教你清除系统中各类型木马绝招

黑客入侵后要做的事就是上传木马后门，为了可以或许让上传的木马不被发明，他们会想尽各种要领对其举办伪装。而作为被害者，我们又该怎样看破伪装，将体系中的木马完好破除去呢！

一、文件绑缚检测

将木马绑缚在正常措施中，一向是木马伪装进攻的一种常用本领。下面我们就看看怎样才气检测出文件中绑缚的木马。

1.MT绑缚克星

文件中只要绑缚了木马，那么其文件头特性码必然会示意出必然的纪律，而MT绑缚克星正是通过说明措施的文件头特性码来判定的。措施运行后，我们只要单击“赏识”按钮，选择必要举办检测的文件，然后单击主界面上的“说明”按钮，这样措施就会自动对添加进来的文件举办说明。此时，我们只要查察说明功效中可执行的头部数，假若有两个或更多的可执行文件头部，那么声名此文件必然是被绑缚过的！

2.揪出绑缚在措施中的木马

光检测出了文件中绑缚了木马是远远不足的，还必需请出“Fearless Bound File Detector”这样的“奸细”来破除个中的木马。

措施运行后会起主要求选择必要检测的措施或文件，然后单击主界面中的“Process”按钮，说明完毕再单击“Clean File”按钮，在弹出告诫对话框中单击“是”按钮确认破除措施中被绑缚的木马。

二、破除DLL类后门

相对文件绑缚运行，DLL插入类的木马显的越发高级，具有无历程，不初步口等特点，一样平常人很难觉察。因此破除的步调也相对伟大一点。

1.竣事木马历程

因为该范例的木马是嵌入在其余历程之中的，自己在历程查察器中并不会天生详细的项目，对此我们假如发明本身体系呈现非常时，则必要判定是否中了DLL木马。

在这里我们借助的是IceSword器材，运行该措施后会自动检测体系正在运行的历程，右击可疑的历程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查察全部DLL模块，这时假如发明有泉源不明的项目就可以将其选中，然后单击“卸载”按钮将其从历程中删除。对付一些较量顽固的历程，我们还将个中，单击“强行扫除”按钮，然后再通过“模块文件名”栏中的地点，直接到其文件夹中将其删除。

2.查找可疑DLL模块

因为一样平常用户对dll文件的挪用环境并不认识，因此很难判定出哪个DLL模块是不是可疑的。这样ECQ-PS（超等历程王）即可派上用场。

运行软件后即可在中间的列表中可以看到当前体系中的全部历程，双击个中的某个历程后，可以在下面窗口的“所有模块”标签中，即可表现具体的信息，包罗模块名称、版本和厂商，以及建设的时刻等。个中的厂商和建设时刻信息较量重要，假如是一个体系要害历程如“svchost.exe”，功效挪用的却是一个不知名的厂商的模块，那该模块一定是有题目的。其它假如厂商固然是微软的，但建设时刻却与其余的DLL模块时刻差异，那么也也许是DLL木马。

其它我们也可以直接切换到“可疑模块”选项，软件会自动扫描模块中的可疑文件，并在列表中表现出来。双击扫描功效列表中的可疑DLL模块，可看到挪用此模块的历程。一样平常每一个DLL文件都有多个历程会挪用，假如挪用此DLL文件的仅仅是此一个历程，也也许是DLL木马。点击“强进删除”按钮，即可将DLL木马从历程中删除去。

三、彻底的Rootkit检测

谁都不行能时时候刻对体系中的端口、注册表、文件、处事举办挨个的搜查，看是否潜匿木马。这时辰我可以行使一些非凡的器材举办检测。

1.Rootkit Detector破除Rootkit

Rootkit Detector是一个Rootkit检测和破除器材，可以检测出多个Windows下的Rootkit 个中包罗台甫鼎鼎的hxdef.100。 行使要领很简朴，在呼吁行下直接运行措施名“rkdetector.exe”即可。措施运行后将会自动完成一辖档托潜匿项目检测，查找出体系中正在运行的Rootkit措施及处事，以赤色作出标志提示，并实行将它破除去。

2.强盛的Knlps

对比之下，Knlps的成果更为强盛一些，它可以指定竣事正在运行的Rootkit措施。行使时在呼吁行下输入“knlps.exe -l”呼吁，将表现体系中全部潜匿的Rootkit历程及响应的历程PID号。找到Rootkit历程后，可以行使“-k”参数举办删除。譬喻已找到了“svch0st.exe”的历程，及PID号为“3908”，可以输入呼吁“knlps.exe -k 3908”将历程中止掉。

四、克隆帐号的检测

严酷意义上来说，它已经不是后门木马了。可是他同样是在体系中成立了打点员权限的账号，可是我们查察的却是Guest组的成员，很是轻易麻木打点员。

在这里为各人先容一款新的帐号克隆检测器材LP_Check，它可以明查秋毫的搜查出体系中的克隆用户！

LP_Check的行使极其简朴，措施运行后会对注册表及“帐号打点器”中的用户帐号和权限举办比拟检测，可以看到措施检测出了适才Guest帐号有题目，并在列表中以赤色三角标记重点标志出来，这时我们就可以打开用户打点窗口将其删除了。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!