L002003013-windows下手工木马检测

常见木马技术和手动检测方法所有病毒case, Symantec用户抱怨的无非两项，一是查不到病毒，二是不断的查到相同的病毒（绝大多数是木马downloader, ）。

木马是什么？是一个有恶意行为程序。

杀毒软件怎么查杀它？特征码和行为分析。

如果一个木马在技术上或者创意上做的稍微好些，我觉得杀毒软件对于已经中毒的电脑很难起到作用，经常是查到了一部分，落掉一部分，而落掉的部分又会监控、恢复被查杀的部分，造成上面所说的第二种情况，而这又一定会包含第一种情况。

木马既然是程序，恶意程序，那它运行也不免会露出蛛丝马迹，程序运行的两个必要条件—进程（模块，线程）和加载（自启动和触发）。

那我们查找木马也从这两个大的方向入手，理论上可以找出所有木马，但是这跟做数学题一样，大方法是有的，但是操作过程千变万化的。

工欲善其事，必先利其器。

首先要找几个适合自己的工具：主工具我个人喜欢用冰刃，它能干大部分的检查启动项和进程监控。

兵刃功能上的不足，利用其他的软件补充。

FileMon和RegMon可以查找针对特定文件和注册表的进程信息；ProceXP可以模块反向查找进程，也可以看出进程之间的调用关系；SSDT—Hook修复，SSDT—Inline—Hook修复工具（兵刃可以看到SSDT,但没有修复功能），但是冰刃也可以看到绝大多数的使用隐藏技术的进程和线程；SRENG可以显示进程、模块、驱动的签名（可以提高我们的效率），以及强大的自启动项检测；Symantec Process Viewer会hook住ntcreateprocess, ntcreateprocessxp, ntopenkey, ntterminateprocess四个SSDT服务函数，会监控开机到当前所有运行过的进程，能起到参考作用；TCPView可以实时查看创建连接和已经连接的端口和相应的进程；MD5计算工具；和百度。

具体方法：第一部分看进程（模块，线程）。

最笨的木马都有自己的进程，还不隐藏，还起个大家都知道的名字。

实验网络木马手工查杀（一）【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注：请在虚拟机中做杀毒实训。

3．实验步骤：一、把老师给你的木马程序，放入操作系统中。

注：双击病毒之前，请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。

三、查找生成的程序在电脑的哪些地方，并查看其开放的端口；Netstat /ano 看异常端口，再看对应的进程号（记得进行比校）Tasklist 根据上面的进程号，找到这个进程名四、利用已学的方法，在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名；五、在所有盘上查找那个进程名，然后删除之，并记住它的生成日期时间，再到所有盘上查找同一日期时间生成的文件，那些就一定是病毒的副本或“尾巴”，再将其删除。

六、再到注册表中，查找所有的病毒母体文件和副本，并删除之；若是附在正常的注册表键值路径下，只要删除病毒文件。

进注册表的方法：“运行”中输入regedit,即可进入。

七、最后再进入“启动”项，在“运行”中输入msconfig,即可进入。

在“启动“项中，查找一下，是否有病毒文件，若有的话，请将左的的勾去掉。

八、最后检测该病毒是否已查杀干净，若干净重启机器，其端口就不见了。

若刚才的病毒在正常模式或者安全模式下，不能删除，请住病毒在那些盘中及它的路径，再到纯DOS下，用DOS删除之。

一般要用到的DOS命令如下：DirCdRdDelDeleteAttribXcopyCopy注：以上操作步骤，须详细的操作步骤和文字说明并截图。

怎么查看电脑中的木马如果电脑中了木马病毒，大家知道怎样查看电脑中的木马吗?下面就让店铺教大家怎么查看电脑中的木马吧。

查看电脑木马的方法通过启动文件检测木马一旦电脑中了木马，则在电脑开机时一般都会自动加载木马文件，由于木马的隐藏性比较强，在启动后大部分木马都会更改其原来的文件名。

如果用户对电脑的启动文件非常熟悉，则可以从Windows系统自动加载文件中分析木马的存在并清除木马，这种方式是最有效、最直接的检测木马方式。

但是，由于木马自动加载的方法和存放的文职比较多，这种方法对于不太懂电脑的人来说比较有难度由于木马也是一个应用程序，一旦运行，就会在电脑系统的内存中驻留进程。

因此，我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程在Windows系统中，按下【Ctrl+Alt+Delete】组合键，打开【Windows任务管理器】窗口，选择【进程】选项卡，查看列表中是否存在可以的木马程序。

如果存在可疑进程，选中此进程并右击，从弹出的快捷菜单中选择【结束进程】即可结束词进程。

【Windows进程管理器】的主界面看下面的图在列表中选择其中一个进程选项之后，单击【描述】按钮，即可看到该进程的详细信息在进程列表中右击某个进程在其中可以对进程进行结束、暂停、查看属性、删除文件等操作。

木马的运行通常是通过网络连接实现的，因此，用户可以通过分析网络连接来推测木马是否存在，最简单的办法是利用Windows自带的Netstat命令。

选择“开始”-“运行”菜单项，打开“运行”对话框，单击“确定”按钮，打开“命令提示符”窗口。

在“命令提示符”窗口中输入“netstat -a”，按“Enter”键，在其运行结果中查看有哪些可以的运行程序来判断木马文件。

检查电脑是否中木马病毒方法
方法/步骤1
在开始菜单处输入“cmd”，打出命令“netstat -an” 查看是否有木马监听的端口。

任务栏上右键，点击“启动任务管理器”，检查有哪些类似病毒的服务开启了。

如果
存在可疑的，就右键停止服务
运行“regedit”命令，在注册表中如图三种目录下均找到run文件夹里是否隐藏有
木马的键值。

同样以“cmd”方式进入命令行，打出“net user”找到administrator以外的用户名，“net user 该用户名”看看本地成员组是否也属于administrators组，如果是，说
明很有可能该用户是木马侵入时留的账号。

以上四种方式均是手动检查木马病毒，还有就是通常使用工具查杀病毒，这里就不一
一赘述了。

可以找卡巴斯基，360等木马查杀工具。

感谢您的阅读，祝您生活愉快。

如何利用系统自带命令搞定手工杀毒如何利用系统自带命令搞定手工杀毒电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

电脑用户最害怕的就是一些病毒，虽然我们的电脑上安装有各种的杀毒软件，但是也抵制不了病毒的恶性侵入，下面小编教你如何自己亲自动手来用系统自带的工具绞杀病毒，快来看看吧方法步骤一、自己动手前，切记有备无患——用T askList备份系统进程新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

在命令提示符下输入：TaskList /fo:csv>g:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.二、自己动手时，必须火眼金睛——用FC比较进程列表文件如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

进入命令提示符下，输入下列命令：TaskList /fo:csv>g:yc.csv生成一个当前进程的yc.csv文件列表，然后输入：FC g:\\zccsv g:\\yc.csy回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

三、进行判断时，切记证据确凿——用Netstat查看开放端口对这样的可疑进程，如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符下输入：Netstat -a-n-o参数含义如下：a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o：以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程，这里一个PID 为1756(以此为例)的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接!连接参数含义如下：LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

一·手工查杀病毒木马你的电脑安全吗？你的电脑可以防黑吗？在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件；另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的。

现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。

首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。

因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。

那么我们就要找到病毒。

这时我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并在“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。

如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。

如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。

电脑中是否已被安装了木马的简单检测方法2009年07月10日星期五 15:06众所周知，木马从来都以它的隐蔽性让人防不胜防，更不易让人察觉的。

对于刚刚接触电脑不久的人来说，尤其是当手头上还没有完善的工具来检测它们的时候。

其实，我们不妨可以先用一些基本的命令就可以查出电脑是否中了木马，这样可以在保护网络安全上起到很大的作用。

现在，笔者就教给大家三个简单的检测方法。

一、检测网络连接如果我们怀疑自己的电脑上可能已经被别人安装了木马，或者是中了病毒，但是到底是不是真有这样的事情发生呢？这时我们完全可以使用Windows自带的网络命令来看看都有谁目前在连接我们的计算机。

方法就是在命令行下输入“netstat -an”这个命令就能看到所有和本地计算机建立连接的IP，当我们运行这个命令后，DOS窗口内显示出来的内容主要包含以下四个部分:Proto(连接方式)、Local Address(本地连接地址)、Foreign Address(和本地建立连接的地址)、State(当前端口状态)。

其中State(当前端口状态)下面一般显示有:LISTENING(侦听或监听)、ESTABLISHED(已连接)、CLOSE_WAIT(关闭等待)、TIME_WAIT(时间等待)、SYN_SENT(同步传送)、LAST_ACK(最后确认)。

通过“netstat -an”这个命令所显示出来的详细信息，我们就可以完全监控电脑上的所有和本地计算机建立连接的IP，让我们看到目前都有谁在连接我们的计算机，具体哪些是我们自己开启的连接，哪些是我们不请自来而非法访问的，从而来达到安全控制计算机的目的。

二、停用不明服务当我们在某一天系统重新启动后，却突然发现电脑速度明显变慢了，不管怎么优化都还是慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵我们的计算机后给开放了特别的某种服务，比如IIS 信息服务等，这样我们的杀毒软件是查不出来的。

但是我们先别着急，可以通过“net start”这个命令来查看系统中究竟都有哪些服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地来停止这个服务了。