首页- 信息安全- 安全培训
信息安全

安全培训

如何检测计算机木马?

1、 检查注册表

在Windows系统命令行中,用regedit命令进入注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以"Run"开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。

2、 检查启动组

木马经常隐藏在启动组而自动加载运行。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方。

3、隐蔽在Win.ini以及System.ini中

Win.ini的小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要认真检查,有可能是木马;在System.ini的小节的Shell=Explorer.exe后面也是加载木马的好场所。如果是:Shell=Explorer.exe wind0ws.exe,则wind0ws.exe很有可能就是木马服务端程序。

4、检查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat

当你下载一个文件或是打开某些网页链接时,间谍软件会未经你同意而偷偷安装。间谍软件可以设置您的自动签名,监控你的按键、扫描、读取和删除你的文件,访问您的应用程序甚至格式化你的硬盘。它会不断的将你的信息反馈给控制该间谍软件的人。这就要求我们在下载文件时要多加小心,不要去点击那些来路不明的连接。

5、 如果是EXE文件启动

那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下。

6、 木马启动都有一个方式

它只是在一个特定的情况下启动,所以,平时多注意一下端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。

发现计算机中了木马后,要找到木马启动文件,一般在注册表及与系统启动有关的文件里能找到木马文件的位置, 删除木马文件,并且删除注册表或系统启动文件中相关木马信息。

但对于一些十分复制的木马,一般很难找到,这时需要借助木马查杀工具,如360等;或者请求信息网络中心技术支持。