首先,查看system.ini、win.ini、启动组中的启动项目。由“开始→运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。 第一步我们可以查看system.ini文件,选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是这样,就可能中了木马了。
第二步就是查看win.ini文件,选中win.ini标签,展开[Windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空。
第三步就是查看启动组,看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,极有可能就是木马了。
我们一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都屏蔽掉了。只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现,自是一目了然。
第四步就是查看注册表,由“开始→运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:“HKEY-LOCAL-MACHINE\Software\ Microsoft\ Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run”下加入Explorer=“C:\Windows\expiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别!
然后我们通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software \Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT/2000,还得注意HKEY-LOCAL-MACHINE\Software\ SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\Software\Microsoft\ Windows\CurrentVersion\Run、HKEY-USERS\****\Software\Microsoft\Windows\Current Version\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINE\Software\ Microsoft\Windows\ CurrentVersion\Run或其他主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,你会发现注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的,这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
主帖获得的天涯分:0
楼主发言:1次 发图:0张 | 添加到话题 |
