① 怎樣快速找到電腦里的病毒文件
首先查看自己的電腦中是否有木馬病毒
1、集成到程序中
其實木馬病毒也是一個伺服器-客戶端程序,它為了不讓用戶能輕易地把它刪除,就常常集成到程序里,一旦用戶激活木馬病毒程序,那麼木馬病毒文件和某一應用程序捆綁在一起,然後上傳到服務端覆蓋原文件,這樣即使木馬病毒被刪除了,只要運行捆綁了木馬病毒的應用程序,木馬病毒又會被安裝上去了。綁定到某一應用程序中,如綁定到系統文件,那麼每一次Windows啟動均會啟動木馬病毒。
2、隱藏在配置文件中
木馬病毒實在是太狡猾,知道菜鳥們平時使用的是圖形化界面的操作系統,對於那些已經不太重要的配置文件大多數是不聞不問了,這正好給木馬病毒提供了一個藏身之處。而且利用配置文件的特殊作用,木馬病毒很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家。不過,現在這種方式不是很隱蔽,容易被發現,所以在Autoexec.bat和Config.sys中載入木馬病毒程序的並不多見,但也不能因此而掉以輕心哦。
3、潛伏在Win.ini中
木馬病毒要想達到控制或者監視計算機的目的,必須要運行,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬病毒。當然,木馬病毒也早有心理准備,知道人類是高智商的動物,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動運行的地方,於是潛伏在Win.ini中是木馬病毒感覺比較愜意的地方。大家不妨打開Win.ini來看看,在它的[windows]欄位中有啟動命令「load=」和「run=」,在一般情況下「=」後面是空白的,如果有後跟程序,比方說是這個樣子:run=c:\\windows\\file.exeload=c:\\windows\\file.exe
這時你就要小心了,這個file.exe很可能是木馬病毒哦。
4、偽裝在普通文件中
這個方法出現的比較晚,不過現在很流行,對於不熟練的windows操作者,很容易上當。具體方法是把可執行文件偽裝成圖片或文本----在程序中把圖標改成Windows的默認圖片圖標,再把文件名改為*.jpg.exe,由於默認設置是\"不顯示已知的文件後綴名\",文件將會顯示為*.jpg,不注意的人一點這個圖標就中木馬病毒了。
5、內置到注冊表中
上面的方法讓木馬病毒著實舒服了一陣,既沒有人能找到它,又能自動運行,真是快哉!然而好景不長,人類很快就把它的馬腳揪了出來,並對它進行了嚴厲的懲罰!但是它還心有不甘,總結了失敗教訓後,認為上面的藏身之處很容易找,現在必須躲在不容易被人發現的地方,於是它想到了注冊表!的確注冊表由於比較復雜,木馬病毒常常喜歡藏在這里快活,趕快檢查一下,有什麼程序在其下,睜大眼睛仔細看了,別放過木馬病毒哦:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion下所有以「run」開頭的鍵值;HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下所有以「run」開頭的鍵值;HKEY-USERS\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion下所有以「run」開頭的鍵值。
6、在System.ini中藏身
木馬病毒真是無處不在呀!什麼地方有空子,它就往哪裡鑽!這不,Windows安裝目錄下的System.ini也是木馬病毒喜歡隱蔽的地方。還是小心點,打開這個文件看看,它與正常文件有什麼不同,在該文件的[boot]欄位中,是不是有這樣的內容,那就是shell=Explorer.exefile.exe,如果確實有這樣的內容,那就不幸了,因為這里的file.exe就是木馬病毒服務端程序!另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的「driver=路徑\\程序名」,這里也有可能被木馬病毒所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位,這些段也是起到載入驅動程序的作用,但也是增添木馬病毒程序的好場所,現在該知道也要注意這里嘍。
7、隱形於啟動組中
有時木馬病毒並不在乎自己的行蹤,它更注意的是能否自動載入到系統中,因為一旦木馬病毒載入到系統中,任用什麼方法都無法將它趕跑(哎,這木馬病毒臉皮也真是太厚),因此按照這個邏輯,啟動組也是木馬病毒可以藏身的好地方,因為這里的確是自動載入運行的好場所。動組對應的文件夾為:C:\\windows\\startmenu\\programs\\startup,在注冊表中的位置:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\ShellFoldersStartup=\"C:\\windows\\startmenu\\programs\\startup\"。要注意經常檢查啟動組哦!
8、隱蔽在Winstart.bat中
按照上面的邏輯理論,凡是利於木馬病毒能自動載入的地方,木馬病毒都喜歡呆。這不,Winstart.bat也是一個能自動被Windows載入運行的文件,它多數情況下為應用程序及Windows自動生成,在執行了Win.com並載入了多數驅動程序之後開始執行(這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知)。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬病毒完全可以像在Autoexec.bat中那樣被載入運行,危險由此而來。
9、捆綁在啟動文件中
即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將製作好的帶有木馬病毒啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬病毒的目的了。
10、設置在超級連接中
木馬病毒的主人在網頁上放置惡意代碼,引誘用戶點擊,用戶點擊的結果不言而喻:開門揖盜!奉勸不要隨便點擊網頁上的鏈接,除非了解它,信任它,為它死了也願意等等。
下面再看木馬病毒的清除方法
1、檢查注冊表中RUN、RUNSERVEICE等幾項,先備份,記下可以啟動項的地址,再將可疑的刪除。
2、刪除上述可疑鍵在硬碟中的執行文件。
3、一般這種文件都在WINNT,SYSTEM,SYSTEM32這樣的文件夾下,他們一般不會單獨存在,很可能是有某個母文件復制過來的,檢查C、D、E等盤下有沒有可疑的.exe,.com或.bat文件,有則刪除之。
4、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\InternetExplorer\\Main中的幾項(如LocalPage),如果被修改了,改回來就可以。
5、檢查HKEY_CLASSES_ROOT\\inifile\\shell\\open\\command和HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt,.ini等的默認打開程序讓病毒「長生不老,永殺不盡」的。
② 電腦中木馬的簡單識別方法和對策。
如何識別木馬
木馬程序一般分為客戶端程序和服務端程序兩部分,客戶端程序用於遠程式控制制計算機。而服務端程序,則隱藏到遠程計算機中,接收並執行客戶端程序發出的命令。所以當黑客通過網路控制一台遠程計算機時,第一步就需要將服務端程序植入到遠程計算機。為了能夠讓用戶執行木馬程序,黑客常常通過各種方式對它進行偽裝,這種偽裝就是我們說的木馬畫皮。自木馬誕生以來,黑客們為了木馬的隱蔽性,各種偽裝伎倆可謂層出不窮,讓人防不勝防。那麼就讓我們一起來練就一雙火眼金睛,拆穿木馬畫皮伎倆,將這些不速之客拒之門外。
畫皮第一計:圖標偽裝
偽裝等級:★★★★
在Windows系統中,每種文件類型使用不同的圖標進行表示,用戶通過一種圖標就可以輕易地判斷出這是那種文件類型。黑客為了迷惑用戶,將木馬服務端程序的圖標換成一些常見的文件類型的圖標,這樣當用戶運行以後,噩夢也就開始了。
實例:黑洞2001服務端的安裝程序使用了文件夾的圖標,當你隱藏了已知文件類型的擴展名時,這個文件看上去就是一個文件夾,當你好奇地點擊它,打算進去看看有什麼文件的時候,潘多拉的盒子就打開了。
識別方法
平時我們在運行一個文件的時候,常常習慣於利用滑鼠雙擊運行它,這樣Windows系統首先會判斷文件類型打開其關聯程序,然後再打開這個文件。這樣運行方法就很容易激活修改了圖標的木馬程序。其實,我們只需要換一種方式,就可以避免。比如我們看到一個文本文件的文件後,並不要雙擊打開它,而是首先打開記事本程序,然後通過「文件」菜單中的「打開」命令來打開這個文件,如果顯示出的是亂碼,那麼這個「文本文件」就肯定有問題。
安全專家點評:更換圖標是最基本的木馬服務端的偽裝方式,但是只使用這一種方式是遠遠不夠的。黑客會將它和文件更名、文件捆綁等一系列的偽裝方式進行組合,這樣才能騙得用戶運行。所以不要隨意執行別人發來的文件,那怕他是你的朋友也要謹慎一些。
畫皮第二計:改名換姓
偽裝等級:★★★
圖標修改往往和文件改名是一起進行的,黑客往往將文件的名稱取得非常的誘人,比如「漂亮的妹妹」之類,騙用戶去運行它。當木馬服務端程序運行以後,服務端程序也會將自己的進程設置為和正常的系統進程相似的名稱,從而使用戶不容易產生懷疑,被其麻痹。
實例:如圖2所示,這是筆者製作的木馬服務端安裝程序,它在電腦上顯示為「漂亮的妹妹.bmp」。如果你把它當作一個圖像文件來打開的話,筆者的木馬也就在你的電腦中安營紮寨了。
識別方法
首先要明確,不論木馬如何偽裝自己的圖標和文件名,它的後綴部分必須是一個可執行的擴展名,比如EXE、COM、BAT等,否則木馬不會運行自己的代碼, 在Windows系統的默認設置下會隱藏已知文件的擴展名,如果木馬把自己的文件名改成了「XXX.bmp.exe」這個樣子,擴展名「.exe」隱藏後,木馬的文件名就會變成「XXX.bmp」,再給這個文件配一個圖像文件的圖標,這個文件就會變成「一隻披著羊皮的狼」。在「文件夾選項」對話框中選取「隱藏已知文件類型的擴展名」選項,具體的操作為:打開資源管理器,在菜單欄選擇「工具→文件夾選擇」打開「文件夾選擇」對話框,去掉「隱藏已知文件類型的擴展名」復選框中的小鉤即可撕掉這部分木馬的畫皮。
安全專家點評:這種方式在利用P2P程序進行文件傳輸的時候常常用到,而且通常是和圖標偽裝一起使用,讓用戶防不勝防。所以無論從那裡得到的文件,在使用以前都通過殺毒軟體對它進行一番查殺最好。
畫皮第三計:文件捆綁
偽裝等級:★★★★★
文件捆綁就是通過使用文件捆綁器將木馬服務端和正常的文件捆綁在一起,達到欺騙對方從而運行捆綁的木馬程序。捆綁後的文件很有迷惑性,而且加上木馬一般在後台運行,用戶點擊後不會出現什麼異狀,往往會在不知不覺中中招。
實例:筆者將木馬程序捆綁在電子書後得到的文件,和文件捆綁後得到的文件並沒有損害,用戶點擊後仍能夠看到電子書中的內容。這種方法有很大的迷惑性。
識別方法
使用木馬捆綁剋星、FBFD等程序檢查可疑的可執行文件,當文件進行了捆綁,程序就會出現類似「文件可能經過捆綁,請小心使用!」這樣的提示。木馬捆綁剋星除了能檢測出可執行文件中的其他程序,而且還能把捆綁在其中的程序分離出來。
安全專家點評:隨著人們網路安全意識的提高,以前很多的黑客攻擊手段已經得到了有效的遏制,可是利用文件捆綁來進行木馬服務端程序的傳播,卻一直受到黑客的鍾愛。所以用戶在運行可執行文件時,一定要提高警惕。
畫皮第四計:出錯顯示
偽裝等級:★★★
絕大多數木馬服務端安裝時不會出現任何圖形界面,因此,如果一個程序雙擊後沒有任何反應,有經驗的網民就會懷疑它是木馬。為了消除這部分人心中的疑慮,黑客會讓木馬在被運行時彈出一個錯誤提示對話框。
實例:如今的木馬程序,很多都有「安裝完畢後顯示提示」的選項,例如木馬HDSPY,用戶在配置服務端程序後,在「提示內容」輸入框中輸入需要的提示內容,例如「文件已損壞,無法打開」等。當用戶運行服務端程序後,就會彈出我們設置的內容。
識別方法
如果該文件是木馬程序,用戶在看到了出錯信息的時候往往已經中招。所以用戶看到錯誤信息的時候要有所警覺,這個時候就要通過掃描系統埠判斷自己是否中了木馬。比如可以採用X-Scan對自己的系統進行掃描。如果發現可疑埠就要進行相應的查殺。
安全專家點評:這種方法雖然在早期可以騙得用戶,但隨著人們安全意識的提高,往往給人一種「畫蛇添足」的感覺。
畫皮第五計:自我銷毀
偽裝等級:★★★
大多數木馬本身只有一個文件,它的安裝程序其實就是木馬服務端程序,當你雙擊了一個木馬的安裝程序後,它會把自己拷貝到系統目錄或其它目錄,因此,一些有經驗的網民如果懷疑一個程序是木馬,它會根據安裝程序的大小在硬碟上搜索木馬文件。為了對付這部分網民,一些木馬設計了自我銷毀的功能,當它把自己拷貝到系統目錄或其它目錄後,它會把自己刪除,讓你無據可查。
識別方法
對於這種方法就需要對系統的注冊表進行即時監測和使用木馬利用殺毒軟體對系統以及注冊表進行及時監控。一般木馬會在系統注冊表中留下痕跡。這個時候我們就可以根據這些蛛絲馬跡揪出這些木馬。
安全專家點評:利用這種方式進行木馬種植的,主要是利用了網頁木馬和遠程溢出等方式。因為黑客利用網頁木馬或遠程溢出,都是在用戶不知情的情況下,將木馬植入遠程系統的。既然遠程用戶不知情,利用木馬的自我銷毀功能就可以做到「來無影去無蹤」。
畫皮第六計:網頁「嫁衣」
偽裝等級:★★★★
網頁木馬是黑客成功利用了系統以及一些程序的漏洞,誘騙用戶瀏覽某個特殊的網頁,在用戶瀏覽的時候,網頁木馬就會成功地利用系統的漏洞,從而將設置的木馬服務端程序「悄悄地」安裝到遠程系統中。
實例:製作網頁木馬有很多現成的工具,動鯊網頁木馬生成器就是很優秀的一款,該木馬生成器利用了微軟的IE Help ActiveX控制項漏洞繞過本地安全域。
識別方法
如果你在訪問了一個不熟悉的網頁後,計算機上網的速度突然下降,甚至出現假死的情況,那麼就可能是中了網頁木馬了。大家可以在訪問不熟悉的網頁前用「view-source」這個IE命令查看網頁的源代碼。如果發現源代碼中有<iframe src="ww.XXX.htm" name="zhu" width="0" height="0" frameborder="0">之類的就不要訪問了。
安全專家點評:利用網頁木馬傳播木馬服務端程序,是當前非常流行的一種方法。受害者在不經意之間就被種植了木馬程序。對不熟悉的網頁最好不要去訪問,如果訪問後系統出現問題要斷網查殺木馬。
畫皮第七計:郵件附件
偽裝等級:★★
通過電子郵件的附件,進行簡單的文件傳輸,本來是為了方便用戶。可黑客正是看中了這一點,通過偽造一些著名的企業或用戶好友的郵件來欺騙用戶,通過郵件附件來傳播木馬服務端程序。
實例:黑客在郵件附件中加入木馬後,一般會使用比較有迷惑性的語句來騙取用戶的信任。比如 「這是Windows最新的安全補丁程序,請運行後重新啟動系統。」
識別方法
不要立即運行郵件附件,而是將它「另存為」到一個文件夾,然後對文件夾進行查殺檢測,發現問題立即刪除。
安全專家點評:利用電子郵件的附件,是最常見的木馬和病毒的傳播方法。一般沒有經驗的用戶會上當中招。但是因為很多郵件系統自帶殺毒系統,所以現在已經不是很流行了。」
③ 如何查看QQ里是否被圖片帶了木馬
可以通過騰訊電腦管家檢測出來,一旦對方給你發送文件或者圖片,管家都能進行檢測,確認該文件是否攜帶有病毒和木馬。
而且用騰訊電腦管家還能對qq等級加速,這也算是一個特殊福利吧
④ 照片上到電腦,說是有木馬, 請問怎麼辦
卡上有病毒,很下正常。簡單處理的方法就是不用雙擊打開,直接使用資源管理器,把照片全部拷出後再把卡插回相機,用相機把卡格式化。
⑤ 如何知道電腦中有木馬及手動刪除木馬的方法
常見病毒處理方法
多個病毒處理不掉或病毒在臨時文件或系統還原中時:
您可以按照下面操作試一試:首先滑鼠右鍵點擊我的電腦-屬性-系統還原-把在所有驅動器上關閉系統還原前面的格子勾上。然後進入到安全模式(重啟過程中按F8鍵)
把C:\WINDOWS\Temp
C:\Documents
and
Settings\用戶名\Local
Settings\Temp
C:\Documents
and
Settings\用戶名\Local
Settings\Temporary
Internet
Files
3個文件夾里的文件全部清空。最後再殺毒(安全模式下)
對於agent.bbb
或onlinegames
系列病毒,*.dll(路徑在C:\WINDOWS\system32下)或*.sys(路徑在C:\WINDOWS\system32\drivers下)
開機進入安全模式(開機按F8鍵)下執行下面的操作:
1.右鍵單擊「我的電腦」打開屬性,然後選擇「硬體」,打開「設備管理器」,點擊「查看」——「顯示隱藏設備」,之後打開「非即插即用驅動程序」,
在裡面查看是否有跟該病毒文件名相同的程序(xxx),如果有右鍵選擇「停用」(提示重啟計算機時重啟再次進入安全模式)。
2.然後建議您使用附件中的「冰刃」工具,在「進程」中找到「Explorer.exe」,並右鍵單擊打開其模塊信息,在其中查看是否有該病毒文件,
例如xxx.dll(根據您機器上的病毒為准),如果有將其刪除。
3.點擊「開始」--〉「運行」輸入"regedit"打開注冊表編輯器,打開「編輯」——「查找」,查找該病毒文件,將找到的鍵值刪除(如果刪除不掉的話,
使用"冰刃"的"注冊表"功能按照相應的路徑刪除該鍵值)。
4.最後再使用"冰刃"的「文件」功能,按照該病毒文件的具體路徑將其找到後刪除即可。
一般病毒.dll文件時需要使用unlocker處理的
需要藉助unlocker軟體來刪除,使用該軟體將c:\WINDOWS\System32\xxx.dll解鎖,然後刪除xxx.dll文件就可以了,unlocker軟體以及說明文檔參見附件。
一般病毒.sys(路徑在C:\WINDOWS\system32\drivers下)
開機進入安全模式(開機按F8鍵)下執行下面的操作:
1.右鍵單擊「我的電腦」打開屬性,然後選擇「硬體」,打開「設備管理器」,點擊「查看」——「顯示隱藏設備」,之後打開「非即插即用驅動程序」,
在裡面查看是否有跟該病毒文件名相同的程序(xxx.sys),如果有右鍵選擇「停用」(提示重啟計算機時重啟再次進入安全模式)。
2..最後再按照該病毒文件的具體路徑將其找到後刪除即可。
刪除病毒後想要恢復感染病毒文件,需要上報病毒。例如:viking病毒只有刪除沒有清除選項
首先關閉卡巴斯基保護(實時掃描),然後打開卡巴斯基主界面-雙擊「保護」-「備份」「備份」裡面會有卡巴斯基刪除掉病毒的記錄,您選取相應病毒後,點滑鼠右鍵選擇「恢復」確定即可。然後把還原的病毒壓縮後,[email=發送到%3Ca%20href=][email protected][/email]"
target="_blank">發送到[email protected]
說明需要清除方法。
遇到可疑文件時
[email=發送到%3Ca%20href=][email protected][/email]"
target="_blank">發送到[email protected]
需要描述清楚。
雙擊盤符打不開:
1
如果各分區根目錄下帶autorun.inf一類的隱藏文件,將它刪除。
2
點擊開始--運行輸入regedit
,然後找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\,然後將盤符目錄下的shell文件夾刪除即可。(刪除之前要導出備份,點擊右鍵導出即可)。
⑥ 怎麼看電腦中木馬
最簡單的判斷方法是查看網路連接,如果有未知的網路連接,就有可能電腦變成肉雞了,反之則沒有。查看方法如下:
1、通過安全軟體關閉全部要聯網的程序,然後點擊「開始→運行」,輸入「netstat –an」
2、如果發現有外網IP地址,查詢該IP地址對應的信息
3、如果該IP地址來源說不清楚,就表明電腦極有可能已經被木馬控制了。
3、此外,如果電腦已經變成肉雞了,上網的時候時不時的會出現卡一下,或者滑鼠時不時的不聽使喚等故障。
關閉全部要聯網的程序,還出現這么多外網IP地址,極有可能電腦被黑客控制了
⑦ 怎麼樣能查出電腦上的木馬
中了病毒、木馬不要著急,我來幫你:
這里的方法是總結的前輩們的經驗,在此感謝他們!!!!!
其實中毒後的處理方法就是那麼幾種,但是藉助殺毒軟體用手工方法處理是最為有效的!!!!
木馬的查殺,可以採用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟體(自動),現在很多殺毒軟體能刪除網路最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們在查殺木馬方面很有一套!
由於殺毒軟體的升級多數情況下慢於木馬的出現,因此學會手工查殺非常必要。方法是:
1.)檢查注冊表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以「Run」開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
2.)檢查啟動組
木馬們如果隱藏在啟動組雖然不是十分隱蔽,但這里的確是自動載入運行的好場所,因此還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為:C:\windows\start menu\programs\startup,在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查這兩個地方哦!
3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方
比方說,Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程序的,如果有了那就要小心了,看看是什麼;在System.ini的[boot]小節的Shell=Explorer.exe後面也是載入木馬的好場所,因此也要注意這里了。當你看到變成這樣:Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。
4.)對於下面所列文件也要勤加檢查,木馬們也很可能隱藏在那裡
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件啟動,那麼運行這個程序,看木馬是否被裝入內存,埠是否打開。如果是的話,則說明要麼是該文件啟動木馬程序,要麼是該文件捆綁了木馬程序,只好再找一個這樣的程序,重新安裝一下了。
6.)萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動
所以,平時多注意一下你的埠,查看一下正在運行的程序,用此來監測大部分木馬應該沒問題的。
另外,你也可以試試用下面的辦法來解決:
從網上下一個叫「冰刃」的軟體。這是一個綠色免安裝的小軟體,可以放心使用。
這個是下載地址。
http://www.ttian.net/website/2005/0829/391.html
這個是它的詳細用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般來說,不管是木馬、病毒進入我們的機器後都是「三隱」的即隱進程、隱服務、隱文件的,利害的能將殺毒軟體有實時監控給殺死!但在這個冰刃里,它是無法遁身的。開啟的非法進程會以紅色顯示出來。
至於殺毒軟體,應該說各人有各人的喜好,下面給出的鏈接上你看看比較一下:
六款主流殺毒軟體橫向評測
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消費者該如何選擇?六款殺毒軟體橫向評測(這個要詳細些)
http://tech.tom.com/1380/1383/2005513-197230.html
⑧ 如何才能知道自己的電腦上有沒有中了木馬
具體如下:
一、CPU的利用率在電腦沒有處理任何任務的時候通常都是百分之零到百分之一的如果系統沒有運行任何程序和任務而且利用率超過10%那一定是有古怪的,這個時候就千萬要注意了。
二、進程,電腦在沒有任何處理任務和程序的時候一般進程都是很熟悉的,如果進程中有很多莫名其妙的點exe的進程那麼這個時候可要注意了。一般系統進程都是很標準的英文或者英文所限,例如alg.exe,如果實在無法判斷某一個進程是否為病毒木馬程序,可以把這個進程的名字記下來,網路一下馬上就會有答案了!
三、看網路流量及埠號
看網路流量這里以360防火牆為例吧
⑨ 如何查找電腦上被按裝的隱形木馬
如何識別木馬
識別木馬有新招,希望這篇文章對你有所幫助。
一、經常看到有玩家說,在輸入自己的帳號的時候通故意輸錯帳號和碼。其實這種木馬是最早期的木馬程序。現在已經很少有編木馬程序的程序員,還按照這種監聽鍵盤記錄的思路去編寫木馬程序。現在的木馬程序已經發展到通過內存提取數據來獲得用戶的帳號和密碼。大家都知道,不管是傳奇還是任何一款程序。它都是有他所特有的數據的(包括玩家的帳號、密碼,等級裝備資料等等)。這些數據都是會通過本機與游戲伺服器取得了驗證以後,玩家的角色資料才會出現在玩家的面前。而這些數據在運行的時候都是存放在計算機的內存裡面的。木馬作者只需要在自己的程序裡面加入條件語句就可以取得玩家真實的游戲帳號、密碼、角色等級~~~~~,以我自己的計算機知識,這種語句的大概意思應該是:當游戲進程進入到讓玩家選擇角色的時候再從內存中提取最後一次的帳號、密碼、角色等級等資料。也就是說,其實玩家之前所做的故意輸錯帳號或密碼完全是浪費自己的表情、浪費自己的時間。
下邊先來說一下木馬是如何通過網頁進入你的電腦的,相信大家都知道,現在有很多圖片木馬,EML和EXE木馬,其中的圖片木馬其實很簡單,就是把木馬exe文件的文件頭換成bmp文件的文件頭,然後欺騙IE瀏覽器自動打開該文件,然後利用網頁里的一段JAVASCRIPT小程序調用DEBUG把臨時文件里的bmp文件還原成木馬exe文件並拷貝到啟動項里,接下來的事情很簡單,你下次啟動電腦的時候就是你噩夢的開始了,EML木馬更是傳播方便,把木馬文件偽裝成audio/x-wav聲音文件,這樣你接收到這封郵件的時候只要瀏覽一下,不需要你點任何連接,windows就會為你代勞自動播放這個他認為是wav的音樂文件,木馬就這樣輕松的進入你的電腦,這種木馬還可以frame到網頁里,只要打開網頁,木馬就會自動運行,另外還有一種方法,就是把木馬exe編譯到.JS文件里,然後在網頁里調用,同樣也可以無聲無息的入侵你的電腦,這只是些簡單的辦法,還有遠程式控制制和共享等等漏洞可以鑽,知道這些,相信你已經對網頁木馬已經有了大概了解,
簡單防治的方法:
開始-設置-控制面版-添加刪除程序-windows安裝程序-把附件里的windows scripting host去掉,然後打開Internet Explorer瀏覽器,點工具-Internet選項-安全-自定義級別,把裡面的腳本的3個選項全部禁用,然後把「在中載入程序和文件」禁用,當然這只是簡單的防治方法,不過可能影響一些網頁的動態java效果,不過為了安全就犧牲一點啦,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可以加裝防火牆,再到微軟的網站打些補丁,反正我所知道的網吧用的都是原始安裝的windows,很不安全哦,還有盡量少在一些小網站下載一些程序,尤其是一些號稱黑客工具的軟體,小心盜不著別人自己先被盜了,當然,如果你執意要用的話,號被盜了也應該付出這個代價吧。還有,不要以為裝了還原精靈就很安全,據我所知,一般網吧的還原精靈都只還原c:盤即系統區,所以只要木馬直接感染你安裝在別的盤里的游戲執行文件,你照樣逃不掉的。
下邊介紹一下木馬和如何簡單的檢查一下是否中了木馬。
木馬程序一般分為伺服器端程序和客戶端程序兩個部分,當伺服器端程序安裝在某台連接到網路的電腦後,就能使用客戶端程序對其進行登陸。這和PcAnywhere以及NetMeeting的遠程式控制制功能相似。但不同的是,木馬是非法取得對對方電腦的控制權,一旦登陸成功,就可以取得管理員級的權利,對方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的「偽黑客」很少使用,因為一不小心就會引火上身,被對方反查過來就會偷雞不成蝕把米了,一般他們都會採用只有伺服器端的小木馬,這類木馬通常會把截取的密碼發到一個免費郵箱里,不需要人為操作,有空去收趟郵件就可以了,這種木馬遍布互連網的各個角落,的確防不勝防,由於木馬程序眾多,加之不斷有新版本、新品種產生,使得軟體無法完全應付,所以手動檢查清除是十分必要的。
木馬會想盡一切辦法隱藏自己,別指望在任務管理器里看到他們的蹤影,有些木馬更是會和一些系統進程寄生在一起的,如著名的廣外幽靈就是寄生在MsgSrv32.exe里;當然它也會悄無聲息地啟動,木馬會在每次用戶啟動windows時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法木馬都會用上,如啟動組、win.ini、system.ini、注冊表等等都是木馬藏身之地;下邊簡單說一下如何檢查,點開始-運行,輸入:
msconfig回車 就會打開系統配置實用程序,先點system.ini,看看shell=文件名,正確的文件名應該是「explorer.exe」,如果explorer.exe後邊還跟有別的程序的話,就要好好檢查這個程序了,然後點win.ini,「run=」和「load=」是可能載入「木馬」程序的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了,當然你也得看清楚,因為如「AOL木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件;最後點「啟動」,檢查裡面的啟動項是不是有不熟悉的,如果你實在不清楚的話可以把他們全部取消,然後重新運行msconfig,看一下有沒有取消的啟動項重新被選中的,一般木馬都會存在於內存中,(就是線程插入,然後隱藏進程的木馬,DLL無進程木馬就不會駐留在內存裡面,我們在下一次中會講到)所以發現你取消他的啟動項就會自動添加上的,然後你就可以逐步添上你的輸入法,音量控制,防火牆等軟體的啟動項了;還有一類木馬,他是關聯注冊表的文件打開方式的,一般木馬經常關聯.exe,點開始-運行,輸入:regedit回車,打開注冊表編輯器,點第一條,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command裡面的默認鍵值是不是"%1" %* ,如果是一個程序路徑的話就一定是中木馬了,另外配合兩種以上的殺毒軟體也是必要的,另外在windows下木馬一般很難清除,最後重新啟動到dos環境下再進行查殺。
防木馬程序、防火牆、及殺毒軟體介紹:
1、木馬剋星: 專業的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌~!
2、綠鷹PC萬能精靈2.91 :專業的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌~!
3、Symantec AntiVirus:這個我就不用再介紹了吧,全球最大的殺毒軟體!強力推薦8.1企業版。
4、天網防火牆2.51個人版:天網防火牆個人版在網路效率與系統安全上完全採用天網防火牆的設計思想,採用最底層的網路驅動隔絕,其作用層在網路硬體與Windows網路驅動之間,在黑客攻擊數據接觸Windows網路驅動之前將所有的攻擊數據攔截,保護脆弱的Windows網路驅動不會崩潰 。
⑩ 圖片木馬原理
關於jpg圖片病毒這個詞估計大家都不陌生了,近來似乎也弄的有點人心惶惶。
但對於這個令人聞之色變的圖片病毒到底是怎麼運作,怎麼入侵電腦,恐怕知道的人並不多。
所以,以訛傳訛,一個小小利用windows漏洞的病毒,竟然變成了大家心目中的夢魘。
先說一下現在比較流行的2種圖片木馬病毒。
第一種,老方法,就是把木馬偽裝成一個病毒,需要通過用戶點擊圖片進而觸發木馬的下載,運作。
第二種,就是大家現在都擔心的,無聲無息就能入侵你電腦的圖片病毒,不需要點擊。這種病毒主要是利用了Windows的漏洞,把木馬載入在圖片中,只要沒有打上相應補丁的電腦游覽到這些圖片的時候就會自動下載該圖片信息中所包含的木馬信息,進而達到木馬種植功能
那麼解決和防範的方法是什麼呢?
關於第一種,因為需要通過點擊後自動下載,所以盡量不要點擊有懷疑,來路不明的圖片。(特別是包含了鎖鏈的圖片)
與此同時,更新你電腦上的所有防毒軟體以及防火牆。
一般這些點擊下載的圖片病毒在下載到電腦中的時候,防毒軟體都會有攔截,提示。
關於第二種,其實解決方法更簡單。
就是把windows的漏洞堵上!
當然,因為這些漏洞不止Windows有,是很多軟體都有,所以你需要把那些常會看到圖片的軟體的相關漏洞都打上補丁。例如QQ,
MSN之類的軟體也早在該jpg圖片病毒公布之時發布了補丁。
大家可以去下載後打上。