木马的手工查杀.ppt

木马的手工查杀.ppt

ID:51622931

大小:74.50 KB

页数:11页

时间:2020-03-26

木马的手工查杀.ppt_第1页
木马的手工查杀.ppt_第2页
木马的手工查杀.ppt_第3页
木马的手工查杀.ppt_第4页
木马的手工查杀.ppt_第5页
资源描述:

《木马的手工查杀.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、木马的手工查杀(冰河为例)木马冰河工作原理服务器端(G_Server.exe注:先不要运行)运行于被攻击主机,打开端口,监听来自客户端(攻击者主机运行G_Cilent.exe)的连接。通常发现计算机有异常的话(经常自动重启动,密码丢失,桌面不正常时),就该考虑是否中了木马。1、在命令行(开始-运行-cmd.exe)下利用命令ipconfig/all可以查看主机TCP/IP协议的设置。2、没有运行G_Server.exe前,在命令行下输入命令netstat-an查看本机的端口工作情况。3、运行G_Server.exe,再用上述命令查看端口情况

2、(检查有哪个端口被G_Server.exe打开),比较2次查看结果,发现端口7626处于listening状态。4、利用命令netstat-anb发现该端口的宿主,也就是说开放的端口是由那些进程打开的。通过查看,发现该端口是由进程Kernel32.exe打开。该文件命名和系统文件Kernel32.dll类似(木马通常命名类似系统文件)。5、该进程是否存在问题?搜索找到该文件,发现该文件在目录中,查看属性,从版本信息中说明是Microsoft的系统文件,是否是合法?在开始-运行中输入sigverif来检查该文件所在目录,是否能通过文件签名验证

3、。6、通过检查,发现该文件不能通过完整性检查,未经过数字签名,存在问题,同时发现另一个和该文件修改时间相同的一个文件sysexplr.exe同样也是没有通过数字签名。7、上述2个文件正是冰河的两个可执行文件。8、删除,开始-运行中输入regedit打开注册表,打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoftWndowsCurrentVersionRun,发现目录中有一个默认的键值和上述的一个文件关联,删除。9、打开子键目录HKEY_LOCAL_MACHINESOFTWAREMicrosoft

4、WndowsCurrentVersionRunservices,也有一个默认的键值和上述的一个文件关联,删除。10、进入该文件所在目录,删除。11、修改文件关联也是木马的常用手段,冰河将TXT文件的打开方式由notepad.exe默认的键值和上述的一个文件关联改为木马的启动程序。进入注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值改回到notepad.exe即可。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。