木马的手工查杀.ppt

《木马的手工查杀.ppt》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、木马的手工查杀（冰河为例）木马冰河工作原理服务器端（G_Server.exe注：先不要运行）运行于被攻击主机，打开端口，监听来自客户端（攻击者主机运行G_Cilent.exe）的连接。通常发现计算机有异常的话（经常自动重启动，密码丢失，桌面不正常时），就该考虑是否中了木马。1、在命令行（开始-运行-cmd.exe）下利用命令ipconfig/all可以查看主机TCP/IP协议的设置。2、没有运行G_Server.exe前，在命令行下输入命令netstat-an查看本机的端口工作情况。3、运行G_Server.exe，再用上述命令查看端口情况

2、（检查有哪个端口被G_Server.exe打开），比较2次查看结果，发现端口7626处于listening状态。4、利用命令netstat-anb发现该端口的宿主，也就是说开放的端口是由那些进程打开的。通过查看，发现该端口是由进程Kernel32.exe打开。该文件命名和系统文件Kernel32.dll类似（木马通常命名类似系统文件）。5、该进程是否存在问题？搜索找到该文件，发现该文件在目录中，查看属性，从版本信息中说明是Microsoft的系统文件，是否是合法？在开始-运行中输入sigverif来检查该文件所在目录，是否能通过文件签名验证

3、。6、通过检查，发现该文件不能通过完整性检查，未经过数字签名，存在问题，同时发现另一个和该文件修改时间相同的一个文件sysexplr.exe同样也是没有通过数字签名。7、上述2个文件正是冰河的两个可执行文件。8、删除，开始-运行中输入regedit打开注册表，打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWndowsCurrentVersionRun，发现目录中有一个默认的键值和上述的一个文件关联，删除。9、打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoft

4、WndowsCurrentVersionRunservices,也有一个默认的键值和上述的一个文件关联，删除。10、进入该文件所在目录，删除。11、修改文件关联也是木马的常用手段，冰河将TXT文件的打开方式由notepad.exe默认的键值和上述的一个文件关联改为木马的启动程序。进入注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值改回到notepad.exe即可。