VPS问题之如何检测ASP木马以及查杀木马的方法

admin管理员组

文章数量:1538425

2024年6月8日发(作者：)

VPS问题之如何检测ASP木马以及查杀木马的方法

1.检测木马的存在

首先，查看、、启动组中的启动项目。由“开始->运行”，输入msconfig，

运行Windows自带的“系统配置实用程序”。

a.查看文件

选中“”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=”，

如果不是这样，就可能中了木马怎么删除？

b.查看文件

c.选中标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该

为空。

d.查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等

关键词，极有可能就是木马了。本人一般都 将启动组中的项目保持在比较精简的状态，不

需要或无大用途的项目都屏蔽掉了。如下图，只是选中了与注册表检查、音量控制、输入法

和能源保护相关的启动栏。 到时要是有木马出现，自是一目了然。

e.查看注册表

由“开始->运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEY-LOCAL-

MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不

熟悉的自动启动文 件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序

生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过 关。比如Acid Battery木

马，它会在注册表项“HKEY-LOCAL-

MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“C:”，木马服务器程序与系统自身的真正的Explorer之间

只有一个字母的差别！

通过类似的方法对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

如果**作系统是Windows NT，还得注意HKEY-LOCAL-MACHINESoftwareSAM下面的

内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身

之处。除此之外，象HKEY-CURRENT- USERSoftwareMicrosoftWindowsCurrentVersionRun、

HKEY- USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木

马的藏身之处。最好的办 法就是在

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找

到 木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的

地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未

设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的

就是木马了。

f.其它方法

上网过程中，在进行一些计算机正常使用**作时，发现计算机速度明显起了变化、硬盘在

不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口 在未得到自己允许的情况下被关

闭、新的窗口被莫名其妙地打开…..这一切的不正常现象都可以怀疑是木马客户端在远程控

制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。

有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始->运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始->程序

->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的

连接。

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign

Address：远程 地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码

异常（比如大于5000），而Foreign Address中的地址又不为 正常网络浏览的地址，那么

可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign

Address中 显示的IP地址就是目前非法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat

命令将看不到什么东西。此时可以使用 “netstat -a”,加了常数“-a”表示显示计算机中目前处

于监听状态的端口。对于Windows98来说，正常情况下，会出现如下的一些处于监 听状态

的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务**

作，那么在监听该端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听

状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）

没有运行任何网络冲浪软件，也没有进行过任何网络**作，比如浏览网页，收、发信等。不

然容易混淆对结果的判断。

2.删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，

难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

a.由木马的客户端程序

由先前在、和注册表中查找到的可疑文件名判断木马的名字和版本。比

如“netbus”、 “netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应

的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计 算机地址：127.0.0.1

和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。

端口号可由“netstat -a”命 令查木马出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件

名给另外改了名字，就无法通过这些特征来判断到底是什么 木马。如果木马被设置了密码，

既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的

通用密码，那就另当别论了。还有，要是 该木马的客户端程序没有提供卸载木马的功能，

那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

b.手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、……，那我们就手

工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对、和启动项目进行编辑。屏蔽掉

非法启动项。如在 文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为

“run=”和“load=”；编辑 文件，将[BOOT]下面的“shell=xxx”，更改为：

“shell=”。

本文标签： 木马启动项目进行方法