windows主機手動木馬查殺

2021-07-14 13:16:10 字數 3005 閱讀 6818

因為手動查殺木馬、病毒的帖子網上一抓就是一大把,往往都是些很久很老的帖子,win2k、win9x下的那些方法,要不就是xp、win7裡面找不到的方法,這裡是針對個人pc,經過本人測試xp和win7可以按照的方法,下面的方法是總結的,不是某乙個或某幾個的方法,過時的方法已經去掉了,留下了可能能用到的方法,即使是這樣手動查殺也是顯得費時費力,除非精通windos核心,或者天才的把windows裡所有系統檔案都幾個**不離十,還是專業的防毒軟體和查殺工具比較迅速可靠,但是如果能夠耐心的進行一次手動防毒並且成功的話,對自身的幫助不是用防毒軟體用的精通了就能對等價的。

方法:1.檢測本地網路連線,cmd下netstat –ano 這個可以顯示所有的網路連線,還能顯示pid值,在任務管理器中可以對照相應的pid值進行檢視相應的程序

2.使用者檢查,開啟「我的電腦」-「管理」-「計算機使用者和組」檢視是否有多餘的使用者,管理員組都是那些使用者,這些使用者是否安全

3.檢視服務選項,cmd中services.msc開啟服務面版,檢視狀態為「開啟的服務」排除正常服務,尋找是否有可疑的服務。

4.檢查系統中擁有啟動方式的檔案system.ini和win.ini,在「執行」中輸入這2個檔案的名字即可開啟(路徑在system32下),system.ini中檢視有[boot]的字段,檢視下面shell=explorer.exe,如果explorer.exe後面還有exe或cmd、com等執行檔案就要進行檢查這些檔案了,通常explorer.exe後沒有東西的。在[386enh]下的「driver=路徑」以及[mic]、[drivers]、[drivers32]欄位下也可能載入木馬。

另外在win.ini中注意[windows]下的「load=路徑」,「run=路徑」,一般情況下是空白

5.啟動組的檢查,假設系統安裝在c盤,路徑為c:\documents and settings\使用者名稱\「開始」選單\程式\啟動\...。或者在c:\documents and settings\all users\「開始」選單\程式\啟動\...

6.修改檔案關聯的木馬。在登錄檔中檢視檔案關聯,

exe檔案的關聯:hkey_classes_root\exefile\shell\open\command,正常值為"%1" %*

txt檔案的關聯: hkey_classes_root\txtfile\shell\open\command,正常為c:\windows\notepad.exe %1

inf檔案的關聯: hkey_classes_root\inffile\shell\open\command,正常為%systemroot%\system32\notepad.exe %1

ini檔案的關聯: hkey_classes_root\inifile\shell\open\command c:\windows\system32\notepad.exe %1

7.dll樣式木馬,用木馬的dll代替系統的dll,系統需要呼叫正常dll函式的時候,木馬dll就會先被呼叫執行,然後再由木馬dll去呼叫系統正常的dll,這時,系統執行正常,但是木馬也隨之啟動.

8.**exe檔案的木馬,利用開機自啟動的exe程式進行**自身或將自身偽裝成正常exe程式的圖示,如qq,msn,pps等,這樣開機後會先啟動木馬,然後由木馬呼叫正常的程式,在正常的程式啟動的時候木馬也悄然啟用,於dll木馬類似的方式.

9.登錄檔中的大眾啟動項.hklm\software\microsoft\windows\currentversion\run、runonce、runonceex、runservices、runservicesonce等項

還有hkcu\software\microsoft\windows\currentversion\run、runonce、runonceex、runservices、runservicesonce等項

以及 hkey_users\software\microsoft\windows\currentversion\run、runonce、runonceex、runservices、runservicesonce等項

如果找到木馬程序卻不能結束的話,說明木馬程序之間有守護作用,不止乙個程序,在cmd用taskkill –t –pid 「程序pid」來判斷程序之間的守護關係,然後找到寫乙個批處理用taskkill –pid 「程序pid」結束多有的守護程序即可,如果木馬巢狀在某個系統程序中,如services.exe、svchost.exe中的話只有用專業的工具(比如「冰刃」等)進行內部dll模組的解除安裝了。如果是因為木馬執行程式無法刪除的話,進入cmd下,cd切換到木馬所在目錄,用attrib –s –h –r 「木馬執行程式」 命令消除木馬的系統屬性,然後再用delete 「木馬執行程式」命令來刪除木馬程式。

後記:所謂未雨綢繆說的就是提前做好準備,以便應對突發狀況,在不用任何外界工具的情況下,可以再剛裝好系統的時候備份系統目錄下的所有檔案的名字,cmd進入system32目錄下執行

dir *.exe>c:\exeback.txt

dir *.dll>c:dllback.txt

這樣記錄了系統目錄下所有的exe程式和dll檔案,等需要查殺的時候,可以再用dir命令將現在的exe檔案和dll檔案的名稱全比匯出到txt文字,然後在cmd下用

fc exeback.txt exeback1.txt>bijiaoexe.txt比較exe檔案

fc dllback.txt dllback1.txt>bijiaodll.txt 比較dll檔案

就可以發現多出來的exe檔案和dll檔案了

當然,用電腦就免不了要裝一些軟體,安裝軟體自然會使system32目錄中的檔案發生較大的變化,多出不少檔案,就算是用了fc進行比較也還是不方便,這時就可以利用對照已載入的正常軟體的模組的方法來縮小殺找範圍。執行中輸入msinfo32.exe依次展開「軟體環境」-「載入的模組」,然後選擇「檔案」-匯出,之後再與前面比較的那份txt文件進行比較,排除正常的模組檔案。

另外,檢視程序中的模組的命令式cmd下tasklist /svc

RedHat Linux 下離線手動安裝gcc

1.聯網條件下正常安裝gcc g 直接在 命令視窗中以root身份輸入 root localhost awp 01 yum install gcc root localhost awp 01 yum install g 2.離線條件下手動安裝gcc g ppl 0.10.2 11.el6.x86 6...

OculusQuest系統韌體離線手動更新公升級

一 開啟開發者 1.登記開發者 2.安裝驅動 3.啟用開發者 4.開啟usb除錯 二 手動更新韌體adb工具 2.開啟cmd連線裝置 3.離線公升級系統韌體 追記 因oculus頻繁進行小版本更新,官方也並不主動提供完整韌體包。一 開啟開發者 在社群公告網盤,搜尋adb也可找到檢視社群交 流群 二 ...

centos7 虛擬機器手動配置靜態IP

一 進入ip配置檔案 1.一般是在 etc sysconfig network scripts 這個目錄下面的ifcfo 檔案,不同的機子 網絡卡和系統會導致名字稍微有一點不一樣,大致是這樣的 二 編輯配置檔案 1.將配置檔案配置如下格式即可 type ethernet bootproto stat...