全面解析Windows安全防护之木马的类型及其清除办法

安全 网站安全
木马自从出现的第一天起就成为了互联网中的一大安全隐患。木马程序有别于蠕虫病毒,因为它需要人为的控制和执行方能对网络安全造成威胁。

木马名称的由来

木马病毒入侵电脑木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。

木马基本概念

它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。

传统木马

传统木马都由两部分组成:客户端和服务器端,即C/S(Client/Server)类型。客户端在本地主机执行,用来控制服务器端。服务器端在远程主机执行,一旦执行成功,远程主机就中了木马,就可以被控制或者造成其他的破坏。

新型木马

反弹端口木马,该木马与传统木马最大的区别在于服务端一旦被执行,会主动连接客户端。由于防火墙一般是许出不许进,这样反弹端口木马就利用了防火墙这一特点,穿透防火墙。

为了躲避防病毒软件的查杀,DLL木马也诞生了。任何一个程序运行都需要调用自身的DLL程序,由于DLL文件本身是不能执行的,所以杀毒软件不会把它列到查杀范围当中。DLL木马利用应用程序进程都要调用很多DLL文件这种特点,把自己插入到普通的应用程序的进程中,使用户无法在任务管理器当中发现木马的任何踪迹。所以DLL木马又被人们称为无进程木马,隐蔽性相当强。

由于网络游戏和IM软件的盛行,在巨大的利益面前,使各种盗号木马迅速的生根发芽。千万不要小看这些盗号木马,在技术上丝毫不亚于经典的木马,甚至某些地方比那些老牌木马更为强大。

木马的通用解法

1.发现木马

无论什么木马,都想要破坏系统必须的依赖网络,所以我们可以利用“netstat -nao”命令来查看本机当前的网络连接及使用的端口号。

如果遇到的是DLL木马,我们看到的进程有可能是正常的系统进程,可以利用命令行的工具listdlls.exe,键入“listdlls exe文件名称”,就可以查看到这个exe程序对应的DLL。

2.结束木马进程

如果遇到的是普通木马,那么用户可以直接在“任务管理器”中右击结束木马进程。如果是DLL木马,仍然需要借助listdlls.exe的帮助,在键入“listdlls –d dll文件名称”后,即可将DLL进程结束。

3.还原木马修改的注册表键值

木马最喜欢光顾的注册表键值莫过于系统中的文件关联,因为文件关联对系统的影响尤为重要,因为木马如果关联了一个文件类型,那么用户一旦打开该类型的文件,木马就会被执行了。例如冰河木马,会把自身和.txt文件关联,只要有一个.txt文件被打开,木马就会先执行自己,再调用原来打开.txt文件的程序来打开.txt文件。

4.删除病毒启动项

为什么在清除木马以后,重新启动计算机,木马又回来了?其根本原因就是木马把自己加载到了启动项当中,虽然用户清除了木马,但是一旦系统重启,木马将再次得到加载,所以我们必须将系统启动项中的木马清除干净。

1、几乎所有的木马都喜欢利用注册表来达到随系统启动的目的

2、修改System.ini。该文件位于系统文件夹下,是系统启动的必需文件。正常情况下,shell=后面应该只有explorer.exe,如果发现加进去了其他程序,则很有可能是感染了木马。

木马会修改注册表的以下项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

3、修改Win.ini。该文件记录了系统的基本信息,也是启动时必须要执行的文件之一。在它的Windows字段里,默认情况下load和run后面为空,如果发现任何一个后面被加进去了程序的地址,则肯定中了木马,并且这里就是木马的启动地址。

4、修改Autoexec.bat。这个批处理文件是专门用来执行一些需要在启动时执行的程序的,位于系统盘的根目录下。如果用户不需要利用该文件在开机时执行某些程序,完全可以删除该文件。默认情况下该文件里无可执行程序,如果发现里面有了其他语句就需要注意了,说不定已经感染了木马。

5、修改“启动”组。“启动”组是一个以文件夹形式存在的系统目录,它不能被删除,任何程序只要位于该文件夹下,就会毫无条件的在开机时自动运行。所以这也成了木马很好的启动方式之一。依次打开 “开始→程序”,就会发现有一个“启动”文件夹。如果发现里面有了不明程序,则很可能是中了木马。

6、修改服务这是一种非常隐蔽的启动方式,木马把自己注册为系统服务,并设置服务属性为“自动”。由于所有属性为“自动”的服务都会在开机时被执行,木马当然也不例外。在“运行”里输入services.msc并回车,就可以打开“服务”窗口,如果发现其中存在没有描述的服务,就需要注意了,该程序多半也是木马程序。

最后也是最为简单的一步,在系统中搜索木马文件的名称,当找到木马原文件后,将它删除即可

【编辑推荐】

  1. 广告类恶意木马新变种
  2. 黑客欺骗网友执行木马的方法
  3. 黑客种植木马新方法及防范策略
责任编辑:佚名 来源: 51CTO整理
相关推荐

2011-03-15 16:26:56

2016-03-10 13:49:00

2023-06-25 14:50:32

2010-05-06 20:45:37

2010-10-27 14:35:24

2011-03-15 16:59:26

2012-05-02 16:20:51

Windows 8安全防护

2009-10-28 14:40:01

2009-10-29 14:00:48

2010-09-13 13:56:03

2010-07-05 15:11:13

网络设备安全防护

2009-12-11 15:28:02

PHP安全防护

2023-09-05 07:05:35

2019-10-21 09:02:23

邮件安全网络钓鱼电子邮件

2011-05-13 13:24:02

2013-12-18 09:24:42

2010-09-17 14:03:40

2012-12-13 10:09:03

2010-09-26 11:29:58

2021-01-05 18:36:39

物联网安全
点赞
收藏

51CTO技术栈公众号