欢迎来到天天文库
浏览记录
ID:51622931
大小:74.50 KB
页数:11页
时间:2020-03-26
《木马的手工查杀.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、木马的手工查杀(冰河为例)木马冰河工作原理服务器端(G_Server.exe注:先不要运行)运行于被攻击主机,打开端口,监听来自客户端(攻击者主机运行G_Cilent.exe)的连接。通常发现计算机有异常的话(经常自动重启动,密码丢失,桌面不正常时),就该考虑是否中了木马。1、在命令行(开始-运行-cmd.exe)下利用命令ipconfig/all可以查看主机TCP/IP协议的设置。2、没有运行G_Server.exe前,在命令行下输入命令netstat-an查看本机的端口工作情况。3、运行G_Server.exe,再用上述命令查看端口情况
2、(检查有哪个端口被G_Server.exe打开),比较2次查看结果,发现端口7626处于listening状态。4、利用命令netstat-anb发现该端口的宿主,也就是说开放的端口是由那些进程打开的。通过查看,发现该端口是由进程Kernel32.exe打开。该文件命名和系统文件Kernel32.dll类似(木马通常命名类似系统文件)。5、该进程是否存在问题?搜索找到该文件,发现该文件在目录中,查看属性,从版本信息中说明是Microsoft的系统文件,是否是合法?在开始-运行中输入sigverif来检查该文件所在目录,是否能通过文件签名验证
3、。6、通过检查,发现该文件不能通过完整性检查,未经过数字签名,存在问题,同时发现另一个和该文件修改时间相同的一个文件sysexplr.exe同样也是没有通过数字签名。7、上述2个文件正是冰河的两个可执行文件。8、删除,开始-运行中输入regedit打开注册表,打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWndowsCurrentVersionRun,发现目录中有一个默认的键值和上述的一个文件关联,删除。9、打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoft
4、WndowsCurrentVersionRunservices,也有一个默认的键值和上述的一个文件关联,删除。10、进入该文件所在目录,删除。11、修改文件关联也是木马的常用手段,冰河将TXT文件的打开方式由notepad.exe默认的键值和上述的一个文件关联改为木马的启动程序。进入注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值改回到notepad.exe即可。
此文档下载收益归作者所有