手把手教你防木马
有人是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能.但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码.”随着互联网的迅速发展,木马的攻击、危害性越来越大,而我们怎样来防止自己的电脑中木马成为现在网民的心头大事,一旦中木马后果可想而知.其实木马并不可怕,只要我们了解它,认识它,一切都会变简单,木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下蛛丝马迹,我们可以通过以下几种方法来控制并消灭它:一、我们要先检查;二、堵住控制通路;三、消灭木马。
一、我们要先检查
1.检查系统进程
大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序.特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象.远程控制型木马以及输出Shell型的木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行.通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹.在命令行中输入Netstat na,可以清楚地看到系统打开的端口和连接.下载Fport软件,运行该软件后,可以知道打开端口的进程名,进程号和程序的路径,这样为查找“木马”提供了方便之门.
2.检查注册表、ini文件和服务,木马为了能够在开机后自动运行,往往在注册表选项中添加注册表项,木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果在这些选项后面加载程序是你不认识的,就有可能是木马.木马最惯用的伎俩就是把“Explorer”变成自己的程序名,只需稍稍改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细观察是很难被发现.在Windwos NT/2000中,木马会将自己作为服务添加到系统中,甚至随机替换系统没有启动的服务程序来实现自动加载,检测时要对操作系统的常规服务有所了解.
3.监视网络通讯,对于一些利用ICMP数据通讯的木马,被控端没有打开任何监听端口,无需反向连接,不会建立连接,采用第三种方法检查开放端口的方法就行不通.可以关闭所有网络行为的进程,然后打开Sniffer软件进行监听,如此时仍有大量的数据,则基本可以确定后台正运行着木马.
二、控制通路
如果你的网络连接处于禁用状态后或取消拨号连接,反复启动、打开窗口等不正常现象消失,那么可以判断你的电脑中了木马.通过禁用网络连接或拔掉网线,就可以完全避免远端计算机通过网络对你的控制.当然,亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口.如通过Pslist查看可疑进程,用Pskill杀掉可疑进程后,如果计算机正常,说明这个可疑进程通过网络被远端控制,从而使计算机不正常.
三、消灭木马
1.软件杀毒
用杀毒软件进行查杀木马是最直接方便的方法,是一些初级网民的首选,由于木马编写技术的不断进步,很多木马有了自我保护机制.普通用户最好通过专业的杀毒软件如金山毒霸2008等软件进行杀毒,对于杀毒软件,一定要及时更新,并通过病毒公告及时了解新木马的预防和查杀绝技,或者通过下载专用的杀毒软件进行杀毒.
2.手工删除
手工删除是有一点电脑知识的人才能做的,要辨别文件的安全性是非常困难的,对于一些可疑文件,不能立即删除,有可能由于误删系统文件而使计算机不能正常工作.首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解.当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析,查看文件的导入函数列表和数据段部分,初步了解程序的主要功能.最后,删除木马文件及注册表中的键值.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
