),使用就相當方便,可以有效的查殺木馬。另外建議大家使用專門針對木馬的查殺軟體,如木馬克星。
2、使用程序/記憶體模組檢視器
dll木馬對於程序管理器來說是隱藏的,所以我們既不能用程序管理器來查詢,也無法直接將它停止執行,因此,我們不能指望nt自帶的程序管理器了,需要使用一些附加的工具。
為了能發現dll木馬,我們必須能檢視記憶體中「rundll32.exe」執行的dll檔案,大家可以使用windows優化大師自帶的」程序管理器「(圖二),來檢視dll檔案使用的情況,看看是否有異常,當然這需要使用者對windows系統有一定的了解才行。另外還要注意,可能木馬的dll檔案替換了系統常用的dll檔案,這時,就要檢視dll檔案的大小是否變化,如果它的大小和正常情況有很大出入,那麼就要小心了。
3、檢視登錄檔啟動項有無異常鍵名
單擊」開始-->執行「,在執行對話方塊中輸入」msconfig",然後切換到「啟動」選項頁,這裡要注意啟動項中有無異常鍵名,如「win32.lovgate.h新變體」木馬病毒會在啟動項中新增」rundll32「專案,其值為「rundll32.exe reg678.dll ondll_reg」(msconfig),遇到這種類似情況大家一定要留心,windows2000不自帶「msconfig」程式,將windows xp下的msconfig檔案拷貝過去即可。
另外,還可以在執行對話方塊中輸入」regedit"命令,依次展開「hkey_local_machine/software/microsoft/windows/currentversion/run」,這種方法也是一樣的。
當然還可以使用埠程序關聯軟體、嗅探器等進行查詢,這裡就不在詳細介紹了,有興趣的朋友可以檢視有關技術資料,進行深入研究。
運維 使用FC命令輔助查殺DLL木馬
在windows系統中,system32目錄下是木馬隱身的好地方,查詢起來非常困難,許多木馬都削尖了腦袋往那裡鑽,dll木馬也不例外。針對這一點使用者可以在安裝好系統和必要的應用程式後,對該目錄下的exe和dll檔案作乙個記錄。注 有了這個思路後,後續你可以安裝一些比較檔案不同的軟體,如uc之類。而...
從藍屏最小的asp木馬來看C S木馬技術
這幾天狂補asp,昨天休息,無聊就把自己的東西總結了一下,突然想到了我們經常使用的c s型的webshell,於是乎就胡亂分析了一下!呵呵!眾所周知,藍屏的最小的asp木馬,服務端僅一句話 execute request neeao 可以說是c s型木馬的極品!再看客戶端 then session ...
謹防淪為DLL後門木馬及其變種的肉雞
卡巴斯基實驗室近期發現有一種名為 dll後門木馬 的惡意軟體活動比較頻繁。該木馬採用delphi語言編寫,未加殼,但其具有偽造的數字簽名,而且其變種竟然高達390多種。此木馬主要通過網頁掛馬等方式感染使用者計算機,危害性比較大。一旦感染,它會釋放乙個名稱隨機的dll檔案到使用者計算機的系統目錄,以服...