编辑”|“权限”选项,切换到目标分支权限编辑对话框(如图4所示),在“组或用户名称”设置项处,将“everyone”账号的“读取”权限修改为“允许”,将其他权限修改为“拒绝”,再将其他一些用户账号全部删除,确认后保存设置即可。
检查IE主页面
有些木马程序可能会修改IE浏览器主页面,同时将恶意文件隐藏到对应主页面中,一旦IE浏览器开启运行时,这些狡猾的木马程序就能自动发作运行。要找到这类木马文件,可以依次检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\UrlSearchHooks等分支,通过这些分支下面的键值,就能找到木马文件的详细路径,并及时将木马文件删除。
检查系统文件
为了达到自动启动目的,木马程序也会悄悄修改System.ini、Win.ini等系统配置文件,所以检查这类系统文件,或许能够发现木马文件踪迹。打开系统运行对话框,输入“System.ini”关键字,单击回车键后,弹出System.ini文件编辑对话框,从中找到“Boot”字段,检查“Shell=Explorer.exe”后面是否存在“*.exe”之类的内容,如果存在的话,那么多半是本地系统遭遇到了木马程序的攻击,而“*.exe”程序文件自然也就是恶意文件了。当然,该配置文件中的“drivers”、“mic”、“drivers32”等字段下面,也可能潜藏有木马文件,所以,我们也要认真检查这些字段内容。
按照同样的操作方法,打开Win.ini文件编辑对话框,检查该文件中是否存在“run=”、“load=”等启动命令,这些命令后面默认是空白的,如果存在其他的应用程序,比方说存在“C:\Windows\Command.exe”程序时,那该程序多半就是木马文件。
检查文件关联
不少木马程序常常会通过编辑注册表的方法,调整文件关联设置,这样当用户日后启动运行txt、inf、exe格式的文件时,木马程序就能随之启动运行。所以,要寻找这类木马文件的踪迹,可以先检查系统注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command分支(如图5所示),看看该分支下的默认键值是否为“"%1" %*”,如果不是的话,那就说明exe类型文件的关联设置被木马程序修改了,只有将数值修改回来,才能阻止木马程序的攻击。同样地,检查HKEY_CLASSES_ROOT\txtfile\shell\open\command分支下的默认键值是否为“C:\windows\notepad.exe %1”,检查HKEY_CLASSES_ROOT\inffile\shell\open\command分支下的默认键值是否为“%SystemRoot%\system32\NOTEPAD.EXE %1”,如果不正常的话,也要将它们修改回来。
检查文件扩展名
为了躲避普通用户的查杀,一些狡猾的木马程序,有时会将恶意文件图标,伪装成普通文本、图像、视频文件的图标,同时将文件名称修改为“*.txt.exe”格式,之后利用Windows系统默认不显示已知文件扩展名的特点,达到隐藏目的。普通用户在默认状态下,会认为“*.txt.exe”格式的木马文件属于常见文本文件,不经意间双击文件图标时,就能启动运行木马文件了。
要对付这类木马文件,只要打开系统资源管理器窗口,依次点击“组织”|“文件夹和搜索选项”命令,弹出文件夹选项设置框,选择“查看”标签,切换到查看标签设置页面,取消选中“隐藏已知文件类型的扩展名”选项,单击“确定”按钮后保存设置操作。这样,日后每次双击某个文件时,只要遇到有文件属于“*.txt.exe”格式,那么该文件肯定是木马文件。
检查系统组策略
还有一些木马程序隐蔽性很强,它们有时会将恶意文件隐藏到系统组策略中,让一般用户不能找到它们的“身影”。为了弄清楚系统组策略中是否存在木马文件,我们可以依次选择“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令并回车,切换到系统组策略控制台窗口,将鼠标定位到该窗口左侧列表中的“用户配置”、“管理模板”、“系统”、“登录”分支上。找到该分支下的“在用户登录时运行这些程序”选项,并用鼠标双击之,打开如图6所示的选项设置框,将“已启用”选中,同时按下“显示”按钮,切换到应用程序默认启动列表框。在这里应该没有任何应用程序出现才对,一旦看到有陌生程序存在,那该陌生程序多半就是木马程序,此时只要将它们清空删除,再找到并删除木马程序源文件。
巧妙删除木马程序
1. 删除常规木马
当采取上述措施,寻找到木马文件的踪迹后,就需要立即将本地计算机与网络断开,以避免木马程序通过网络对自己进行攻击和监控。之后,通过已经查找到的木马程序名称,搜索系统注册表,寻找到相关键值,定位到木马源文件在硬盘中的具置,手工删除源头木马文件。当发现某个木马文件无法被删除时,可以打开DOS命令行窗口,或者直接启动到纯DOS工作状态,执行del命令强行删除木马文件。倘若木马文件的属性是系统的、隐藏的、只读的,那么可以使用“attrib -s -r -h”命令,将木马文件的属性调整为普通属性,再执行删除操作即可。
2. 删除DLL木马
有的木马程序会通过DLL文件来替代系统文件,达到既能启动木马程序,又能保持原来DLL文件的功能。在删除这类特殊木马文件时,可以先在系统工作正常的情况下,进入DOS命令行工作窗口,使用“cd”命令将当前目录设置为“system32”,执行“dir *.dll > 111.txt”命令(如图7所示),将对应目录下面所有的Dll文件备份到“111.txt”文件中。
日后,当怀疑本地计算机中遇到DLL木马袭击时,可以按照上述操作方法,再次执行“dir *.dll > 222.txt”命令,将感染了DLL木马之后的所有DLL文件备份到“222.txt”文件中。之后,输入字符串命令“fc 111.txt 222.txt > 333.txt”,单击回车键后,对系统感染木马前后两次的DLL文件进行比较,并将比较的结果保存到“333.txt”文件中。打开该文本文件,就能了解到系统多出了哪些DLL文件,根据文件创建的时间、版本等信息,就能知道哪些文件是DLL木马文件了。进入DLL木马文件所在的目录,强行对其执行删除操作,这样就能将木马清除干净了。使用相同的操作方法,还可以删除EXE木马文件。
3. 删除捆绑木马
与常规木马相比,捆绑型木马十分狡猾,常常会和正常的应用程序绑定在一起,让人防不胜防。有鉴于此,我们可以使用LaunchSupervisor这款专业工具,来轻松对付捆绑型木马,该工具是专门用于查杀使用免杀技术和与软件捆绑技术的木马程序或病毒。
开启LaunchSupervisor工具的运行状态后,它就能对预先设定的应用程序活动状态进行监控,一旦探测到它尝试运行第三方陌生程序时,就能对其自动拦截,避免恶意程序偷偷攻击本地计算机。用鼠标右键单击系统托盘区域处的目标工具快捷图标,选择“Open LaunchSupervisor Control Panel”命令,选中其后界面中的“Enable LaunchSupervisor”命令(如图8所示),启动运行该工具的监控功能。如果要启动运行目标工具的拦截提示功能,可以选中“Show notification”选项,这样目标工具一旦探测到捆绑在正常程序的木马尝试启动时,不但会自动对其拦截,而且还会出现提示对话框,建议用户采取合适的安全防范措施。
按下“Internet Programs List”按钮,切换到网络程序列表对话框,从中选择需要监控的程序选项,默认状态下,目标工具已经将大量常见的网络程序列写出来了。如果需要监控的程序不在列表中,可以自行添加。比方说,为了避免木马程序利用QQ工具传播,不妨在网络程序列表对话框底部区域输入“qq.exe”,按下“Quick Add”按钮,将QQ工具手工加入到网络程序监控列表中。如此一来,当用户尝试在QQ聊天窗口中,启动存在木马的陌生文件时,目标工具就能自动对该操作进行拦截。
为了保证系统安全运行,建议大家将从网上下载获得的应用程序,全部添加到上述网络程序监控列表中,以防止这些程序潜藏有捆绑型木马。倘若某个程序中真的存在木马文件,而且当其尝试非法运行时,目标工具就能对其自动拦截,从而禁止其趁虚而入。