木馬因為隱藏性高、危害性強而被人們所深惡痛絕。其實,木馬從本質上來說是一種應用程式,利用該程式可以輕鬆將中了木馬的計算機玩弄於股掌之中。由此可見,木馬要發生作用,必須有一個前提就是必須使用者執行木馬的服務端程式。當然,這種執行使用者自己肯定不會主動進行,那麼種木馬者就必須想方設法,做到讓木馬能夠自動執行。基於這樣的道理,八哥網(和大家一起排查,找出木馬的藏身之處。
步驟/方法
一、整合到程式中
由於使用者一般不會主動執行木馬程式,而種木馬者為了吸引使用者執行,他們會將木馬檔案和其它應用程式進行捆綁,使用者看到的只是正常的程式。但是你一旦執行之後,不僅該正常的程式執行,而且捆綁在一起的木馬程式也會在後臺偷偷執行。這種隱藏在其它應用程式之中的木馬危害比較大,而且不容易發現。如果捆綁到系統檔案中,那麼則會隨Windows啟動而執行。不過只要我們安裝個人防火牆或者啟用Windows XP SP2中的Windows防火牆,那麼在木馬服務端試圖連接種木馬的客戶端時,則會詢問是否放行,據此即可判斷出自己有無中木馬。
二、隱藏在媒體檔案中
這種型別嚴格上說,使用者還沒有中木馬。不過它的危害容易被人忽略。通過八哥網的調查發現,大家對影音檔案的警惕性不高。它的常用手段是在媒體檔案中插入一段程式碼,程式碼中包含了一個網址,當播放到指定時間時即會自動訪問該網址,而該網址所指頁面的內容卻是一些網頁木馬或其它危害。因此,當我們在播放網上下載的影片時,如果發現突然打開了視窗,那麼切不可好奇而應將其立即關閉,然後跳過該時間段影片的播放。
三、隱藏在System.ini
System.ini中也是我們找出木馬藏身之地的一個絕佳地方。執行“msconfig”開啟系統配置實用程式,切換到“SYSTEM.INI”標籤,也可以直接開啟Windows安裝目錄下的System.ini檔案,然後檢視[boot]區域中“shell=”這一行,如果顯示“shell=Explorer.exe”,則表示正常。如果是其它內容,那麼則說明可能中木馬了。其次在[386Enh]區域,同樣要檢查“driver=路徑\程式名”,如果發現有來歷不明的檔名那麼也可能是木馬。
四、隱藏在Win.ini
與System.ini相似,Win.ini中也是木馬喜歡載入的一個地方。對此我們可以開啟系統目錄下的Win.ini檔案,然後檢視[Windows]區域“load=”和“run=”,正常情況下它們後面應該是空白,如果你發現它們後面加了某個程式,那麼載入的程式則可能是木馬,需要將它們刪除。
五、隱藏在Autoexec.bat
在C盤根目錄下有一個Autoexec.bat檔案,這裡的內容將會在系統啟動時自動執行。與該檔案類似的還有Config.sys。因為它自動執行,因此也成為木馬的一個藏身之地。對此我們同樣需要開啟這兩個檔案,檢查裡面是否載入了來歷不明的程式在執行。
六、工作管理員
部分木馬執行後我們可以在工作管理員中找出它的蹤跡。在工作列上右擊,在彈出的選單中選擇“工作管理員”,將開啟的視窗切換到“程序”標籤,在這裡檢視有沒有佔用較多資源的程序,有沒有不熟悉的程序。若有,可以先試著將它們關閉。另外要特別注意Explorer.exe這類程序,因為很多木馬會使用Exp1orer.exe程序名,即把l換成1,使用者不仔細檢視,還以為是系統程序呢。
七、啟動
在Windows XP中,我們可以執行“msconfig”,將開啟的視窗切換到“啟動”標籤,在這裡可以看到所有啟動載入的專案,此時就可以根據“命令”和“位置”來判斷是啟動載入的是否為木馬。如果判斷為木馬則可以將其啟動取消,然後再作進一步的處理。
八、登錄檔
我們程式的執行控制大多是由登錄檔控制的,因此我們有必要對登錄檔進行檢查。執行“regedit”開啟登錄檔編輯器,然後依次檢查如下區域:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看這三個區域下所有以“run”開頭的鍵值,如果鍵值的內容指向一些隱藏的檔案或自己從未安裝過的程式,那麼這些則很可能是木馬了。
木馬之所以能夠為非作歹,正是因為其善於隱藏自己。不過我們掌握了其藏身之處,那麼則可以將其一一清除。當然,木馬在實際的偽裝隱藏自己中,可能會綜合使用上面一種或幾種方法來偽裝,這就需要我們在檢查清除時,不能只檢查其中的部分地點。