木馬應對措施

時間：2022-02-14 07:55:01 | 來源：信息時代

時間：2022-02-14 07:55:01 來源：信息時代

排查電腦

1、集成到程序中　　

由于用戶一般不會運行主動程序，而種木馬者為了吸引用戶運行，他們會將木馬文件和其它應用程序進行捆綁，用戶看到的只是正常的程序。但是你一旦運行之后，不僅該正常的程序運行，而且捆綁在一起的木馬程序也會在后臺偷偷運行。

這種隱藏在其它應用程序之中的木馬危害比較大，而且不容易發(fā)現。如果捆綁到系統(tǒng)文件中，那么則會隨Windows啟動而運行。不過只要我們安裝個人防火墻或者啟用WindowsXPSP2中的Windows防火墻，那么在木馬服務端試圖連接種木馬的客戶端時，則會詢問是否放行，據此即可判斷出自己有無中木馬。

2、隱藏在媒體文件中　　

這種類型嚴格上說，用戶還沒有中木馬。不過它的危害容易被人忽略。因為大家對影音文件的警惕性不高。它的常用手段是在媒體文件中插入一段代碼，代碼中包含了一個網址，當播放到指定時間時即會自動訪問該網址，而該網址所指頁面的內容卻是一些網頁木馬或其它危害?！　?br>
因此，當我們在播放網上下載的影片時，如果發(fā)現突然打開了窗口，那么切不可好奇而應將其立即關閉，然后跳過該時間段影片的播放。

3、隱藏在System.ini

4、隱藏在Win.ini　　

與System.ini相似，Win.ini中也是木馬喜歡加載的一個地方。對此我們可以打開系統(tǒng)目錄下的Win.ini文件，然后查看區(qū)域'load='和'run='，正常情況下它們后面應該是空白，如果你發(fā)現它們后面加了某個程序，那么加載的程序則可能是木馬，需要將它們刪除。

5、隱藏在Autoexec.bat　　

在C盤根目錄下有一個Autoexec.bat文件，這里的內容將會在系統(tǒng)啟動時自動運行。與該文件類似的還有Config.sys。因為它自動運行，因此也成為木馬的一個藏身之地。對此我們同樣需要打開這兩個文件，檢查里面是否加載了來歷不明的程序在運行。

6、任務管理器　　

部分木馬運行后我們可以在任務管理器中找出它的蹤跡。在任務欄上右擊，在彈出的菜單中選擇'任務管理器'，將打開的窗口切換到'進程'標簽，在這里查看有沒有占用較多資源的進程，有沒有不熟悉的進程。若有，可以先試著將它們關閉。另外要特別注意Explorer.exe這類進程，因為很多木馬會使用Exp1orer.exe進程名，即把l換成1，用戶不仔細查看，還以為是系統(tǒng)進程呢。

7、啟動　　

在WindowsXP中，我們可以運行'msconfig'，將打開的窗口切換到'啟動'標簽，在這里可以看到所有啟動加載的項目，此時就可以根據'命令'和'位置'來判斷是啟動加載的是否為木馬。如果判斷為木馬則可以將其啟動取消，然后再作進一步的處理。

8、注冊表　　

我們程序的運行控制大多是由注冊表控制的，因此我們有必要對注冊表進行檢查。運行'regedit'打開注冊表編輯器，然后依次檢查如下區(qū)域：　　

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion、　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion、　　HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion，看看這三個區(qū)域下所有以'run'開頭的鍵值，如果鍵值的內容指向一些隱藏的文件或自己從未安裝過的程序，那么這些則很可能是木馬了。

木馬之所以能夠為非作歹，正是因為其善于隱藏自己。不過我們掌握了其藏身之處，那么則可以將其一一清除。當然，木馬在實際的偽裝隱藏自己中，可能會綜合使用上面一種或幾種方法來偽裝，這就需要我們在檢查清除時，不能只檢查其中的部分地點。

快速查殺

新人快速上手指南之電腦木馬查殺大全常在河邊走，哪有不濕腳？所以有時候上網時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？　　

一、手工方法：　　

1、檢查網絡連接情況　　

由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網絡的情況下，通過檢查網絡連情情況來發(fā)現木馬的存在。具體的步驟是點擊'開始'->'運行'->'cmd'，然后輸入netstat-an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分——proto(連接方式)、localaddress(本地連接地址)、foreignaddress(和本地建立連接的地址)、state(當前端口狀態(tài))。通過這個命令的詳細信息，我們就可以完全監(jiān)控電腦的網絡連接情況?！　?br>
2、查看目前運行的服務　　

服務是很多木馬用來保持自己在系統(tǒng)中永遠能處于運行狀態(tài)的方法之一。我們可以通過點擊'開始'->'運行'->'cmd'，然后輸入'netstart'來查看系統(tǒng)中究竟有什么服務在開啟，如果發(fā)現了不是自己開放的服務，我們可以進入'服務'管理工具中的'服務'，找到相應的服務，停止并禁用它?！　?br>
3、檢查系統(tǒng)啟動項

由于注冊表對于普通用戶來說比較復雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊'開始'->'運行'->'regedit'，然后檢HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以'run'開頭的鍵值；HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以'run'開頭的鍵值；

HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以'run'開頭的鍵值。Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的字段中，是不是有shell=Explorer.exefile.exe這樣的內容，如有這樣的內容，那這里的file.exe就是木馬程序了！　　

4、檢查系統(tǒng)帳戶　　

惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認賬戶，但這個賬戶卻很少用的，然后把這個賬戶的權限提升為管理員權限，這個帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測?！　?br>
點擊'開始'->'運行'->'cmd'，然后在命令行下輸入netuser，查看計算機上有些什么用戶，然后再使用'netuser用戶名'查看這個用戶是屬于什么權限的，一般除了Administrator是administrators組的，其他都不應該屬于administrators組，如果你發(fā)現一個系統(tǒng)內置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用'netuser用戶名/del'來刪掉這個用戶吧！　　

如果檢查出有木馬的存在，可以按以后步驟進行殺木馬的工作?！　?br>
1、運行任務管理器，殺掉木馬進程?！　?br>
2、檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。　　

3、刪除上述可疑鍵在硬盤中的執(zhí)行文件?！　?br>
4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之?！　?br>
5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER/SOFTWARE/Microsoft/InternetExplorer/Main中的幾項(如LocalPage)，如果被修改了，改回來就可以?！　?br>
6、檢查HKEY_CLASSES_ROOT xtfile/shell/open/command和　HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的?！　?br>
二、利用工具：查殺木馬的工具有LockDown、TheClean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付一定的費用，木馬分析專家是免費授權使用。

防治方法

現在我們來說防范木馬的方法之一，就是把windows/system/mshta.exe文件改名，改成什么自己隨便(xp和win2000是在system32下)HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet，Explorer/ActiveXCompatibility/下為ActiveSetupcontrols創(chuàng)建一個基于CLSID的新鍵值{6E449683_C509_11CF_AAFA_00AA00B6015C}，然后在新鍵值下創(chuàng)建一個REG_DWORD類型的鍵Compatibility，并設定鍵值為0x00000400即可。還有windows/command/debug.exe和windowstp.exe都給改個名字(或者刪除)隨著病毒編寫技術的發(fā)展，木馬程序對用戶的威脅越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發(fā)覺。

防治木馬的危害，應該采取以下措施：

安裝殺毒軟件和個人防火墻，并及時升級。

把個人防火墻設置好安全等級，防止未知程序向外傳送數據。

可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。

如果使用IE瀏覽器，應該安裝卡卡安全助手，防止惡意網站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機侵入。

遠程控制的木馬有：冰河，灰鴿子，上興,PCshare，網絡神偷，FLUX等，現在通過線程插入技術的木馬也有很多.現在的木馬程序常常和和DLL文件息息相關，被很多人稱之為'DLL木馬'。DLL木馬的最高境界是線程插入技術，線程插入技術指的是將自己的代碼嵌入正在運行的進程中的技術。理論上說，在Windows中的每個進程都有自己的私有內存空間，別的進程是不允許對這個私有空間進行操作的，但是實際上，我們仍然可以利用種種方法進入并操作進程的私有內存，因此也就擁有了那個遠程進程相當的權限。無論怎樣，都是讓木馬的核心代碼運行于別的進程的內存空間，這樣不僅能很好地隱藏自己，也能更好地保護自己。

DLL不能獨立運行，所以要想讓木馬跑起來，就需要一個EXE文件使用動態(tài)嵌入技術讓DLL搭上其他正常進程的車，讓被嵌入的進程調用這個DLL的DllMain函數，激發(fā)木馬運行，最后啟動木馬的EXE結束運行，木馬啟動完畢。啟動DLL木馬的EXE是個重要角色，它被稱為Loader，Loader可以是多種多樣的，Windows的Rundll32.exe也被一些DLL木馬用來作為Loader，這種木馬一般不帶動態(tài)嵌入技術，它直接注入Rundll32進程運行，即使你殺了Rundll32進程，木馬本體還是存在的。利用這種方法除了可以啟動木馬之外，不少應用程序也采用了這種啟動方式，一個最常見的例子是'3721網絡實名'。

'3721網絡實名'就是通過Rundll32調用'網絡實名'的DLL文件實現的。在一臺安裝了網絡實名的計算機中運行注冊表編輯器，依次展開'HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run'，發(fā)現一個名為'CnsMin'的啟動項，其鍵值為'Rundll32C:/WINDOWS/Downlo~1/CnsMin.dll,Rundll32'，CnsMin.dll是網絡實名的DLL文件，這樣就通過Rundll32命令實現了網絡實名的功能。

木馬的防治方法

1、禁用系統(tǒng)還原（WindowsMe/XP）

如果您運行的是WindowsMe或WindowsXP，建議您暫時關閉'系統(tǒng)還原'。此功能默認情況下是啟用的，一旦計算機中的文件被破壞，Windows可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統(tǒng)還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows禁止包括防病毒程序在內的外部程序修改系統(tǒng)還原。因此，防病毒程序或工具無法刪除SystemRestore文件夾中的威脅。這樣，系統(tǒng)還原就可能將受感染文件還原到計算機上，即使您已經清除了所有其他位置的受感染文件。

此外，病毒掃描可能還會檢測到SystemRestore文件夾中的威脅，即使您已將該威脅刪除。

注意：蠕蟲移除干凈后，請按照上述文章所述恢復系統(tǒng)還原的設置。

2、將計算機重啟到安全模式或者VGA模式

關閉計算機，等待至少30秒鐘后重新啟動到安全模式或者VGA模式，Windows95/98/Me/2000/XP用戶：將計算機重啟到安全模式。所有Windows32-bit作系統(tǒng)，除了WindowsNT，可以被重啟到安全模式。更多信息請參閱文檔如何以安全模式啟動計算機。

WindowsNT4用戶：將計算機重啟到VGA模式。掃描和刪除受感染文件啟動防病毒程序，并確保已將其配置為掃描所有文件。運行完整的系統(tǒng)掃描。如果檢測到任何文件被Download.Trojan感染，請單擊'刪除'。如有必要，清除InternetExplorer歷史和文件。如果該程序是在TemporaryInternetFiles文件夾中的壓縮文件內檢測到的，請執(zhí)行以下步驟：

啟動InternetExplorer。單擊'工具'>'Internet選項'。單擊'常規(guī)'選項卡'Internet臨時文件'部分中，單擊'刪除文件'，然后在出現提示后單擊'確定'。在'歷史'部分，單擊'清除歷史'，然后在出現提示后單擊'是'。

增強防御

通常木馬病毒是通過注冊表來啟動服務的，所以注冊表對于系統(tǒng)防御病毒有著比較重要的意義。按照理論上來說，我們可以通過修改注冊表的屬性來預防病毒和木馬，實際上亦可行，具體的實施方法如下：

Windows2000/XP/2003的注冊表是可以設置權限的，只是我們比較少用到。設置以下注冊表鍵的權限：　　

1、設置注冊表自啟動項為everyone只讀(Run、RunOnce、RunService)，防止木馬、病毒通過自啟動項目啟動　　

2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為everyone只讀，防止木馬、病毒通過文件關聯啟動　　

3、設置注冊表HKLM/SYSTEM/CurrentControlSet/Services為everyone只讀，防止木馬、病毒以'服務'方式啟動　　

注冊表鍵的權限設置可以通過以下方式實現：　　

1、如果在域環(huán)境里，可能通過活動目錄的組策略實現的　　

2、本地計算機的組策略來(命令行用gpedit.msc)　　

3、手工操作可以通過regedt32(Windows2000系統(tǒng)，在菜單'安全'下的'權限')或regedit(Windows2003/XP，在'編輯'菜單下的'權限')