文章內(nèi)容

快速清除系統(tǒng)中的木馬病毒

發(fā)布時(shí)間: 2012/6/17 21:55:24

黑客入侵后要做的事就是上傳木馬后門(mén)，為了能夠讓上傳的木馬不被發(fā)現(xiàn)，他們會(huì)想盡種種方法對(duì)其進(jìn)行偽裝。而作為被害者，我們又該如何識(shí)破偽裝，將系統(tǒng)中的木馬統(tǒng)統(tǒng)清除掉呢!

　一、文件捆綁檢測(cè)

將木馬捆綁在正常程序中，一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測(cè)出文件中捆綁的木馬。

1.MT捆綁克星

文件中只要捆綁了木馬，那么其文件頭特征碼一定會(huì)表現(xiàn)出一定的規(guī)律，而MT捆綁克星正是通過(guò)分析程序的文件頭特征碼來(lái)判斷的。程序運(yùn)行后，我們只要單擊“瀏覽”按鈕，選擇需要進(jìn)行檢測(cè)的文件，然后單擊主界面上的“分析”按鈕，這樣程序就會(huì)自動(dòng)對(duì)添加進(jìn)來(lái)的文件進(jìn)行分析。此時(shí)，我們只要查看分析結(jié)果中可執(zhí)行的頭部數(shù)，如果有兩個(gè)或更多的可執(zhí)行文件頭部，那么說(shuō)明此文件一定是被捆綁過(guò)的!

2.揪出捆綁在程序中的木馬

光檢測(cè)出了文件中捆綁了木馬是遠(yuǎn)遠(yuǎn)不夠的，還必須請(qǐng)出“Fearless Bound File Detector”這樣的“特工”來(lái)清除其中的木馬。

程序運(yùn)行后會(huì)首先要求選擇需要檢測(cè)的程序或文件，然后單擊主界面中的“Process”按鈕，分析完畢再單擊“Clean File”按鈕，在彈出警告對(duì)話框中單擊“是”按鈕確認(rèn)清除程序中被捆綁的木馬。

　二、清除DLL類(lèi)后門(mén)

相對(duì)文件捆綁運(yùn)行，DLL插入類(lèi)的木馬顯的更加高級(jí)，具有無(wú)進(jìn)程，不開(kāi)端口等特點(diǎn)，一般人很難發(fā)覺(jué)。因此清除的步驟也相對(duì)復(fù)雜一點(diǎn)。

1.結(jié)束木馬進(jìn)程

由于該類(lèi)型的木馬是嵌入在其它進(jìn)程之中的，本身在進(jìn)程查看器中并不會(huì)生成具體的項(xiàng)目，對(duì)此我們?nèi)绻l(fā)現(xiàn)自己系統(tǒng)出現(xiàn)異常時(shí)，則需要判斷是否中了DLL木馬。

在這里我們借助的是IceSword工具，運(yùn)行該程序后會(huì)自動(dòng)檢測(cè)系統(tǒng)正在運(yùn)行的進(jìn)程，右擊可疑的進(jìn)程，在彈出的菜單中選擇“模塊信息”，在彈出的窗口中即可查看所有DLL模塊，這時(shí)如果發(fā)現(xiàn)有來(lái)歷不明的項(xiàng)目就可以將其選中，然后單擊“卸載”按鈕將其從進(jìn)程中刪除。對(duì)于一些比較頑固的進(jìn)程，我們還將其中，單擊“強(qiáng)行解除”按鈕，然后再通過(guò)“模塊文件名”欄中的地址，直接到其文件夾中將其刪除。

2.查找可疑DLL模塊

由于一般用戶對(duì)DLL文件的調(diào)用情況并不熟悉，因此很難判斷出哪個(gè)DLL模塊是不是可疑的。這樣ECQ-PS(超級(jí)進(jìn)程王)即可派上用場(chǎng)。

運(yùn)行軟件后即可在中間的列表中可以看到當(dāng)前系統(tǒng)中的所有進(jìn)程，雙擊其中的某個(gè)進(jìn)程后，可以在下面窗口的“全部模塊”標(biāo)簽中，即可顯示詳細(xì)的信息，包括模塊名稱(chēng)、版本和廠商，以及創(chuàng)建的時(shí)間等。其中的廠商和創(chuàng)建時(shí)間信息比較重要，如果是一個(gè)系統(tǒng)關(guān)鍵進(jìn)程如“svchost.exe”，結(jié)果調(diào)用的卻是一個(gè)不知名的廠商的模塊，那該模塊必定是有問(wèn)題的。另外如果廠商雖然是微軟的，但創(chuàng)建時(shí)間卻與其它的DLL模塊時(shí)間不同，那么也可能是DLL木馬。

另外我們也可以直接切換到“可疑模塊”選項(xiàng)，軟件會(huì)自動(dòng)掃描模塊中的可疑文件，并在列表中顯示出來(lái)。雙擊掃描結(jié)果列表中的可疑DLL模塊，可看到調(diào)用此模塊的進(jìn)程。一般每一個(gè)DLL文件都有多個(gè)進(jìn)程會(huì)調(diào)用，如果調(diào)用此DLL文件的僅僅是此一個(gè)進(jìn)程，也可能是DLL木馬。點(diǎn)擊“強(qiáng)進(jìn)刪除”按鈕，即可將DLL木馬從進(jìn)程中刪除掉。

　　三、徹底的Rootkit檢測(cè)

誰(shuí)都不可能每時(shí)每刻對(duì)系統(tǒng)中的端口、注冊(cè)表、文件、服務(wù)進(jìn)行挨個(gè)的檢查，看是否隱藏木馬。這時(shí)候我可以使用一些特殊的工具進(jìn)行檢測(cè)。

1.Rootkit Detector清除Rootkit

Rootkit Detector是一個(gè)Rootkit檢測(cè)和清除工具，可以檢測(cè)出多個(gè)Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100.

用方法很簡(jiǎn)單，在命令行下直接運(yùn)行程序名“rkdetector.exe”即可。程序運(yùn)行后將會(huì)自動(dòng)完成一系統(tǒng)列隱藏項(xiàng)目檢測(cè)，查找出系統(tǒng)中正在運(yùn)行的Rootkit程序及服務(wù)，以紅色作出標(biāo)記提醒，并嘗試將它清除掉。

本文出自：億恩科技【www.laynepeng.cn】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]