相信大家已经被病毒木马折磨的很痛苦了,有的机器也装了正版杀毒软件,也升级到了最新病毒库,可是明明机器里有木马它就是认不出来,郁闷死你。本人用的电脑没装任何杀毒工具,算是“裸奔”吧,^_-。但是我的机器一直很安全,几乎没中什么病毒木马,很多朋友都很好奇为什么,我今天就给大家支几招。 声明:我的这个教程需要一定计算机基础 首先我要先说下所需要的必要前提,系统必须为WIN2000/XP/2003以上版本,也就是说只要支持NTFS磁盘系统的操作系统我的方法都是适用的。(你还在用WIN95/98?默哀吧,我帮不了你了) 原理:木马工作启动运行原理 大部分病毒木马运行的方式无非是自动在系统启动项目里加上他们对应的启动文件,那么只要去掉自动启动项目就可以了,稍微高级点的会会时时检测启动项目是否被更改,如果发现被更改则立即改回去,所以简单去掉启动项目就有点力不从心了。更变态的一些是同时运行多个木马程序,并且自动在硬盘里生成多个复制品或者变种,并且相互关联。 上面说了木马的常规运行方式,所以用常规方法很难清理掉他们,例如知道哪个是木马,删除它,没有用的,它会自动生成一个。为什么,既然是木马,它肯定要保护自己,所以也一定会在内存中驻留,一旦检测到文件被删除会立即重新建立一个。有会员说了,那我从注册表或者通过运行MSCONFIG重新配置系统启动文件不就可以不启动了吗?事实上基本是不可行的,因为木马还会检测启动项目是否被更改,如果发现被更改了注册表中的启动项目会重新建立对应的项目。有会员又说了,我有杀毒软件,更新最新的病毒库,然后再杀毒。哎,事实没这么简单,N多的杀毒软件都号称自己如何如何强,可事实上有些木马放它跟前他也不认识,原因是木马大部分都很会伪装自己,第二现在木马太泛滥了,杀毒软件病毒库总不可能这么全。 说到这里你是不是已经这样了 -_-! 呵呵,解决的办法是有的,看下面的方案。 方案:所有可以执行的文件都有一个共同特点,就是需要运行权限才能执行,病毒木马也是一样,需要这个基本条件才可以,那么我们破坏他们的运行前提就可以了,不允许他们运行。感谢微软吧,给我们带了NTFS磁盘系统(虽然同时该诅咒这个家伙生产的系统这么多漏洞)。NTFS最大的优点就是安全,支持大文件。安全主要体现在磁盘可以设置用户权限,通过这个权限可以设置应用程序的权限,例如:写入,读取,运行,浏览,修改等。这个是什么意思?意思就是如果给你一个正确的应用程序却不给任何执行权限,那么你的这个程序除了占用磁盘空间外没任何价值。 呵呵,心动要开始了吧,不过还是先来点基础知识,
首先来上张图告诉你什么加NTFS,在我的电脑里选择磁盘,并且点右键选择属性 
注意看文件系统后面是什么,如果是NTFS字样,恭喜你,可以继续往下看了,如果不是(常见的可能是FAT/FAT32)那么需要先转换磁盘格式,后面讲如何转换格式。 然后再来个图告诉你什么是权限,上面的图片选项主菜单中有安全这个项目,点这个就可以看到下图。(注意:WIN XP默认是不启动这个服务的,所以选项没有安全这个项目,可以通过第三个图来开启这个项目,稍后讲,另外WIN XP HOME版本也不支持这个功能) 
通过上面的图我们可以看到组或用户名称里有一些用户名和组名,(我的机器做过处理,所以你们看的时候会比我的多一些用户) 选中对应的用户,下面的权限就会有该用户对当前磁盘的权限。 |
|
| 作者:≌叮叮当当≌ 回复日期:2006-8-31 3:49:57 轻松解决木马程序 |
OK,现在我们知道什么是权限了,那么什么文件是木马病毒程序这就需要一些计算机基础和经验了,首先如果你发现你的机器异常的变慢,什么也没运行的时候CPU占用率很高,甚至到了100%,那么极可能是有病毒了 CPU占用查看方法WIN2000/2003同时按CRTL+ALT+DEL,然后选任务管理器,XP系统之间按CRTL+ALT+DEL就出来了,点性能就可以看到一个曲线图。其中CPU使用就是当前CPU工作的情况,下面的PF使用就是内存的占用情况。通常一个什么程序没也启动干净的系统,CPU占用在刚启动系统后不打开其他程序的状态下占用不超过10%,一般是0~3%。 内存要看系统和所装的驱动,WIN2000占用最少,其次是XP,2003最多一般情况分别是100,120,130MB。如果启动后发现CPU和内容占用比这个多一些一般也是正常的,毕竟大家的机器,装系统的时候还会装一些软件,有些软件会自动启动,所以会占用部分资源。 如果说与我所描述的数字相差太多,尤其是CPU接近100%(偶尔的100%是正常)CPU的曲线图基本是个100%直线,那么基本上可以断定这个机器有问题了。 这个时候选进程, 里面会列出系统正在运行的程序,已经是哪个用户启动的,CPU/内存占用情况,例如图3
(注意:看这个前最好关闭你所有的程序,包括浏览器,qq,播放器等等,方便识别不正常的程序) 
点上面的CPU选项,会按CPU占用多少来排列正在运行的程序,如果你发现那个程序占用了100%CPU,那么基本上可以断定那个程序是有问题的了,用户名为SYSTEM的映象名为SYSTEM IDLE PROCESS是个例外,这个是代表还有多少空闲CPU处理能力,不是占用多少,这个进程100%是正常的。 [此帖子已被 ≌叮叮当当≌ 在 2006-8-31 4:02:19 编辑过] |
|
| 作者:≌叮叮当当≌ 回复日期:2006-8-31 4:23:23 轻松解决木马程序 |
另外系统还会有一些自动启动的项目,WIN XP/2003可以点开始,选运行,输入MSCONFIG然后回车打开系统的系统配置实用程序来检查随机器启动的项目有哪些,以及对应的路径和服务。  如图所示,小筐里有对号的代表随机器启动而启动,大部分的木马启动的时候就会再这里加上。 上面是我的机器截图,我默认启动的只有两个项目,一个是输入法,一个是显示卡的驱动,对于大家如果怀疑的机器有问题,不妨可以把输入法外的所有项目全去掉,然后重新启动,如果是木马一般会自动加上对应的启动项目(有些正常程序也会这样,不过即使是这样,也缩小了怀疑对象的范围),然后根据后面显示的路径看看那些自动加上的项目程序所在的位置,看看是不是恶意程序,这些程序通常喜欢把自己放系统的目录里,甚至取和系统相同或者相似的程序名,所以要注意甄别,例如SVCHOST.EXE这个系统进程,经常有木马用SVCH0ST.EXE。通常木马会在系统所在盘,一般是C盘,常见目录有WINNT WINDOWS 以及这两个目录下的SYSTEM32等。 检查这些文件的启动项目微软自己带的这些程序很方便,不过也有不足,例如启动项目,有些非常规的启动从MSCONFIG里是看不出来的,那么就需要借助第三方更专业的程序了检查了。这些程序可以从月影的小软件下载频道下载,这些小东西帮了我大忙了,呵呵,我收集的这些小东西都是绿色软件,不需要安装,下载后解压缩就可以直接用。频道里收集的软件不多,单每个都很实用。 地址:http://bbsmoon.com/down.asp |
|
| 作者:≌叮叮当当≌ 回复日期:2006-8-31 4:25:06 轻松解决木马程序 |
未完待续.... 好困,打了一晚上字了,我用拼音打的好慢,先去睡觉了,有空写。大家有兴趣的可以发表自己的意见。 |
|
| 作者:傻傻224116 回复日期:2006-8-31 9:05:50 轻松解决木马程序 |
今天刚上QQ就中木马,不过金山米反应,嘿嘿,还以为是我太敏感了, 今年了月影论坛,就看见你滴文章,进来看下, 估计我今天90%是中了...诅咒那家伙.. 55555~~ 啊有撒简单的法子,你说滴都听不懂~~~ 呵呵,沙发做了 |
|
| 作者:流金沙漠 回复日期:2006-8-31 9:29:42 轻松解决木马程序 |
|
| 作者:傻傻啲猫猫 回复日期:2006-8-31 10:43:17 轻松解决木马程序 |
|
| 作者:249719099 回复日期:2006-9-1 23:32:08 轻松解决木马程序 |
|
| 作者:helen猪 回复日期:2006-9-3 9:33:10 轻松解决木马程序 |
|
| 作者:因你而美丽 回复日期:2006-9-12 1:58:41 轻松解决木马程序 |
嘿 丁当不耐烦了,经常被我打扰。
现在我学会一样东西了,电脑有什么问题先自己上网去搜索看能不能找到解决的办法(多数在网上会有人遇上同样的问题,所以会有方法的),就这样摆弄它,如果真的不小心弄坏了系统大不了重装(哈~所以啊,我要先学会重装系统才行,次次都找人重装好贵啊) |
|
| 作者:≌叮叮当当≌ 回复日期:2006-9-22 17:52:02 轻松解决木马程序 |
 因你而美丽:
嘿 丁当不耐烦了,经常被我打扰。
现在我学会一样东西了,电脑有什么问题先自己上网去搜索看能不能找到解决的办法(多数在网上会有人遇上同样的问题,所以会有方法的),就这样摆弄它,如果真的不小心弄坏了系统大不了重装(哈~所以啊,我要先学会重装系统才行,次次都找人重装好贵啊)
 ,算你聪明,授人一鱼不如授人一渔。
|
|
| 作者:轨迹 回复日期:2006-10-2 10:29:04 轻松解决木马程序 |
|
| 作者:小木头 回复日期:2007-1-1 22:17:15 轻松解决木马程序 |
唉,人家叮当说的够清楚,你们不懂,只是你们电脑基本常识不懂。 |
|
| 作者:rubylove 回复日期:2007-3-24 22:49:03 轻松解决木马程序 |
好难呀```` |
|
| 作者:飘扬 回复日期:2007-4-8 12:16:24 轻松解决木马程序 |
| 谢谢啊,一直都不知道怎么检测木马,现在知道了! |
|
| 作者:YTH 回复日期:2007-4-26 9:19:38 轻松解决木马程序 |
有点不懂,不过大体上是知道了 就是不认识英文 唉~~~ |
|
| 作者:rz_lpp 回复日期:2007-6-4 14:37:10 轻松解决木马程序 |
呵呵,叮叮当当 你写的我都看了 到底要怎样才能彻底清除木马呀? 迫切的期望叮叮当当的续作!!! |
|
| 作者:情爱小妹妹 回复日期:2007-8-6 15:51:11 轻松解决木马程序 |
|
| 作者:最爱莲音 回复日期:2007-8-6 19:10:51 轻松解决木马程序 |
|
| 作者:小羽霏霏 回复日期:2007-8-6 22:43:46 轻松解决木马程序 |
|
