本文目录一览:
win7系统如何找到隐藏的木马病毒
具体方法如下:
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
解决方法:大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:/windows/file.exe load=c:/windows/file.exe
4、伪装在普通文件中
对于不熟练的windows操作者,很容易上当。
解决方法:把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。
5、内置到注册表中
注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;
HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值。
按照上述五种方法操作win7系统可以找到隐藏的木马病毒,保护系统电脑安全。
木马病毒一般都隐藏在哪里?
楼主你好
不一定在C盘的,如果感染等因素,那就更广了。遇到这类的杀毒才是首选
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以用首页——工具箱——顽固木马克星,强力查杀,效果相当不错的。
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
4、建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了
如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。
怎样让木马隐藏的更好?
一.躲过杀毒软件,悄无声息进入系统
木马要进入用户系统,首先要过杀毒软件这一关。否则一旦杀毒软件报警,木马就无隐蔽性可言了,立马被杀毒软件赶出系统。因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己,比较常见的方法有:寄宿于正常文件,木马加壳加密,修改木马特征码。
寄宿于正常文件
这个方法就是将木马程序与正常的文件捆绑在一起,捆绑后会生成一个可执行文件,当运行这个可执行文件时,正常文件和木马程序都会同时运行,这样木马就可以隐藏自己,悄悄进入用户的系统。要让木马实现这样的效果比较简单,只需要下载一个文件捆绑器即可,这里我们以木马老大“灰鸽子”出口的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮,选择一个正常的可执行文件,例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来。需要捆绑的文件添加完成后,我们可以在“捆绑器”下方为捆绑后生成的文件指定一个文件图标。最后单击“捆绑文件”,即可将两个文件捆绑成一个可执行文件。
虽然这种方法比较简单,但是效果不佳,碰上杀毒能力强劲的杀毒软件,木马还是会被逮个正着。
二.木马加壳加密
“壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。当使用完毕后,壳又会将程序进行加密,整个过程都是在壳的保护过程中进行的。
正因为壳的性质,木马会进行加壳操作以使自身得到加密,这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎,增强了加壳程序的检测,对于加过壳的程序,杀毒软件会先将其脱壳,再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件,那么还是很难逃过杀毒软件的查杀的,除非使用一些冷门的加壳软件。
修改木马特征码
这应该是最为有效的躲避杀毒软件的方法。我们都知道,杀毒软件判定这个程序是否是病毒是通过特征码来决定的,如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号,那么就判定它是病毒。根据这个原理,我们是否只要让木马的代码与杀毒软件的特征对不上号,就可以躲过杀毒软件的查杀呢?答案是肯定的,修改木马的特征码需要使用16进制编辑器,例如UltraEdit、Winhex等。修改特征码可以采用两种方法:1、直接修改特征码:用16进制编辑器打开木马后,将其中的特征码都替换为0;2、增加跳转指令:在木马特征码处增加一条跳转指令,让程序运行到该处时跳到下一段代码,这样做的目的是使杀毒软件检测时跳过这段代码的检测。
防范:在这一部分,木马的隐藏手段对我们的威胁还是比较小的。只要有足够的安全意识,就可以将木马拒之门外。
首先我们来看看如何对付经过捆绑的木马文件。由于捆绑文件是由两个文件合并生成的,虽然我们只能看到一个文件,但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上钩,这就表示文件被捆绑了。
至于对木马程序进行加壳,曾经是很流行的一种木马隐藏手段,但是随着杀毒软件的升级,木马已经很难再有效地利用这种手段。根据壳的原理我们可以得知,加壳木马运行后,会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。
如果唯一能对杀毒软件造成一点危害的,就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件,安装两款杀毒也是一个不错的办法。
三.隐藏窗口、设置文件属性、自我删除
隐藏窗口
木马的服务端程序是一个可执行程序,和我们在Windows上使用的绝大多数的软件相同,都是标准的Win32程序。不同的是,我们运行普通的可执行程序时,会出现软件窗口,我们可以在这个软件窗口中进行操作。而木马的服务端运行后,却没有出现窗口,这是因为木马服务端程序在编写的过程中将其窗口属性设置为隐藏,也就是说,木马服务端运行后的窗口是存在的,只是我们无法看到而已。
设置文件属性
木马为了隐藏在用户系统中生成的文件,通常会设置文件的属性为“隐藏”和“系统”,这样我们就无法在普通模式下看到木马的文件。
自我删除
自我删除是木马最初就具有的一种功能,当运行木马服务端程序后,服务端程序会将自身删除。这样做的目的是清除留下的痕迹,达到隐藏自身的效果。
防范:隐藏窗口和删除自身是木马服务端最常用的功能,虽然可以在一定程度上隐藏自己,但是也会因此而暴露自己。当我们双击一个可执行程序,结果没有出现任何窗口,或者运行后这个可执行文件消失了。那么我们很有可能中了木马,因为这是运行木马服务端最基本的两个特征。
设置文件属性是木马和病毒乐此不疲的隐藏手段,虽然手法简单,但效果不错。破解的方法也比较简单,点击资源管理器的“工具”菜单→“文件夹选项”,切换到“查看”标签,将“隐藏受保护的操作系统文件”前面的钩去掉,同时选择“显示所有文件和文件夹”选项,即可让隐藏的木马文件现形。
四.进程隐藏,遁地于无形
稍懂得安全保护知识的朋友都会通过任务管理器查看是否有可疑进程,以此确定木马的存在。不过随着木马编写技术的提高,在任务管理器中查找木马的方法不再是100%的有效。通过Hook技术编写的木马可以实现进程的隐藏和进程的插入。即使木马在系统中运行,我们在任务管理器中也只能看到正常的进程,而无法看到木马的进程。在了解这种隐藏技术之前,我们有必要先了解一下什么是Hook。
什么是Hook
Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应,木马程序便抢在函数返回前对结果进行了修改。
传统的进程隐藏技术
在Windows98系统中有一种能将进程注册为服务进程的技术。这种技术称为RegisterServiceProcess。通过这种技术,任何程序的进程都能将自己注册为服务进程,也就是说木马可以将自己的进程注册为服务进程。而服务进程在Windows98中的任务管理器中是不显示的。这样我们就无法通过任务管理器找到木马的进程。
通过Hook的进程隐藏
传统的进程隐藏技术到了Windows2000以后就毫无用武之地,因为在Windows2000以后的系统中,服务进程也是在任务管理器中显示的,例如svchost.exe进程,该进程是一个服务进程,我们可以在Windows2000的任务管理器中看到,而在Windows98下则不可以。此路不通,另寻他路。传统进程隐藏技术落后后,木马又转而使用Hook技术的进程隐藏。
新型的进程隐藏技术基本都是通过Hook来实现的。例如我们熟悉的灰鸽子木马,其通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数。由于灰鸽子事先对该API函数进行了Hook,因此“任务管理器”返回给我们的信息是不真实的,是被Hook过的信息,而有关木马的进程信息已经被悄悄的处理掉了。
防范:使用“Windows优化大师”集成的“进程管理”工具。运行“Windows优化大师”→“系统性能优化”→“系统安全优化”→“进程管理”。在其中选择一个进程,然后将下方的进程状态切换到“模块列表”标签,一般的隐藏进程都会在这里现形。
至于采用Hook技术的进程隐藏,我们无法使用一般的工具来检查,不过有一款被喻为“反黑之刃”的软件──Icesword,可以将通过Hook技术隐藏的木马进程统统挖掘出来。Icesword我们曾经做过专门的介绍,在此不在阐述。用Icesword查看隐藏进程方法:运行Icesword,单击“进程”按钮即可。隐藏进程将会以红色字体显示。
木马一般隐藏在哪里?
您好:
各种木马病毒的隐藏位置都是不一样的,有些木马病毒在生成的时候更是可是手动设置隐藏位置的,例如一般的木马病毒会默认安装隐藏到C盘中,但是有一些木马病毒就会隐藏到C盘以外的逻辑分区或者是内存中,如果您的电脑中毒的话,建议您使用腾讯电脑管家的杀毒功能对您的电脑杀毒并保护您的电脑吧,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台: