如何查找木马文件_怎么看木马程序

hacker|
139

六招教你检测是否中病毒木马介绍

六招教你如何检测病毒木马,赶紧来学学哦!下面由我给你做出详细的六招教你检测病毒介绍!希望对你有帮助!

六招教你检测病毒木马介绍:

六招教你检测病毒木马一、进程

首先排查的就是进程了, 方法 简单,开机后,什么都不要启动!

第一步:直接打开任务管理器(计算机 爱好 者,学习计算机基础, 电脑入门 ,请到本站,我站同时提供计算机基础知识教程,计算机基础知识试题供大家学习和使用),,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。

PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!

第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。

PS:如果冰刃无法正常使用,可以判定已经中毒;如果有红色的进程,基本可以判断已经中毒;如果有不在正常目录的正常系统进程名的进程,也可以判断已经中毒。

第三步:如果进程全部正常,则利用Wsyscheck等工具,查看是否有可疑的线程注入到正常进程中。

PS:Wsyscheck会用不同颜色来标注被注入的进程和正常进程,如果有进程被注入,不要着急,先确定注入的模块是不是病毒,因为有的杀软也会注入进程。

六招教你检测病毒木马二、自启动项目

进程排查完毕,如果没有发现异常,则开始排查启动项。

第一步:用msconfig察看是否有可疑的服务,开始,运行,输入“msconfig”,确定,切换到服务选项卡,勾选“隐藏所有 Microsoft 服务”复选框,然后逐一确认剩下的服务是否正常(可以凭 经验 识别,也可以利用搜索引擎)。

PS:如果发现异常,可以判定已经中毒;如果msconfig无法启动,或者启动后自动关闭,也可以判定已经中毒。

第二步:用msconfig察看是否有可疑的自启动项,切换到“启动”选项卡,逐一排查就可以了。

第三步,用Autoruns等,查看更详细的启动项信息(包括服务、驱动和自启动项、IEBHO等信息)。

PS:这个需要有一定的经验。

六招教你检测病毒木马三、网络连接

ADSL用户,在这个时候可以进行虚拟拨号,连接到Internet了。

然后直接用冰刃的网络连接查看,是否有可疑的连接,对于IP地址,可以到相关网站查询,对应的进程和端口等信息可以到Google或百度查询。

如果发现异常,不要着急,关掉系统中可能使用网络的程序(如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等),再次查看网络连接信息。

六招教你检测病毒木马四、安全模式

重启,直接进入安全模式,如果无法进入,并且出现 蓝屏 等现象,则应该引起警惕,可能是病毒入侵的后遗症,也可能病毒还没有清除!

六招教你检测病毒木马五、映像劫持

打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,查看有没有可疑的映像劫持项目,如果发现可疑项,很可能已经中毒。

六招教你检测病毒木马六、CPU时间

如果开机以后,系统运行缓慢,还可以用CPU时间做参考,找到可疑进程,方法如下:

打开任务管理器,切换到进程选项卡,在菜单中点“查看”,“选择列”,勾选“CPU时间”,然后确定,单击CPU时间的标题,进行排序,寻找除了System Idle Process和SYSTEM以外,CPU时间较大的进程,这个进程需要一起一定的警惕。

怎样查看电脑是否中木马

其实想看自己中木马没有很简单(也就是中了会有什么状况)

如果自己机器突然变的很慢,发现哪个进程占用很高的CPU等。那你就怀疑一下自己有没有中木马。

检查方法:木马必须两个程序(一个是客户端,即控制端,另一个是服务端,即被控制端。)

那么当你把你所以连接网络的软件,比如说QQ,IE,KUGOO等等需要连接网络的都关掉。

打开运行,敲入CMD回车。在命令提示提示符中输入

netstat

-an

然后再回车

出现了很多TCP连接的IP和端口。

看一下还有没有连接的端口,有的话那就中了木马!~连接的端口显示为ESTABLISHED(特别注意端口号为8000的,那一定中了灰鸽子,灰鸽子默认接受端口号就是8000)。

怎么检查电脑是否有木马

一、通过启动文件检测木马

一旦电脑中了木马,则在电脑开机时一般都会自动加载木马文件,由于木马的隐藏性比较强,在启动后大部分木马都会更改其原来的文件名;

如果用户对电脑的启动文件非常熟悉,则可以从Windows系统自动加载文件中分析木马的存在并清除木马,这种方式是最有效、最直接的检测木马方式;

但是,由于木马自动加载的方法和存放的文职比较多,这种方法对于不太懂电脑的人来说比较有难度。

二、通过进程检测木马

由于木马也是一个应用程序,一旦运行,就会在电脑系统的内存中驻留进程。因此,我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程;

在Windows系统中,按下【Ctrl+Alt+Delete】组合键,打开【Windows任务管理器】窗口,选择【进程】选项卡,查看列表 中是否存在可以的木马程序;

如果存在可疑进程,选中此进程并右击,从弹出的快捷菜单中选择【结束进程】即可结束词进程;

【Windows进程管理器】的主界面看下面的图;

在列表中选择其中一个进程选项之后,单击【描述】按钮,即可看到该进程的详细信息;

在进程列表中右击某个进程在其中可以对进程进行结束、暂停、查看属性、删除文件等操作。

三、通过网络连接检测木马

木马的运行通常是通过网络连接实现的,因此,用户可以通过分析网络连接来推测木马是否存在,最简单的办法是利用Windows自带的Netstat命令;

选择“开始”-“运行”菜单项,打开“运行”对话框,单击“确定”按钮,打开“命令提示符”窗口;

在“命令提示符”窗口中输入“netstat -a”,按“Enter”键,在其运行结果中查看有哪些可以的运行程序来判断木马文件。

注意:

参数“-a”的作用是显示计算机中目前所有处于监听状态的端口。

如果出现不明端口处于监听状态,而且前又没有进行任何网络服务的操作,则在监听该端口的很有可能是木马。

怎样查看木马进程

第一步:打开任务管理器。根据和常见进程比较,很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似,但不相同):“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。

第二步:打开“系统信息”的“软件环境→正在运行任务”,查看路径信息,两者均指向WindowsSystem32目录,而且文件大小、日期均相同,但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性,虽然公司标明为Microsoft,但与系统文件中的微软公司名称书写并不相同,基本可断定是非法进程,并且为双进程模式。

第三步:在尝试结束进程时,第一次选择“systemtray.exe”来结束进程树,结果进程马上就再生了,任务管理器中又显示出这两个进程!于是再次选择“internet.exe”,然后结束进程树●。进程没有再生,从而将木马进程从系统中清除。

实例三:真真假假系统进程

许多病毒和木马为避免从进程名称中发现它们的踪影,往往会采用“障眼法”,使用和系统文件或系统进程名称类似的进程名称。

1.文件名伪装

(1)修改常见程序或进程个别字符

例如,上面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”,与系统基本进程“msgsrv32.exe”类似,还有Explorer.exe和Exp1orer.exe的区别,不仔细的话你能看出来吗?(数字“1”取代了字母“l”)

(2)修改扩展名

著名的冰河木马的服务端进程为Kernel32.exe,乍一看很熟悉,好像是哪个系统进程,其实系统根本不存在这样一个文件,Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的,实际在系统中都是不存在的。

2.路径伪装

Windows目录和System目录是系统核心文件所在地,一般是“闲人免进”。因此,出入它们的文件一般都被人们认为是系统文件,而病毒和木马就借机将源文件放在这两个目录中。对于这类情况,一般只需要通过系统信息找到其源文件路径,打开文件的属性,从日期(这个非常重要,可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。

实例四:优化系统从进程开始

除系统运行必须的基本进程外,每个程序运行后都会在系统中生成进程,每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降,这时可对它们进行一下优化。

1.精简进程

系统中的一些进程并不是必须的,结束它们并不会对系统造成什么损害。

比如:internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。

有一款叫做“进程杀手”的免费小工具,具备自动精简进程功能,可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时,该软件就可以有效清除那些非法进程。不过它只适合Windows 9x/Me。下载地址。

2.杀死不良进程

有时你会发现系统运行速度特别慢,这时可打开任务管理器,单击“进程”标签,点击“CPU”列标签让进程按CPU资源占用排序,可以很明显地看到资源占用最高的程序。同样方法,可以点击“内存”列标签,查看那些内存占用大户,及时结束进程。

这里有一种情况比较特殊:在查看CPU占用率时,一个叫做“System Idle Process”的进程会一直显示在90%左右。不必担心,实际上它并没有占用这么多系统资源,单击“性能”标签可看到其实际的CPU资源占用情况。

★对于Windows 9x,使用任务管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况,推荐使用Process Explorer(下载地址)。

★如果某个16位程序影响了系统运行,而且死活也关不掉,可进入任务管理器的进程选项卡,找到NTVDM.exe进程,将其关掉即可杀掉所有16位应用程序,而不用重启。

3.优化软件或游戏性能

你还可以通过改变软件和游戏进程优先级来提高其性能,这样能使它们运行得更快,当然负作用就是可能影响到其他正在运行的进程。比如,为避免刻录缓存溢出问题造成刻录失败,可进入任务管理器的进程选项卡,找到并右击刻录软件的进程项,选择“设置优先级”,然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置,可使用下面的方法。

第一步:打开软件或游戏所在目录,比如:D:/game,在这里新建一个文本文件,在其中输入以下语句:

echo off

start /priority game.exe

说明:将priority替换为所需的CPU优先级,建议使用high(高)、abovenormal(高于标准),因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称,比如:stvoy.exe。

第二步:做完以上修改后将其保存为game.bat,现在就能通过这个文件来启动游戏或软件,而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是,该文件必须要保存在游戏或软件所在目录

如何用最简单的方法检查计算机是否中了木马病毒?

严格来讲,木马和病毒是两种概念。木马是一种载体,最终的目的是把宿主程序(一般是后门程序和病毒程序)植入目标计算机。

所以你的问题的答案应该是这样的:

对于木马程序,首先应该查看系统进程(使用windows2000/xp的任务管理器或者第三方软件)中有没有异常活动的进程,如果有,仔细检查该进程的来源。

再用工具查看windows的启动项,用winxp下的msconfig或者其他工具都可以。一般木马的入口都在这里,把可疑的启动项禁止,再次启动以确认。

使用netstat程序或者其他工具查看本机的端口开放情况,对于无法确认的开放端口,察看其监听程序是否为合法软件。

最后,可以用专用工具来查杀,比如木马防线,木马克星等工具,防病毒软件在这方面的功能比较弱,但也有一定的功效。

0条大神的评论

发表评论