好消息！木马查杀防范秘技红宝书

⊕ 网站首页 ⊕注册会员 ⊕ 本站免费电影 ⊕ 留言板 ⊕ 繁體中文

您现在的位置：陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文

专题栏目

最新热门

最新推荐

相关文章

好消息！木马查杀防范秘技红宝书

好消息！木马查杀防范秘技红宝书

作者：陈鹏文章来源：eNet 点击数：更新时间：2009-9-11 23:12:58

如今木马数量众多，传播方式也多种多样，让你防不胜防，只要你能上网，就有可能中弹落“马”！目前木马大致可分成五大类：即网游、广告、通讯、后门和网银类。其中以盗窃密码的木马危害性最大，例如利用木马盗窃你的网游帐号密码、股票帐号密码、乃至网上银行的资金，给许多朋友带来了巨大的经济损失。为了帮助大家远离可恶的木马，下面我们全面介绍木马防范、查找、清除方面的知识。

　　木马防范技巧篇

　　清除木马不如平时预防，“防患于未然”是保护系统安全的上策，大家平时就应该有强烈的木马防范意识，建议你采取以下措施，把木马拒之门外：

　　一、关闭本机中不用的端口

　　关闭本机不用的端口，这是防范木马的第一道防线。默认情况下Windows有很多端口是开放的，在你上网的时候，木马、病毒和黑客就可以通过这些端口连上你的电脑，为了保护你的系统，应该封闭这些端口，主要有：TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口，一些流行木马病毒的后门端口（如 TCP 2513、2745、3127、6129 端口），以及远程服务访问端口3389。

　　其中137、138、139、445端口都是为共享而开的，是NetBios协议的应用，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是：单击“开始”/控制面板/系统/硬件/设备管理器，单击“查看”菜单下的“显示隐藏的设备”，单击“非即插即用驱动程序”，找到Netbios over Tcpip禁用该设备，重新启动后即可。

　　关闭UDP123端口：单击“开始”/设置/控制面板，双击“管理工具”/服务，停止windows time服务即可，关闭UDP 123端口，可以防范某些蠕虫病毒。

　　关闭UDP1900端口：在控制面板中双击“管理工具”/服务，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDoS攻击。

　　其他端口你可以用网络防火墙关闭之，或者在控制面板中，双击“管理工具”/本地安全策略，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭这些端口。

　　二、删除系统中无用的帐号

　　进入MS-DOS模式，输入命令net user回车，显示本地计算机上有哪些用户账户；如果有无用的帐号（例如lacl），就删除该帐号，输入命令net user lacl /delete回车即可（注意参数“/”的左边，至少要保留一个空格）

　　其中Guest和Administrator这两个帐号，是不允许删除的，但你应该修改它们的密码，为它们设置新的密码，例如键入命令net user Guest abc123回车，把Guest的密码改为abc123。

　　三、勤升级杀毒软件，启用隐私保护

　　在网吧等公共场所上网时，你一定要选择有杀毒软件保护的正规网吧，以免自己的游戏帐号被盗，要知道“网吧传奇杀手”在任一台机器上运行，即可窃取网吧内全体玩家的传奇帐号密码！注意查看网吧安装的杀毒软件，瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外，游戏前一要查杀自己的电脑，下网前一定要更换自己的密码，下次游戏时使用新密码。

　　如果你在家上网，应该安装带有隐私信息保护的杀毒软件（例如KV2004、诺顿安全特警等），注意及时升级到最新病毒库，打开病毒实时监控，因为有些比较厉害的木马，如果杀毒软件未升级到最新版是查不出来的。

　　此外，你还要启动杀毒软件的隐私信息保护监视功能，将网游账号及密码设为隐私保护状态，这样即使你不小心中了木马，也不用担心帐号、密码被木马窃取。例如在KV2004中设置方法是：

　　点击“工具”/选项菜单，点击“实时监控”，钩选“隐私保护”；单击“隐私保护设置”按钮，随后弹出一个窗口，在“检测到私密信息后处理方式”一栏选择“禁止发送私密信息”，然后单击“增加”按钮（如下图1），添加要保护的帐号和密码。添加时，在“私密信息类型”中选择“用户定义”，在“私密信息内容”中输入帐号（或密码）的前几位或中间几位，最后任意输入用户等信息，按“确定”完成。

　　好消息!木马查杀防范秘技红宝书

　　完成以上“隐私保护”监视功能的设置以后，如果你的电脑中帐号、密码被不明程序向外传输，这时候KV2004的“隐私保护”监控就会发出警报，这样即可有效阻止木马、黑客程序盗取用户密码等机密文件。

　　四、使用第三方防火墙，锁住你的密码

　　安装使用防火墙，是防范木马的很好方法。由于WinXP自带的放火墙和ADSL猫的NAT方式，不能阻挡从内到外的连接，因此建议使用第三方防火墙，只要你发现可疑程序向外连接，就可以在防火墙中，把它设置成不允许访问网络，阻挡木马从内到外的连接。

　　建议你安装使用ZoneAlarm Pro、诺顿安全特警、天网防火墙、金山网镖6等第三方防火墙，这类防火墙各大网站都有下载。其中金山网镖6有一个独特功能，就是可以检查你的系统是否有漏洞，如果查出漏洞，它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下，然后再启动第三方防火墙上网。下面我们介绍ZoneAlarm Pro使用方法，其他防火墙限于篇幅，我们就不展开介绍了。

　　软件小资料

　　最新版本：ZoneAlarm Pro 5.5.062.004

　　软件大小：6499KB

　　运行平台：WinXP/2000/NT/Me/9X

　　下载地址：http://dlc.pconline.com.cn/filedown.jsp?id=55555&dltypeid=1

　　汉化补丁下载：http://dlc.pconline.com.cn/filedown.jsp?id=54592&dltypeid=1

　　ZoneAlarm是目前最优秀的个人综合防火墙，与其他个人防火墙软件相比，ZoneAlarm占用资源少，能保护个人隐私安全，防范木马把你的游戏帐号、密码向外发送。此外，它对应用程序的控制也更安全，即使策略允许通过，它也要检查应用程序访问设置；其专家级的规则制定功能也更加强大，可以控制到MAC级别，能够定义组、时间控制和控制到数据链路层，在目前所有的个人防火墙中，只有ZoneAlarm能够控制到数据链路层。

　　（1）用ZoneAlarm防范木马方法

　　ZoneAlarm防火墙具有三个安全级别（高、中和低），分成信任、封锁和 Internet三个区域。单击“防火墙”/常规，把“Internet安全防护”调到“高”（如下图2），这样你的电脑在网络上就隐藏起来了，而且别人还不能使用你的共享资源。

　　好消息!木马查杀防范秘技红宝书

　　单击“警报/日志”查看本机以前曾受到哪些攻击（如下图3），例如图中互联网上213.7.104.171的电脑试图连接本机的139端口，被防火墙拦截，我们应该永远禁止它连接，把它添加到封锁区域，点击等级为“高”记录，右击鼠标选择菜单“添加区域”/封锁，把对方的IP添加到封锁区域。对付恶意网站，你可以把它添加到封锁区域，禁止它以后攻击你的电脑。

　　好消息!木马查杀防范秘技红宝书

　　小提示：如果发现可疑的IP要求连接你的电脑，你应该把该IP添加到封锁区域、禁止它连接，对于同一个局域网中的电脑，应该把它加到信任区域，以便别人能共享你电脑中的资源。

　　在“程序控制”中，你可以设置4个安全级别来管理应用程序和组件。如果设置为“低”级别，程序和组件都可以直接访问网络；“中”级别时，程序需要确认才能访问网络，组件可直接访问网络；设置为“高”级别，程序和组件都需要确认才可访问网络。

　　单击“程序控制”/常规，把“应用程序控制”调为“高”（如下图4），“警报建议”调为“自动”，开启“自动封锁”，以便你在指定时间或屏幕保护时，能自动锁定网络。

　　好消息!木马查杀防范秘技红宝书

　　单击“程序控制”/程序，为每一个应用程序设置权限。应用程序的权限包括访问权限、服务权限和发送邮件权限（如下图5），访问权限表示能否主动访问外部对象，服务权限表示是否允许开启服务端口，提供给外人连接。图中绿色的“√”表示允许连接；红色的“×”为禁止连接；“？”表示每次出现连接企图时，都会先提出询问。你应该按右下方的“添加”按钮，把常用的软件（例如IE、Word、outlook等）都添加进来，然后单击小图标，为每个权限设置“允许”、“封锁”或“询问”，例如把Foxmail设置为允许发送邮件和向外访问，但禁止服务权限，把怀疑为木马的程序，都设置成不允许访问网络，这样就能阻挡木马从内到外的连接。

　　好消息!木马查杀防范秘技红宝书

　　最后单击导航条中的“病毒监控”，开启病毒监控，单击“邮件防护”，启用附件保护和寄出电子邮件保护。

　　（2）防范恶意网页

　　为了阻止下载恶意网页和电子邮件，保护机器的安全，你可以在“隐私保护”中，把“活动码控制”设为“开启”，然后点击右边的“自定义”（如下图6），设置封锁MIME对象、嵌入对象（Java和ActiveX）。

　　好消息!木马查杀防范秘技红宝书

　　（3）保护你的密码

　　有些木马会偷偷记录你键盘输入的各种密码，然后发送给它的主人，只要你在ZoneAlarm中如下设置，即可阻止木马发送你的密码。

　　设置方法：单击“ID锁”，在“常规”选项卡中，把“ID封锁”调为“高”；然后打开“个人隐私”选项卡（如下图7），点击“添加”按钮，输入要保护的帐号、密码，把你的密码全部添加进去。这样以后一旦你的密码向外发送，ZoneAlarm就会报警，即使对方收到密码，也全部都是“*”而无法阅读。

　　好消息!木马查杀防范秘技红宝书

　　五、在线安全检测

　　及时发现并堵住系统中的漏洞，也是很好的防范木马措施。你可以用金山网镖 6 增强版（http://db.kingsoft.com/）检测系统中是否有漏洞，如果有，就安装补丁堵住漏洞。此外，你也可以在网上找个在线安全测试的网站，对你的系统当前安全情况进行检查，不过在线检测前，请关闭你的防火墙。目前这类测试各网站都是免费的，建议你去下面知名的网站测试：

　　（1）诺顿在线安全检测http://www.symantec.com/region/cn/

　　诺顿是网络安全的鼻祖，它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描，利用木马常用的方法尝试与你的电脑进行Internet 通信；它还可以扫描你的网络漏洞、NetBIOS可用性，确定黑客是否能访问你机器中的信息。扫描完成后，会显示详细的分析结果。

　　（2）金山木马专杀http://scan.kingsoft.com/scan_mm.htm

　　著名的杀毒厂商金山公司提供的在线木马专杀服务，目前该服务完全免费。

　　（3）天网安全在线http://old.sky.net.cn/main/view.php?cid=170

　　可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时，在倒数时间内，如果你的电脑出现蓝屏死机，则表示你的电脑不安全，你可以下载该网站提供的个人电脑网络安全软件，来修补目前的安全漏洞。

　　（4）千禧在线--在线检测http://www.china-yk.com/tsfw/onlineclean/index.asp

　　免费检查你的电脑有那些端口开放或关闭，是否有木马；与“北京趋势科技”合作，提供了在线按需扫描病毒服务。

　　（5）蓝盾安全在线http://www.haodx.com/url/1673.htm

　　蓝盾安全实验室研制、开发的在线安全检测

　　六、其他防范措施

　　上网时要特别注意，木马无处不在！尽量避免将游戏帐号暴露在公众论坛和其他网站；不要随意下载来历不明的文件，只下载使用官方的升级程序，特别是一些所谓的女神外挂游戏程序；不要接收陌生人的邮件，如果有附件，也不要打开附件，更不要执行附件中的可执行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的附件。

　　设置密码时应该尽量复杂一点，最好设置为8位数以上的字母、数字和其他符号的组合。如果能申请密码保护，就尽量申请设置安全码，注意安全码不要和密码设置的一样。如果你没有设置安全码，那么别人一旦破解了你的密码，就会去修改你的密码和注册资料，你的帐号就是别人的了。

　　在键入传奇帐号密码时，你可以采取乱序输入法。譬如密码是abcd2003，输入时不要按顺序一次输入，这样键盘会被木马直接记录下来！你可以先输入“003”，然后把光标移到最左边再输入abcd2，这样你输入的密码依然是“abcd2003”，但木马记录的却是“003abcd2”，从而保护了密码。

　　此外，输入帐号密码时，也可以采取复制粘贴法。即打开记事本，新建一个文本文件，键入密码后复制，然后关闭文本文件（不要保存）。当要输入密码时，用“Ctrl+V”把密码粘贴到密码栏里，这样木马就不能把你的键盘输入记录下来。当然你也可以准备两个常用的密码，在登陆游戏时交替使用。本次输入一个密码，登陆游戏使用完毕后，立即更改一下密码，下一次就用新密码登陆。　　

　　手工查找木马技巧篇

　　如果你中了木马，也不必惊慌失措，可以用反木马软件查杀。对于新木马，假如反木马软件也不能查杀，你可以手工查杀，自己动手找到木马的藏身之处，然后清除之，具体方法是：

　　一、启动任务管理器

　　按Ctrl+Alt+Del键启动任务管理器，点击“进程”选项卡（如下图8），查看其中是否有陌生进程，记录下来，暂时别动它。

　　好消息!木马查杀防范秘技红宝书

　　二、使用进程查看工具

　　有些木马运行后，你在任务管理器中看不到它的进程，这时候你可以使用专门的进程查看工具，例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等，用它们来检查系统中的进程，看看有没有可疑的进程，如果发现可疑进程立刻封杀之，例如常见的木马进程如下:

　　好消息!木马查杀防范秘技红宝书

　　进程查看工具下载地址：

　　WinProcV1.32 http://ks.onlinedown.net/down/winproc1.32.zip

　　系统查看大师V1.0 http://xj-http.skycn.net:8080/down/xpprocess.exe

　　柳叶擦眼V4.0 http://www.skycn.com/soft/4507.html

　　IceSwordV1.04 http://download.pchome.net/php/dl.php?sid=18523

　　进程杀手V2.5 http://sc-down.downloadsky.com/down/prockiller_25.rar

　　三、用Tcpview观察连接情况

　　使用Tcpview （下载地址http://xj-http.skycn.net:8080/down/tcpview.zip）、Active Ports等软件，观察计算机的进程和端口。一旦发现可疑的进程，有可疑的端口打开了，就要立即关闭它。建议你经常用Tcpview检查连接情况（如下图9），这样就能随时发现哪个连接有可能是非法连接。

　　好消息!木马查杀防范秘技红宝书

　　例如图9中本机打开了TCP 135和2513两个端口，这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口，一般不要通过停止RPC服务来关闭，因为如果你把RPC服务停掉，虽然可以关闭135端口，但是计算机也关机了。冲击波病毒利用的就是135端口，为了防范黑客利用该端口攻击，建议你使用第三方防火墙，设置外界不能连接本机的135端口，这样来堵住135端口。

　　另外，图9中TCP 2513端口是灰鸽子（GrayPigeon.exe）打开的，这里有个常识请你记住，如果你发现TCP协议的linsten在1025端口以上，则可能是木马，你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听，采用主动连接方式（非反弹连接），等待远方电脑的连接，可以断定这是非法连接。

　　此时你应该右击该连接，选择连接属性，记录下执行文件GrayPigeon.exe的名称和位置，然后选择“End Process”结束连接，最后再删除对应的执行文件。

　　四、检查与启动相关的文件

　　（1）检查启动组

　　启动组是木马藏身的好地方，WinXP启动组对应的文件夹为：C:\Documents and Settings\帐户\「开始」菜单\程序\启动，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动"，你应该检查这些地方。

　　（2）检查Autoexec.bat、Config.sys和Winstart.bat

　　Autoexec.bat和Config.sys都位于C盘根目录下，在它们中也可以加载木马程序，但这并不多见，你不能掉以轻心，最好检查一下。

　　Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件，在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马，因此你要打开它检查。

　　（3）检查Win.ini和System.ini

　　Win.ini位于Windows的安装目录下，其[windows]字段中有启动命令“load=”和“run=”，通常“=”后面是空白的，如果后面跟着程序，比如：run=c:\windows\spy.exe load=c:\windows\spy.exe ，这个spy.exe很可能就是木马程序！

　　System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处，木马通常会将该句变为这样：shell=Explorer.exe spy.exe，注意这里的spy.exe就是木马服务端程序！检查System.ini中的[386Enh]字段，此段内的“driver=路径\程序名”，也是木马经常隐藏的地方；检查System.ini中的[mic]、[drivers]、[drivers32]三个字段，它们也是添加木马的好场所。

　　五、检查系统目录中文件

　　木马也可能藏在系统目录中。启动资源管理器，点击“工具”/文件夹选项/查看，设置显示全部文件（包括受保护文件），不要隐藏已知文件的扩展名，然后打开Windows\ 及 Windows\system32目录中的文件，按建立时间排序，找出建立时间或修改时间异常的程序，记录下来。

　　六、在注册表中检查

　　单击“开始”/运行，键入Regedit打开注册表，检查其中是否有木马，记录下来，暂时不要更改。

　　（1）检查自启动项

　　查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值，检查其中是否有程序，木马喜欢藏在这些位置。

　　此外，使用组策略也能让木马在系统登录时自动启动（方法如下），该方法添加的自启动程序也被记录在注册表中，但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马，在上面的注册表项中又找不到它，建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项，或是进入“组策略”的“在用户登录时运行这些程序”，看看其中有无启动的程序。

　　组策略添加自启动木马程序的方法：在“开始→运行”中执行“Gpedit.msc”打开“组策略”，展开“本地计算机策略→用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项，选定“设置”项中的“已启用”项，单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中，输入要自启动的木马程序路径即可。

　　（2）检查文件关联是否被修改

　　国产木马还喜欢修改文件关联，例如TXT文件通常是由记事本（Notepad.exe）来打开的，如果你中了国产木马冰河之后，则会被修改为用木马程序打开，因此只要你一打开文本文件，就会自动启动木马。

　　木马修改文件关联的方法是：修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

　　注意：木马不仅仅只会修改TXT文件的关联，有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马，你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。

　　好消息!木马查杀防范秘技红宝书

　　木马清除技巧篇

　　一、使用反木马软件清除木马

　　使用专门的反木马软件，及时升级软件和病毒库，这是查杀木马最简单的方法。目前反木马软件数量众多，著名的有金山毒霸木马专杀、木马克星、TrojanHunter、Anti-Trojan Shield、The Cleaner Professional、木马清除大师等。

　　（1）金山毒霸木马专杀

　　软件版本：2004.9.27.2

　　软件大小：9.06 MB

　　下载地址：http://www.pcsky.cn/download/SoftDown.asp?ID=14109

　　金山木马专杀是一个木马专杀工具（能查杀2万多种木马），可以有效地保护你的QQ号码、网游以及网络支付安全，快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。如果你要查杀激活状态的木马，可以单击“快速扫描”按钮（如下图10），即顺序扫描内存、注册表、系统所在目录下的系统文件夹、程序文件和个人保存信息使用的临时文件夹，查杀激活状态的木马。完全扫描对机器所有位置都进行扫描，包括内存、注册表、与之相连的软盘、光盘、闪盘以及所有硬盘，因此也是最安全的扫描，可以清除系统中所有的木马。

　　好消息!木马查杀防范秘技红宝书

　　（2）木马克星（Iparmor）

　　软件版本：5.46

　　软件大小：3709KB

　　下载地址：http://www.pcdog.com/down/tu.exe

　　木马克星（如下图11）是国人开发的一款防杀木马的软件，擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大（安装文件只有3.7MB），可以用闪存随身携带，方便你在网吧电脑中安装使用。另外，木马克星还可以让你轻松地监视系统中当前运行的各个进程、网络状态、系统共享情况等，防止木马的入侵。

　　好消息!木马查杀防范秘技红宝书

　　单击“系统进程”，你可以查看系统中有哪些进程在运行，用鼠标左键点取后，再用键盘上的“Delete”键即可删除进程；而“网络状态”里，则可以看到目前的网络情况，如果tcp协议的linsten在1025端口以上，则可能是木马，大家就要警惕了。

　　（3）The Cleaner Professional

　　软件版本：4.1

　　软件大小：4519KB

　　下载地址：http://antivirus.pchome.net/php/dl.php?sid=15372

　　The Cleaner Professional 是MooSoft公司开发的查杀木马软件，可以查杀各种木马、蠕虫、键盘记录机、间谍程序等。软件包括Cleaner、TCActive、TCMonitor等组件，其中Cleaner专门查杀木马等病毒，TCActive用来显示当前正在运行的所有进程，TCMonitor负责后台监视系统文件和注册表是否被修改，如果发现被修改即报警。

　　（4）TrojanHunter

　　软件版本：3.9

　　软件大小：6942KB

　　下载地址：http://www.ayxz.com/down.asp?id=5976&no=1

　　TrojanHunter（如下图12）是一款非常不错的防木马软件，可以在Win9X/NT/2000/XP系统中运行，能够发现流行的木马。

　　好消息!木马查杀防范秘技红宝书

　　（5）Anti-Trojan Shield

　　软件版本：1.4.15

　　软件大小：4451KB

　　下载地址：http://sq3.onlinedown.net/down/ats1.exe

　　Anti-Trojan Shield（如下图13）是一款享誉欧洲的专业木马侦测、拦截及清除软件，目前可以查杀9468种木马和病毒，其特点是界面简捷，虽是英文但只要你会用杀毒软件，就能很容易操作该软件。

　　好消息!木马查杀防范秘技红宝书

　　（6）木马清除大师正式版

　　软件版本：2.15

　　软件大小：4634KB

　　下载地址：http://xj-http.skycn.net:8080/down/BtSetup215.exe

　　木马清除大师（BeatTrojan）能查杀5800余种国际国内流行木马、网络游戏盗号工具、QQ盗密码工具、幽灵后门，查杀率在95%以上，正式版还加强了对第五代木马的查杀，更加人性化的进程管理设计，能完美的查杀各种无进程木马。

　　二、手工清除木马

　　手工清除木马应按照以下的顺序进行：用TcpView先查看进程，把可疑进程文件名和所在位置记录下来，然后停止可疑进程；在注册表里查找可疑进程文件，并将相关的键值全部删掉；到可疑进程文件所在位置删除之按照上面“手工查找木马技巧”介绍的方法清理注册表相关表项，检查与启动相关的文件、系统目录中文件，删除所有可疑文件。
　　有些木马，因为使用了线程注入或三线程保护方式，需要使用相关工具进行清除。对于exe文件关联类木马，清除之后可能会出现exe文件无法打开的现象，假如系统中没有相关进程监视这个表项，你可以这样处理：将regedit.exe 复制为 regedit.com，并运行 regedit.com，将 exe 文件关联改回来即可。

【责任编辑张洪】

文章录入：陈鹏责任编辑：陈鹏

上一篇文章：新人学习之网站入侵基本知识

下一篇文章： Iris网络嗅探器使用与技巧

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】