激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

        快速清除系統(tǒng)中的木馬病毒

        發(fā)布時(shí)間:  2012/9/8 18:13:11
        黑客入侵后要做的事就是上傳木馬后門,為了能夠讓上傳的木馬不被發(fā)現(xiàn),他們會(huì)想盡種種方法對其進(jìn)行偽裝。而作為被害者,我們又該如何識(shí)破偽裝,將系統(tǒng)中的木馬統(tǒng)統(tǒng)清除掉呢!

         
         一、文件捆綁檢測

          將木馬捆綁在正常程序中,一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測出文件中捆綁的木馬。

          1.MT捆綁克星

          文件中只要捆綁了木馬,那么其文件頭特征碼一定會(huì)表現(xiàn)出一定的規(guī)律,而MT捆綁克星正是通過分析程序的文件頭特征碼來判斷的。程序運(yùn)行后,我們只要單擊“瀏覽”按鈕,選擇需要進(jìn)行檢測的文件,然后單擊主界面上的“分析”按鈕,這樣程序就會(huì)自動(dòng)對添加進(jìn)來的文件進(jìn)行分析。此時(shí),我們只要查看分析結(jié)果中可執(zhí)行的頭部數(shù),如果有兩個(gè)或更多的可執(zhí)行文件頭部,那么說明此文件一定是被捆綁過的!

          2.揪出捆綁在程序中的木馬

          光檢測出了文件中捆綁了木馬是遠(yuǎn)遠(yuǎn)不夠的,還必須請出“Fearless Bound File Detector”這樣的“特工”來清除其中的木馬。

          程序運(yùn)行后會(huì)首先要求選擇需要檢測的程序或文件,然后單擊主界面中的“Process”按鈕,分析完畢再單擊“Clean File”按鈕,在彈出警告對話框中單擊“是”按鈕確認(rèn)清除程序中被捆綁的木馬。

          二、清除DLL類后門

          相對文件捆綁運(yùn)行,DLL插入類的木馬顯的更加高級(jí),具有無進(jìn)程,不開端口等特點(diǎn),一般人很難發(fā)覺。因此清除的步驟也相對復(fù)雜一點(diǎn)。

          1.結(jié)束木馬進(jìn)程

          由于該類型的木馬是嵌入在其它進(jìn)程之中的,本身在進(jìn)程查看器中并不會(huì)生成具體的項(xiàng)目,對此我們?nèi)绻l(fā)現(xiàn)自己系統(tǒng)出現(xiàn)異常時(shí),則需要判斷是否中了DLL木馬。

          在這里我們借助的是IceSword工具,運(yùn)行該程序后會(huì)自動(dòng)檢測系統(tǒng)正在運(yùn)行的進(jìn)程,右擊可疑的進(jìn)程,在彈出的菜單中選擇“模塊信息”,在彈出的窗口中即可查看所有DLL模塊,這時(shí)如果發(fā)現(xiàn)有來歷不明的項(xiàng)目就可以將其選中,然后單擊“卸載”按鈕將其從進(jìn)程中刪除。對于一些比較頑固的進(jìn)程,我們還將其中,單擊“強(qiáng)行解除”按鈕,然后再通過“模塊文件名”欄中的地址,直接到其文件夾中將其刪除。

          2.查找可疑DLL模塊

          由于一般用戶對DLL文件的調(diào)用情況并不熟悉,因此很難判斷出哪個(gè)DLL模塊是不是可疑的。這樣ECQ-PS(超級(jí)進(jìn)程王)即可派上用場。

          運(yùn)行軟件后即可在中間的列表中可以看到當(dāng)前系統(tǒng)中的所有進(jìn)程,雙擊其中的某個(gè)進(jìn)程后,可以在下面窗口的“全部模塊”標(biāo)簽中,即可顯示詳細(xì)的信息,包括模塊名稱、版本和廠商,以及創(chuàng)建的時(shí)間等。其中的廠商和創(chuàng)建時(shí)間信息比較重要,如果是一個(gè)系統(tǒng)關(guān)鍵進(jìn)程如“svchost.exe”,結(jié)果調(diào)用的卻是一個(gè)不知名的廠商的模塊,那該模塊必定是有問題的。另外如果廠商雖然是微軟的,但創(chuàng)建時(shí)間卻與其它的DLL模塊時(shí)間不同,那么也可能是DLL木馬。

          另外我們也可以直接切換到“可疑模塊”選項(xiàng),軟件會(huì)自動(dòng)掃描模塊中的可疑文件,并在列表中顯示出來。雙擊掃描結(jié)果列表中的可疑DLL模塊,可看到調(diào)用此模塊的進(jìn)程。一般每一個(gè)DLL文件都有多個(gè)進(jìn)程會(huì)調(diào)用,如果調(diào)用此DLL文件的僅僅是此一個(gè)進(jìn)程,也可能是DLL木馬。點(diǎn)擊“強(qiáng)進(jìn)刪除”按鈕,即可將DLL木馬從進(jìn)程中刪除掉。

          三、徹底的Rootkit檢測

          誰都不可能每時(shí)每刻對系統(tǒng)中的端口、注冊表、文件、服務(wù)進(jìn)行挨個(gè)的檢查,看是否隱藏木馬。這時(shí)候我可以使用一些特殊的工具進(jìn)行檢測。

          1.Rootkit Detector清除Rootkit

          Rootkit Detector是一個(gè)Rootkit檢測和清除工具,可以檢測出多個(gè)Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100.

          用方法很簡單,在命令行下直接運(yùn)行程序名“rkdetector.exe”即可。程序運(yùn)行后將會(huì)自動(dòng)完成一系統(tǒng)列隱藏項(xiàng)目檢測,查找出系統(tǒng)中正在運(yùn)行的Rootkit程序及服務(wù),以紅色作出標(biāo)記提醒,并嘗試將它清除掉。

          2.強(qiáng)大的Knlps

          相比之下,Knlps的功能更為強(qiáng)大一些,它可以指定結(jié)束正在運(yùn)行的Rootkit程序。使用時(shí)在命令行下輸入“knlps.exe -l”命令,將顯示系統(tǒng)中所有隱藏的Rootkit進(jìn)程及相應(yīng)的進(jìn)程PID號(hào)。找到Rootkit進(jìn)程后,可以使用“-k”參數(shù)進(jìn)行刪除。例如已找到了“svch0st.exe”的進(jìn)程,及PID號(hào)為“3908”,可以輸入命令“knlps.exe -k 3908”將進(jìn)程中止掉。

         
         四、克隆帳號(hào)的檢測

          嚴(yán)格意義上來說,它已經(jīng)不是后門木馬了。但是他同樣是在系統(tǒng)中建立了管理員權(quán)限的賬號(hào),但是我們查看的卻是Guest組的成員,非常容易麻痹管理員。

          在這里為大家介紹一款新的帳號(hào)克隆檢測工具LP_Check,它可以明查秋毫的檢查出系統(tǒng)中的克隆用戶!

          LP_Check的使用極其簡單,程序運(yùn)行后會(huì)對注冊表及“帳號(hào)管理器”中的用戶帳號(hào)和權(quán)限進(jìn)行對比檢測,可以看到程序檢測出了剛才Guest帳號(hào)有問題,并在列表中以紅色三角符號(hào)重點(diǎn)標(biāo)記出來,這時(shí)我們就可以打開用戶管理窗口將其刪除了。

          通過介紹相信已經(jīng)能夠讓系統(tǒng)恢復(fù)的比較安全了,但是要想徹底避免木馬的侵害,還是需要對其基礎(chǔ)知識(shí)加以了解。

        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號(hào)
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
          0
         
         
         
         

        0371-60135900
        7*24小時(shí)客服服務(wù)熱線