怎样查看木马进程
第一步:打开任务管理器。根据和常见进程比较,很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似,但不相同):“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。
第二步:打开“系统信息”的“软件环境→正在运行任务”,查看路径信息,两者均指向WindowsSystem32目录,而且文件大小、日期均相同,但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性,虽然公司标明为Microsoft,但与系统文件中的微软公司名称书写并不相同,基本可断定是非法进程,并且为双进程模式。
第三步:在尝试结束进程时,第一次选择“systemtray.exe”来结束进程树,结果进程马上就再生了,任务管理器中又显示出这两个进程!于是再次选择“internet.exe”,然后结束进程树●。进程没有再生,从而将木马进程从系统中清除。
实例三:真真假假系统进程
许多病毒和木马为避免从进程名称中发现它们的踪影,往往会采用“障眼法”,使用和系统文件或系统进程名称类似的进程名称。
1.文件名伪装
(1)修改常见程序或进程个别字符
例如,上面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”,与系统基本进程“msgsrv32.exe”类似,还有Explorer.exe和Exp1orer.exe的区别,不仔细的话你能看出来吗?(数字“1”取代了字母“l”)
(2)修改扩展名
著名的冰河木马的服务端进程为Kernel32.exe,乍一看很熟悉,好像是哪个系统进程,其实系统根本不存在这样一个文件,Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的,实际在系统中都是不存在的。
2.路径伪装
Windows目录和System目录是系统核心文件所在地,一般是“闲人免进”。因此,出入它们的文件一般都被人们认为是系统文件,而病毒和木马就借机将源文件放在这两个目录中。对于这类情况,一般只需要通过系统信息找到其源文件路径,打开文件的属性,从日期(这个非常重要,可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。
实例四:优化系统从进程开始
除系统运行必须的基本进程外,每个程序运行后都会在系统中生成进程,每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降,这时可对它们进行一下优化。
1.精简进程
系统中的一些进程并不是必须的,结束它们并不会对系统造成什么损害。
比如:internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做“进程杀手”的免费小工具,具备自动精简进程功能,可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时,该软件就可以有效清除那些非法进程。不过它只适合Windows 9x/Me。下载地址。
2.杀死不良进程
有时你会发现系统运行速度特别慢,这时可打开任务管理器,单击“进程”标签,点击“CPU”列标签让进程按CPU资源占用排序,可以很明显地看到资源占用最高的程序。同样方法,可以点击“内存”列标签,查看那些内存占用大户,及时结束进程。
这里有一种情况比较特殊:在查看CPU占用率时,一个叫做“System Idle Process”的进程会一直显示在90%左右。不必担心,实际上它并没有占用这么多系统资源,单击“性能”标签可看到其实际的CPU资源占用情况。
★对于Windows 9x,使用任务管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况,推荐使用Process Explorer(下载地址)。
★如果某个16位程序影响了系统运行,而且死活也关不掉,可进入任务管理器的进程选项卡,找到NTVDM.exe进程,将其关掉即可杀掉所有16位应用程序,而不用重启。
3.优化软件或游戏性能
你还可以通过改变软件和游戏进程优先级来提高其性能,这样能使它们运行得更快,当然负作用就是可能影响到其他正在运行的进程。比如,为避免刻录缓存溢出问题造成刻录失败,可进入任务管理器的进程选项卡,找到并右击刻录软件的进程项,选择“设置优先级”,然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置,可使用下面的方法。
第一步:打开软件或游戏所在目录,比如:D:/game,在这里新建一个文本文件,在其中输入以下语句:
echo off
start /priority game.exe
说明:将priority替换为所需的CPU优先级,建议使用high(高)、abovenormal(高于标准),因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称,比如:stvoy.exe。
第二步:做完以上修改后将其保存为game.bat,现在就能通过这个文件来启动游戏或软件,而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是,该文件必须要保存在游戏或软件所在目录
怎样查看木马及病毒文件
木马病毒危及我们的电脑安全,那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢?下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿,瑞星,金山毒霸等。如果只是针对木马的话,也可以使用木马克星之类的软件。使用软件进行查找比较简单,只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的方法。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,如:run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中,在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组,发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。
找出手机隐藏木马怎么找?
可以通过安装安全软件来排查手机中的木马病毒。
一般来说,手机木马是否存在于你的周围,源于你平时对于网络安全的重视和警惕。
1.木马病毒具有一定的隐蔽性,因此一般来说需要使用杀毒软件或者手机自带的安全中心进行扫描。
2.任何一款杀毒软件都会因为查杀引擎,病毒库样本数量影响对未知病毒的判断,因此扫描结果只是相对的。
3.日常上网遇到陌生链接不要随便点击,下载app尽可能前往官网。
4.手机权限不要随便提供给软件,例如imei,gps定位,这些可能会影响到使用的隐私安全,特别是root,root权限相当于手机令牌,软件一旦恶意使用,手机会变得非常危险。
木马防范。
1、检测和寻找木马隐藏的位置。
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
2、防范端口。
检查计算机用到什么样的端口,正常运用的是哪些端口,而哪些端口不是正常开启的;了解计算机端口状态,哪些端口目前是连接的,特别注意这种开放是否是正常;查看当前的数据交换情况,重点注意哪些数据交换比较频繁的,是否属于正常数据交换。关闭一些不必要的端口。
0条大神的评论