常在河边走,哪能不湿鞋。经常在网络上游走的人们,与病毒、木马等恶意程序的“邂逅”,也是一件无奈的“荣耀”之事。对于这些不期而遇的木马、病毒们,我们如何才能识破它们的阴谋诡计,将它们一网打尽呢?
利用杀毒工具虽然有时可以实现这一要求,但面对着这些经常“推陈出新”的恶意程序,主动防御式的杀毒工具们并不能把它们逐一“歼灭”。为此,我们不妨选择一款“防守反击”大师“Wsyscheck”,让它引领我们将病毒、木马清扫出门。相关精彩文章谨防"小木马"和"游戏追击手"两变种小心邮件传播病毒和游戏盗号木马 一.辨清进程去“杀马”
众所周知,许多病毒、木马都是以进程的形式“镶嵌”在系统中,并且它们还会隐藏和伪装自己。采用服务驱劝的方式,利用一种叫做Rootkit的技术,对自身的服务进行隐藏,使它们的破坏能力得以发挥。 不过,这一切在遇到“Wsyscheck”后,它们的“隐身衣”便会不幸升级为“皇帝的新装”:无论是普通的木马、病毒,还是采用Rootkit技术的高级恶意程序,都会在“Wsyscheck”面前原形毕露。
1.验证正常进程
该工具为绿色工具,无需安装即可使用。运行“Wsyscheck.exe”后开启程序主界面。
在该主界面中,单击“进程管理”选项卡,便会显示出当前系统中所有处于运行状态的进程(图1)。
在进程列表中,我们看到进程名称上有三种不同的颜色显示,那么这又代表什么呢?
黑色显示的进程为正常的系统进程,它表现当前进程绝对安全,对于这部分进程, 我们无需关注;红色显示的进程表示为第三方程序进程,在这其中,既有健康无害的进程,也有可能存在木马、病毒等有害进程。
通常,我们可以简单地通过进程名称来辨明木马、病毒。一些木马、病毒会起着与系统进程完全一样或类似的名称,比如SVCHOST.exe为正常的系统进程,而当某个进程为SVCH0ST.exe,即将数字“0”来替代英文字母“O”时,便要格外留意了。
除了上述方法外,还可通过进程列表中的映像路径列表、文件厂商名称来判断。如某些病毒、木马会主动将进程路径选择为系统所在目录,让用户误将它认为是正常的系统进程。
小提示:单击进程列表的某个进程名称,可以底部的模块框内显示出与之相关的模块路径。
2.明辨DLL文件
在进程列表中,我们还发现一种以紫色显示的进程,它又是什么呢?其实它也是系统进程。只是与黑色显示的进程相比,这种进程的身上还安插着一些“第三者”,也就是第三方程序所加载的DLL文件和驱动。
正因为这些系统进程可以让第三方程序的DLL、驱动驻留,才使得它们成为木马、病毒们的侵犯目标。既然进程中的DLL文件有可能是木马程序,那么我们还是选择来为其验明正身吧!
步骤1 单击进程列表中某个以紫色显示的系统进程,如IEXPLORE.EXE,在下方的模块窗口中会显示出所有与之相关的DLL文件(图2)。
这些DLL文件共有两种颜色显示,分别是黑色和红色。其中黑色是正常的系统DLL文件,而红色则是加载第三方模块的DLL文件,也就是红色的DLL文件就很可能就是某个木马的DLL文件。
步骤2 如果希望仅显示红色的DLL文件,那么只要依次选择主菜单“文件→模块简洁显示”命令即可。当再次选择系统进程时,在模块框内就会显示出所有红色的DLL文件(图3)。
在辨识这些DLL文件是否为木马文件时,因为在模块框有“模块路径”和“文件厂商”这两个字段名称,所以作为普通用户同样可以通过这两个字段名称去判断。
步骤3 此外还能够通过查看文件属性这一途径来实现。比如在IEXPLORE.EXE内驻留一个名为snagitbho.dll的动态链接库文件。此时可以其上单击鼠标右键,选择右键菜单上的“文件属性”命令,在弹出的对话框中单击“版本”选项卡,即可查看到snagitbho.dll的“真实身份”,为判定是否为木马留下宝贵的线索(图4)。
小提示:在判明木马程序后,在其上单击鼠标右键,选择右键菜单上的“卸载模块并删除文件”命令,就能将木马清除;对于一些启动后仍能重新生成的木马,可选择快捷菜单上的“添加至DOS删除列表”命令,这样在系统重启后会自动删除木马程序。
二.用服务控制木马
木马、病毒们除了可以利用进程这个通道外,有些木马为了免遭杀毒软件的查杀,经常将自己摇身一变,伪装成系统服务让其随系统启动自动运行,从而不知不觉地长久控制着用户机器。因此对付此类性质的木马,不妨利用“Wsyscheck”的“服务管理”功能。
步骤1 单击主界面上的“服务管理”选项卡,即可在开启的页面中看到有黑色、红色、紫色三种颜色标识的服务名称(图5)。
其中显示黑色的服务为正常的系统服务,我们无需过问。不过若对某些服务有所怀疑,可在选择该服务后单击鼠标右键,选择快捷菜单上的“检验微软文件的签名”来验证;显示紫色、红色的服务都表示是带有来自第三方的服务,此时仍然可以通过右键菜单上的“文件属性”来判断是否为木马服务。
步骤2 若确信为木马服务,那么可将其选中后,选择右键菜单上的“停止服务”或“禁用”命令,将其中止或禁用。
步骤3 然后选择“删除选中的服务”命令,这样就能够删除该服务在注册表中的键值,令其无法启动;当然,如果选择“删除选中的服务与文件”命令,还能够彻底删除木马服务及对应的文件,令其再无作恶的可能。
小提示:针对重启后仍能“复活”的服务程序,选择“添加到DOS删除列表”即可将其根治。
三.通过端口觅得木马
目前,许多木马都会通过监听电脑上一些特别端口的方法,将有用的信息告诉给控制方,以便控制方从中获悉自己所需的内容。根据这个特点,我们只需查探自己的电脑是否有异常的端口活动,就能够确定是否有木马存在。
由于木马大都会选择一些特殊端口进行监听活动,比如3210,3333,6267等,假如我们发现这些特殊端口已经被使用,那么很可能你的电脑已经被木马所侵占了。
在“Wsyscheck”中查看活动端口的方法很简单。只要单击“安全检查”选项卡,在下方展开的选项页面中选择“端口状态”,就能够查看到当前系统的正在通讯的本地端口和远程端口号(图6)。
如果在这些端口号中恰好存在着所熟知的木马特殊端口,那么十之八九你的系统已经被木马“套牢”。因此在查看了对应的程序名称和进程“PID”号后,再转至“Wsyscheck”的“进程管理”页面,找到与“PID”相对应的进程,再按上述方法对木马进行的“解套”操作即可。
小提示:PID即进程ID号,也就是系统进程的唯一编号,通过这个编号可以查找到与之对应的进程名称。
除了上述查找木马、病毒的方法外,利用“Wsyscheck”还可以查看注册表键值的改动情况、对注册表及文件进行管理、检测IE安全、检查和修复被第三方DLL破坏的Winsock等操作。因篇幅所限,故在此不再多做叙述,对此感兴趣的朋友不妨一试。
声明:中国IT运维网登载此文出于传递更多信息之目的,并不意味着本站赞同其观点或证实其描述。其原创性以及文中陈述
文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或
承诺,请网友及读者仅作参考,并请自行核实相关内容。如原作者不同意在本网站刊登内容,请及时通知本站予以删除。凡本网站注明"来源:中国IT运维网"的作品,在授权范围内使用时,请保留注明"来源:中国IT运维网"。