admin管理员组文章数量:1538425
2024年6月8日发(作者:)
VPS问题之如何检测ASP木马以及查杀木马的方法
1.检测木马的存在
首先,查看、、启动组中的启动项目。由“开始->运行”,输入msconfig,
运行Windows自带的“系统配置实用程序”。
a.查看文件
选中“”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=”,
如果不是这样,就可能中了木马怎么删除?
b.查看文件
c.选中标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该
为空。
d.查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等
关键词,极有可能就是木马了。本人一般都 将启动组中的项目保持在比较精简的状态,不
需要或无大用途的项目都屏蔽掉了。如下图,只是选中了与注册表检查、音量控制、输入法
和能源保护相关的启动栏。 到时要是有木马出现,自是一目了然。
e.查看注册表
由“开始->运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:“HKEY-LOCAL-
MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不
熟悉的自动启动文 件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序
生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过 关。比如Acid Battery木
马,它会在注册表项“HKEY-LOCAL-
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入
Explorer=“C:”,木马服务器程序与系统自身的真正的Explorer之间
只有一个字母的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
如果**作系统是Windows NT,还得注意HKEY-LOCAL-MACHINESoftwareSAM下面的
内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身
之处。除此之外,象HKEY-CURRENT- USERSoftwareMicrosoftWindowsCurrentVersionRun、
HKEY- USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木
马的藏身之处。最好的办 法就是在
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找
到 木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的
地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未
设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的
就是木马了。
f.其它方法
上网过程中,在进行一些计算机正常使用**作时,发现计算机速度明显起了变化、硬盘在
不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口 在未得到自己允许的情况下被关
闭、新的窗口被莫名其妙地打开…..这一切的不正常现象都可以怀疑是木马客户端在远程控
制你的计算机。
如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。
有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始->运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序
->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的
连接。
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign
Address:远程 地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码
异常(比如大于5000),而Foreign Address中的地址又不为 正常网络浏览的地址,那么
可以判断你的机器正被Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign
Address中 显示的IP地址就是目前非法连接你计算机的木马客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat
命令将看不到什么东西。此时可以使用 “netstat -a”,加了常数“-a”表示显示计算机中目前处
于监听状态的端口。对于Windows98来说,正常情况下,会出现如下的一些处于监 听状态
的端口(安装有NETBEUI协议):
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务**
作,那么在监听该端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听
状态,很明显是木马造成的。
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)
没有运行任何网络冲浪软件,也没有进行过任何网络**作,比如浏览网页,收、发信等。不
然容易混淆对结果的判断。
2.删除木马
好了,用上面的一些方法发现自己的计算机中了木马,那怎么办?当然要将木马删除了,
难道还要保留它!首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。
a.由木马的客户端程序
由先前在、和注册表中查找到的可疑文件名判断木马的名字和版本。比
如“netbus”、 “netspy”等,很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应
的客户端程序,下载并运行该程序,在客户程序对应位置填入本地计 算机地址:127.0.0.1
和端口号,就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。
端口号可由“netstat -a”命 令查木马出来。
这是最容易,相对来说也比较彻底载除木马的方法。不过也存在一些弊端,如果木马文件
名给另外改了名字,就无法通过这些特征来判断到底是什么 木马。如果木马被设置了密码,
既使客户端程序可以连接的上,没有密码也登陆不进本地计算机。当然要是你知道该木马的
通用密码,那就另当别论了。还有,要是 该木马的客户端程序没有提供卸载木马的功能,
那么该方法就没什么用了。当然,现在多数木马客户端程序都是有这个功能的。
b.手工
不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、……,那我们就手
工慢慢来删除这该死的木马吧。
用msconfig打开系统配置实用程序,对、和启动项目进行编辑。屏蔽掉
非法启动项。如在 文件中,将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为
“run=”和“load=”;编辑 文件,将[BOOT]下面的“shell=xxx”,更改为:
“shell=”。
版权声明:本文标题:VPS问题之如何检测ASP木马以及查杀木马的方法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1717796567a610886.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论