木马查杀图解攻略

huxiqiuzhen

这里只说“木马”查杀，但实际上当然不仅仅是木马，所有在我们的计算机中不请自来的东东，都是我们查杀的对像。

仅仅是“查”和“杀”么？当然也不是，还包括了“防”，不让木马进来才是正道。

还要再明确一点，手工查杀，指的是不依赖于自动化程序，比如“杀毒软件”，自己动手来找到并清除木马。

学会手工查杀有什么用处么？

当然有用，首先，自己的机器可以更安全更干净，自己可以通过手工查杀而学到更多的知识，更透彻的了解系统，不再是知其然而不知其所以然的任人摆步；第二，为朋友修机器时可以更自由更风光，要知道并不是每台机器上都装有杀毒软件的，而且如果杀毒软件可以查杀，还用我们做什么呢？ 难道那么傻瓜化的操作朋友们不会么？还用得着找我们？

这次的文章是在上一篇“图文详解高级木马的自我保护与查杀之策”的基础上，听取了大家的意见后，总结完善后而写的。

相信会老少皆宜，不仅超级菜鸟能看懂，对专业人士也有参考价值。

主要会写到以下几点：

１、如何在不依赖任何工具的情况下，纯粹依*系统自带的一些功能来查杀木马。 （假设朋友机器上什么工具都没装）

２、借用专用工具查杀木马

３、消除系统本身固有的安全隐患，减少被种木马的可能性

４、借助安全工具，堵住木马进入的通道。

此次，我们仍然以CNNIC为例，因为，实在找不到一个比它更恰当的程序了，它几乎用遍了当前流行的各种木马保护技术。（当然了，用木马技术并不代表就是木马，这两码事儿）

首先，我们先看看，如何完全依*系统功能查杀木马。也就是说，在没有任何工具的前提下，如何进行木马的检查与清除。

检查木马首先要检查的就是自启动项与进程。

先进行一下扫盲：

自启动项，是指：不用你动手运行，每次开机就可以使某一程序自动运行的地方（项）

进程：是指当前系统中正在运行的程序（当然了，意思是这个意思，大家明白就行，其实进程严格来说不应该这么解释）

怎么检查进程呢？

在任务栏上按鼠标右键，选择“任务管理器”，或者同时按下“Ctrl Alt Delete”三个键，就会打开如图一所示的任务管理器，里面所显示的就是当前正在运行的程序。

1.gif (21.34 KB)
2007-7-29 00:49



上面列出的就是当前计算机中正在运行的程序，为什么我把cdnup.exe用圈起来呢？因为这就是一个可疑的进程，为什么可疑呢？说实话，偶只能说看着眼生，因为用系统自带的工具来查看，实在也没有什么好的办法来认定一个程序是否可疑。只能凭借经验，当然了，如果条件许可，最好还是用专业工具来检查，后面我们会说如何用专业工具来查看，那会容易的多。

一般情况下选中某一进程，点击右下角的“结束进程”，就可以结束它的运行了。（我们先说检查，后面再讲清除）

对于计算机知识不是太了解的朋友，就应该平时多看看这里面的东西，多熟悉正常情况下是什么样子的，那么，再有新的进程进来，你也能一眼就瞄出来了。

当然，你肯定并没有主动去运行这个cdnup.exe，（主动运行就是指，你用鼠标双击某一程序使它运行起来。）那它是怎么运行起来的呢？这就是我们接着要检查的东西了“自启动项”，听名字就知道，自动运行的项目嘛～即然我们没有主动运行，它就运行了，那肯定是在自启动项里面了。
如何查看自启动项呢？

单击“开始”（屏幕右下角的那个）选择“运行”，在打开后面的框中输入“msconfig.exe”，再按“确定”会打开如下图所示的一个窗口：

2.gif (48.45 KB)
2007-7-29 00:56



看到倒数第二个启动项没有？是不是正是cdnup呢？正是我们上面在任务管理器看到的进程，在这里能看到它，就明白它是如何启动的了吧。

可疑进程与可疑的启动项都找到了，是不是清掉这两个我们的机器就干净了呢？我们先对比一下儿，看看用专业工具找到的自启动项都是哪些～


3.JPG (58.2 KB)
2007-7-29 00:56



汗～～是１５个，即使去掉那个网页文件也还有１４个，而我们只找到了一个，看来，只从任务管理器中与系统配置程序中找是不行的～～那么其它的几项又如何查找呢？难道非要依赖于专业工具么？（请牢记上图中的几个启动文件，我们会面将以寻找它们为主）

是不是有朋友想到要看“系统配置实用程序”中“服务”那一项了？就像图片上我标注的一样，那里是不会显示驱动的，所以，在那里不会找到CNNIC的启动项。但平时也应该看一看，因为有些木马的确是以服务形式存在的。

那应该在哪里找到剩下的呢？驱动文件又应该在哪里查找呢？

驱动文件自然有驱动文件的专用地盘，在桌面上“我的电脑”上面按鼠标右键，选择“属性”，在属性页上面选“硬件”，再选“设备管理器”，会打开如下图所示的一个窗口：

4.gif (40.07 KB)
2007-7-29 00:56



就像图中所示一样，我们需要先在“查看”里面，把“显示隐藏的设备”勾选上，才能看到“非即插即用驱动程序”。

看到没有？cdnprot　这个究竟是不是尼？双击它，会得到如下图左半边一样的窗口：

5.gif (44.65 KB)
2007-7-29 00:56



再点击“驱动程序详细信息”，会打开如上图右半边一样的窗口，看到没，文件、提供商、版权全在这里呢。可以做为依据来做个大概的判断。当然了，是不能完全依赖于这个信息的，因为这些信息全是自驱动文件里提取的，而驱动文件的开发者，想提供什么信息，这里就会显示什么信息，你说能当准么？

这里是停止驱动的一个机会，当然了，如果驱动的开发者给了你停止机会的话，在这里是可以停止它的，但是如果它不想被停止，那是无法停止的。因为驱动是特权程序，它的权力跟系统一样大，系统也拿它没办法～　-_-!

那应该怎么去掉它呢？我们先讲检查，
如何清除后面再说。

这样的确可以看到一些驱动，但你找一找再与专业工具查找的结果比一比看，是不是只找到了cndprot一个驱动？ 那其它的几个驱动又在哪里呢？
呵呵，当然还有地方可查。

单击“开始”－》选择“所有程序”－》选择“附件”－》选择“系统工具”－》选择“系统信息”，单击它会打开如下图所示的窗口：

6.gif (80.79 KB)
2007-7-29 01:02



在左边，单击“软件环境”前面的小加号，会找开子菜单，选择“系统驱动程序”会看到左边的内容：是不是有很多驱动的信息啊？找一找看，能找到几个？是不是仍然有一个找不到啊～那就对了，那就是CNNIC的影子驱动，如何找到它我们后面再说。

先看看驱动的详细信息，注意最后一列“接受停止”下面有一堆的是与否，是不是有点明白了？这里如果是“是”那证明这个驱动是接受停止操作的，那你就可以在上面我们说过的设备管理器中“停止”它。如果是否，嘿，就不用试了，你是停不掉的。

在左边，还有一个“加载的模块”，单击它，会在右边显示上图中下半部分的内容。

注意找找看，是不是有我们要找的剩余的几个DLL文件啊？这证明那几个DLL模块已经被加载了。

找是找到了，也知道它加载了，但如何去掉它呢？

我们再看下面这个图：

7.gif (59.56 KB)
2007-7-29 01:02



这个窗口是如何得到的呢？

在桌面上右键单击“Internet Explorer”（就是一个大e字的）选择“属性”，在属性页上面选择“程序”，在程序页面中单击“管理加载项”，就会打开上面的窗口了。

看后面的几个DLL文件，是不是正是我们要找的那几个呢？在这里是可以选择“禁用”它们的。

到这里，我们把大部分启动项都找到了。但仔细算一算，还有几个是没有找到的，剩下几个怎么办呢？

很遗憾的告诉大家，剩下的几个，系统并没有提供直接操作的工具，只能通过直接操作注册表的办法来寻找了，但有一点是需要说明的，直接操作注册表风险很大，一旦误删很有可能会导至系统无法启动，造成重大损失，所以，请一定慎重！

单击“开始”选择“运行”在输入框中输入“regedit.exe”,点确定，就可以找开注册表了，绝大多数自启动项，都可以在注册表中找出，但注册表是一个宠大的数据体，其中可以自动运行程序的地方有很多，看下图：

9.JPG (71.07 KB)
2007-7-29 01:02



注意下面状态栏中间的那个数字“594”，这代表什么呢？这代表在系统中找到了５９４个启动项，这还是比较干净的系统呢，如果是一个长时间不清理的系统，很容易就到９００以上了。

在右边的显示框中，看到中间的一列没？上面写着“注册键”的，那就是此启动项在注册表中的位置，右键单击此项，选择“定位”就可以直接打开注册表，并定位到相关位置了，这跟我们在运行中输入“Regedit.exe”打开注册表编辑器，再打开相应的键是一样的，要想手工操作注册表，就要明白常用的启动项都在什么位置，可以借助专业启动项扫描工具的注册表定位功能，来熟悉相应启动项的位置，以后，手边没有工具时，就可以手动打开注册表，手动找到相应位置，再手动清除了。

至此，完全依*系统自带工具来实现木马的查找与清除就讲完了，但这样的查杀，显然是万不得已的情况下才采用的，因为这样只能查杀一般的木马，而且需要实施检查的人对系统有一定的了解，能够判断哪些进程与哪些文件是非系统的。所以，要想准确快速的找到可疑程序，发现并清除真正顽固的木马，只有使用专业工具，才是最简单最省事儿的。
中间几章就不贴了
转自 狙剑安全论坛

pan46709394

好全面啊，慢慢学习！！

dianshixs

不错!

成吉思汗

文中楼主用的是什么工具了，看样子不错，列的很详细