計算機(jī)病毒與防治4-3木馬防范技術(shù)課件

計算機(jī)病毒與防治計算機(jī)病毒與防治課程小組計算機(jī)病毒與防治計算機(jī)病毒與防治課程小組4-3木馬防范技術(shù)木馬防治——堵木馬防治——查木馬防治——殺4-3木馬防范技術(shù)計算機(jī)病毒與防治課程小組木馬防治——防4-3木馬防范技術(shù)木馬防治——堵木馬防治——查木馬防治——殺木馬防治——查計算機(jī)病毒與防治課程小組1．檢查系統(tǒng)進(jìn)程大部分木馬運行后會顯示在進(jìn)程管理器中，所以對系統(tǒng)進(jìn)程列表進(jìn)行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異?，F(xiàn)象。但是有些進(jìn)程是系統(tǒng)運行的進(jìn)程，這些進(jìn)程不能結(jié)束。木馬防治——查計算機(jī)病毒與防治課程小組1．檢查系統(tǒng)進(jìn)程木馬防治——查計算機(jī)病毒與防治課程小組2．檢查注冊表、ini文件和服務(wù)木馬為了能夠在開機(jī)后自動運行，往往在注冊表如下選項中添加注冊表項：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce。木馬防治——查計算機(jī)病毒與防治課程小組2．檢查注冊表、in木馬防治——查計算機(jī)病毒與防治課程小組圖3-2注冊表信息木馬防治——查計算機(jī)病毒與防治課程小組圖3-2注冊表信木馬防治——查計算機(jī)病毒與防治課程小組遠(yuǎn)程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入Netstatna，可以清楚地看到系統(tǒng)打開的端口和連接。也可從下載Fport軟件，運行該軟件后，可以知道打開端口的進(jìn)程名，進(jìn)程號和程序的路徑，這樣為查找“木馬”提供了方便之門。木馬防治——查計算機(jī)病毒與防治課程小組遠(yuǎn)程控制型木馬以及輸木馬防治——查計算機(jī)病毒與防治課程小組圖3-3查看端口木馬防治——查計算機(jī)病毒與防治課程小組圖3-3查看端口木馬防治——堵計算機(jī)病毒與防治課程小組查看目前運行的服務(wù)服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠(yuǎn)能處于運行狀態(tài)的方法之一。我們可以通過點擊“開始”→“運行”→“cmd”，然后輸入“netstart”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進(jìn)入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。木馬防治——堵計算機(jī)病毒與防治課程小組查看目前運行的服務(wù)木馬防治——堵計算機(jī)病毒與防治課程小組由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊“開始”-“運行”-“regedit”然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exefile.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了！木馬防治——堵計算機(jī)病毒與防治課程小組由于注冊表對于普通用戶木馬防治——堵計算機(jī)病毒與防治課程小組木馬防治——堵計算機(jī)病毒與防治課程小組木馬防治——堵計算機(jī)病毒與防治課程小組點擊“開始”→“運行”→“cmd”，然后在命令行下輸入netuser，查看計算機(jī)上有些什么用戶，然后再使用“netuser用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了?？焓褂谩皀etuser用戶名/del”來刪掉這個用戶吧！木馬防治——堵計算機(jī)病毒與防治課程小組點擊“開始”→“運行”木馬防治——殺計算機(jī)病毒與防治課程小組1）關(guān)掉木馬進(jìn)程2）檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。3）刪除上述可疑鍵在硬盤中的執(zhí)行文件。4）一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。5）檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main。中的幾項，如果被修改了，改回來就可以。6）檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認(rèn)打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認(rèn)打開程序讓病毒在用戶打開文本文件時加載的木馬防治——殺計算機(jī)病毒與防治課程小組1）關(guān)掉木馬進(jìn)程木馬防治——防計算機(jī)病毒與防治課程小組1．運行反木馬實時監(jiān)控程序2．不要執(zhí)行任何來歷不明的軟件3．不要輕易打開不熟悉的郵件4．不要輕信他人5．不要隨意下載軟件6．將Windows資源管理器配置成始終顯示擴(kuò)展名7．盡量少用共享文件夾8．隱藏IP地址木馬防治——防計算機(jī)病毒與防治課程小組1．運行反木馬實時監(jiān)控ThankYou!ThankYou!計算機(jī)病毒與防治計算機(jī)病毒與防治課程小組計算機(jī)病毒與防治計算機(jī)病毒與防治課程小組4-3木馬防范技術(shù)木馬防治——堵木馬防治——查木馬防治——殺4-3木馬防范技術(shù)計算機(jī)病毒與防治課程小組木馬防治——防4-3木馬防范技術(shù)木馬防治——堵木馬防治——查木馬防治——殺木馬防治——查計算機(jī)病毒與防治課程小組1．檢查系統(tǒng)進(jìn)程大部分木馬運行后會顯示在進(jìn)程管理器中，所以對系統(tǒng)進(jìn)程列表進(jìn)行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異?，F(xiàn)象。但是有些進(jìn)程是系統(tǒng)運行的進(jìn)程，這些進(jìn)程不能結(jié)束。木馬防治——查計算機(jī)病毒與防治課程小組1．檢查系統(tǒng)進(jìn)程木馬防治——查計算機(jī)病毒與防治課程小組2．檢查注冊表、ini文件和服務(wù)木馬為了能夠在開機(jī)后自動運行，往往在注冊表如下選項中添加注冊表項：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce。木馬防治——查計算機(jī)病毒與防治課程小組2．檢查注冊表、in木馬防治——查計算機(jī)病毒與防治課程小組圖3-2注冊表信息木馬防治——查計算機(jī)病毒與防治課程小組圖3-2注冊表信木馬防治——查計算機(jī)病毒與防治課程小組遠(yuǎn)程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入Netstatna，可以清楚地看到系統(tǒng)打開的端口和連接。也可從下載Fport軟件，運行該軟件后，可以知道打開端口的進(jìn)程名，進(jìn)程號和程序的路徑，這樣為查找“木馬”提供了方便之門。木馬防治——查計算機(jī)病毒與防治課程小組遠(yuǎn)程控制型木馬以及輸木馬防治——查計算機(jī)病毒與防治課程小組圖3-3查看端口木馬防治——查計算機(jī)病毒與防治課程小組圖3-3查看端口木馬防治——堵計算機(jī)病毒與防治課程小組查看目前運行的服務(wù)服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠(yuǎn)能處于運行狀態(tài)的方法之一。我們可以通過點擊“開始”→“運行”→“cmd”，然后輸入“netstart”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進(jìn)入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。木馬防治——堵計算機(jī)病毒與防治課程小組查看目前運行的服務(wù)木馬防治——堵計算機(jī)病毒與防治課程小組由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊“開始”-“運行”-“regedit”然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exefile.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了！木馬防治——堵計算機(jī)病毒與防治課程小組由于注冊表對于普通用戶木馬防治——堵計算機(jī)病毒與防治課程小組木馬防治——堵計算機(jī)病毒與防治課程小組木馬防治——堵計算機(jī)病毒與防治課程小組點擊“開始”→“運行”→“cmd”，然后在命令行下輸入netuser，查看計算機(jī)上有些什么用戶，然后再使用“netuser用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了?？焓褂谩皀etuser用戶名/del”來刪掉這個用戶吧！木馬防治——堵計算機(jī)病毒與防治課程小組點擊“開始”→“運行”木馬防治——殺計算機(jī)病毒與防治課程小組1）關(guān)掉木馬進(jìn)程2）檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。3）刪除上述可疑鍵在硬盤中的執(zhí)行文件。4）一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。5）檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main。中的幾項，如果被修改了，改回來就可以。6）檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類