目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的,
如何查找与清除线程插入式木马
。如何查找与清除线程插入式木马操作步骤:
1、通过自动运行机制查木马一说到查找木马,许多人马上就会想到通过木马的启动项来寻找蛛丝马迹,具体的地方一般有以下几处:
1)注册表启动项:
在开始/运行中输入regedit.exe打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以Run开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序,
电脑资料
《如何查找与清除线程插入式木马》(https://www.unjs.com)。另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为X:\windows\system\ABC.exe %1%。
2)系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。