查看黑客木马方法.doc

查看黑客木马方法计算机突然死机, 有时又自动重新启动, 无端端的少了些文件, 发现桌面刷新慢, 没有运行什么大的程序, 硬盘却在拼命的读写, 系统也莫明其妙地对软驱进行搜索, 杀毒软件和防火墙报警, 发现系统的速度越来越慢, 这时候你就要小心了. 第一时间反应( 养成一个好的习惯往碗可以减少所受的损失):用 CTRL + ALT + DEL 调出任务表, 查看有什么程序在运行, 如发现陌生的程序就要多加注意, 一般来说, 凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响( 注意: 这里说的是基本运行, 先和大家说明白, 关于这条我是在网络上关于这个研究的结果), 所以大家可以关闭一些可疑的程序来看看, 发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了, 发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多, 这也是一种可疑的现象也要特别注意, 你这时是在连入 网或是局域网后才发现这些现象的话,不要怀疑, 动手查看一下吧!,( 注: 也有可能是其它一些病毒在作怪)1 先升级杀毒软件到最新, 对系统进行全面的检查扫描. 2 点击工具→文件夹选项→查看把隐藏受保护的操作系统文件( 推荐) 和隐藏已知文件类型的扩展名这两项前面的勾去掉, 查看 Windows 目录下的 文件中开头的几行: [WINDOWS] load= ren= 这里放的是启动 Windows 自动执行的程序, 可以看看对比对比一下. 4 查看 Windows 目录下的 文件中的这几行: [386Enh] device= 这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,如: device=c:\windows\system32\( 这里只是打个比方)5 查看开始菜单中的【程序】→【启动】。这里放的也是启动 Windows 自动执行的程序, 如果有的话, 它就放在 C:\Windows\Start Menu\Programs\ 中, 将它保存在较安全的地方后再删除,需要恢复时在拿出来恢复即可。 6 在开始】→【运行】中输入"MSCONFIG" 查看是否有可疑的启动项, 你也许会问, 前面不是说了吗? 其实, 这两种方法是不同的, 你分别用这两个方法查看一下就会发现不同了, 至于要说更深入点, 说实在话, 我也不知道. 呵呵不要笑话, 希望高手出来解答一下! 7 查看注册表, 在【开始】→【运行】中输入“ REGEDIT ”。先对注册表进行备份, 才对注册查看。( 一定要养成一个习惯,在修改木文件时, 对自己没有把握的需要先进行备份) 查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunServices 和 Run 项,看看有没有可疑的程序. 查看 HKEY_CLASSES_ROOT\EXEFILE\SHELL\MAND, 文件关联的木马, 正确值为"%1"%* 查看 HKEY_CLASSES_ROOT\INFFILE\SHELL\MAND, 文件关联的木马, 正确值为"SYSTEM ROOT%\SYSTEM32\