● 防范和检测木马 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sonicboy (sonicboy), 信区: Security
标题: 防范和检测木马
发信站: 荔园晨风BBS站 (Fri Oct 18 22:39:28 2002), 转信

在使用计算机的过程中您可能遇到过如下情况: 计算机反应速度发生了明显变化，
硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口
被莫名其妙地打开，网络传输指示灯一直在闪烁……这些不正常现象表明: 您的计
算机中了木马病毒。

木马的全称是“特洛依木马”，它们一般以寻找后门、窃取密码为主。统计表
明，现在木马在病毒中所占的比例已经超过了四分之一，而在去年涌起的病毒潮中
，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病
毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上
网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取
密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修
改资料等操作。著名的“红色代码”和前不久出现的“坏透了”病毒都属于木马病
毒。木马是一种破坏力十分强的黑客工具，那么如何检测木马的存在，并彻底清除
它们呢？下面介绍几种防范和清除手段。

方法通过启动方式

由于木马的隐蔽性非常强，在电脑开机的时候一般都会自动加载，在启动之后
大部分还会更改文件名，因此从Windows系统自动加载文件的方式入手来分析木马
的存在并清除就很有意义。木马自动加载的方法和存放的位置比较多，下面结合具
体的实例来分析木马的启动并提出常见的木马清除方法。

1．从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添
加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的
位置是“C:windowsstart menuprograms启动”处。通过这种方式使文件自动加载
时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionExplorerShell Folders

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersionExplorerUser Shell Folders

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionexplorerUser Shell Folders

HKEY_LOCAL_MACHINESoftwareMicrosoft

WindowsCurrentVersionexplorerShell Folders

通过这种方式实现木马自动加载时，如果是在Win98系统下还可以直接运行
Msconfig命令在“启动”处查看，下边将要涉及的system.ini、win.ini、
autoexec.bat等文件也都可以用这个命令来查看。
通过菜单启动最典型的木马例子是“求职信” （W97M_Resume.A）病毒，这种
新病毒除了试图自动发出邮件实现连环感染之外，还会删除磁盘中的全部文件，带
这种病毒的信件标题为：Resume-Janet Simons，带有附件Explorer.doc，用户一
旦执行附加文件，即会遭到病毒传染。如果将其手工清除，除了需要删除该病毒文
件之外，还需要做以下工作：
（1）检查cATAnormal.dot，直接删除该文件。

（2）如果 C:windowsstartmenuprograms

startup目录下有explorer.doc这个文件，删除它。

2．通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和
system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本
打开。可以通过修改win.ini文件中windows节的“load=file.exe ，run=file.
exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情
况下是“Shell=Explorer.exe”（Windows系统的图形界面命令解释器）。如果此
处修改成其他的可执行文件就可以实现木马的加载，例如“妖之吻”病毒，电脑每
次启动后就自动运行程序yzw.exe，修改的方法是编辑 system.ini，将“
shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

前不久发生的TROJ_BADTRANS.A病毒，也是通过E-mail传递的，它能将木马种
到用户的计算机中以窃取用户的资料，会更新win.ini以便在下一次重新开机时执
行。执行清除的步骤如下：

（1）在DOS命令行中输入win.ini并运行。

（2）将win.ini文本文件中：RUN=“C:%WINDIR%INETD.EXE”这行删除，仅保
留“run=”。

（3）启动病毒查杀软件，将查找出的带有TROJ_BADTRANS.A病毒的文件删除
。

3. 通过在注册表中实现。木马只要被加载，尽管有可能会隐藏得比较好，但
一般都会在注册表中留下痕迹。一般来说，木马在注册表中自动加载的实现是在
HKEY_LOCAL_MACHINESoftware

MicrosoftWindowsCurrentVersion下的RunServices、RunServicesOnce、Run
、RunOnce等子键，以及 HKEY_CURRENT_USERSoftware

MicrosoftWindowsCurrentVersion下的Run、RunOnce、RunServices等子键处
。

此外在注册表中的HKEY_CLASSES_ROOT

exefileshellopencommand=““%1” %*”处，如果其中的“%1”被修改为木
马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就
是将TXT文件的Notepad.exe改成了它自己的启动文件，每次打开记事本时就会自动
启动冰河木马，做得非常隐蔽。
TROJ_NAVIDAD.A就是通过上述方式启动的，它以E-mail夹带附件“NAVIDAD.
EXE”进行散播。如果执行该附件，电脑就会中毒，该病毒会将自己转发给电脑通
讯录里所有的好友名单，并修改Windows的注册表。这种方式的木马如果手工清除
，步骤如下：

（1）键入DOS命令以重新命名regedit.exe为 regedit.com(本步骤可选)。
（2）运行注册表程序，找到下列键值：

　　HKEY_CLASSES_ROOT exefileshellopencommand。

（3）在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”
%*” where %windir%”中““%1”%*”以外部分删除。

（4）同步骤 2，进入以下注册表的值：

　　HKEY_LOCAL_MACHINESoftwareMicrosoft

　　WindowsCurrentVersionRun。

（5）选择Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ，并删除。


（6）进入DOS模式，重新命名regedit.com为 regedit.exe。

（7）用查毒软件在硬盘上查找所有含TROJ_

NAVIDAD.A病毒的文件，不管是否为隐含文件，一律删除。

4. 通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这
种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与
此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.
ini中如果Rename节有如下内容: NUL=c:windowspicture.exe，该语句将 c:
windowspicture.exe发往 NUL, 这就意味着原来的文件pictrue.exe已经被删除，
因此它运行起来就格外隐蔽。

5. Autoexec.bat。这是木马在DOS模式下每次自动加载的方法，例如恋爱配对
病毒转寄的邮件主题为“Matcher”，而附件文件名则为“matcher.EXE”。手工清
除该木马可以按照如下步骤进行：

　　（1）执行regedit命令并将HKEY_LOCAL_

　　MACHINESoftwareMicrosoftWindows

　　CurrentVersionRun的值“C:%winsys%matcher.exe”删除。

　　（2）打开autoexec.bat文件，将下列内容删除并存盘：

　　echo off

　　echo from: Bugger

　　pause

（3）在电脑上用查毒软件查找带有troj_macher.a病毒的文件并将其删除。


6. 利用Explorer来加载文件。在Windows 95/98和Windows ME系统中，
Explorer作为Windows图形界面的命令解释器，每次在系统启动时加载，
Explorer.exe的加载是通过system.ini文件来进行的。system.ini文件在配置中本
身没有提供路径信息，因此如果 c:explorer.exe存在，那么将直接运行它，否则
就会去执行 c:$winpathexplorer.exe。而对于Windows NT/2000系统来说，首先要
“请示”Windows的注册表 HKEY_LOCAL_MACHINE

SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell来决定Windows
管理系统必须加载的文件名，在缺省情况下，这个加载的文件就是 Explorer.
exe。

一般情况下，如果木马安装在 c:explorer下，就不需要任何的键值和开始程
序。如果c:explorer.exe是一个被绑定或者异常的文件，由于系统开始就会首先加
载这个文件，因此用户就可能被感染。

7. 隐藏文件后缀名。在Windows系统注册表中的HKEY_LOCAL_MACHINESoftware


CLASSESShellScrap下有一个键的名称是“NeverShowExt”，此处
NeverShowExt键的主要功能就是隐藏真正的文件后缀名。一个文件名为“Girl.
jpg.shs”的文件，很可能在所有的程序中显示为“Girl.jpg”，甚至包括在
explorer中。如果注册表中包含NeverShowExt这样的键值，简单的方法就是删除这
个键值以便显示所有真正的文件后缀名，这样就防止了木马改名的可能性。

需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为
对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如
果发现错误，可以将备份的注册表文件导入到系统中进行恢复。

方法通过网络连接或者系统进程

1．通过网络连接

由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就
可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。


一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将
看不到什么信息，此时可以使用“netstat -a”,“-a”选项用以显示计算机中目
前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行
任何网络服务的操作，那么在监听该端口的很可能是木马。

2．通过系统进程

木马即使再狡猾，它也是一个活动着的应用程序，一经运行，它就时刻驻留在
电脑系统的内存中，通过查看系统进程可发现可疑进程，并以此来推断木马的存在
。

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在
运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用
，下面是比较著名的两款工具，一个是Prcview，它非常小巧，不到90KB，功能却
很强大，是一个免费的绿色软件，它的下载地址为http://www.onlinedown.
net/down/PrcView.htm。另外一款工具名为winproc，功能也比较齐全，下载地点
http://www.apchwin.com。这两款软件的使用很容易，这里不做详细介绍。

通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，
因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这
个时候眼睛一定要擦亮，不过木马总是可以通过这种方法被检测出来的。

方法直接使用杀毒软件

上面介绍的方法都是手工方式来检测或者清除木马，但一般情况下木马没有那
么容易就能发现，好在已经有了不少的反木马软件。查杀木马比较有效的软件主要
有以下几类，简单介绍如下：

1. 常用的杀病毒工具软件。木马从某种意义上来说也是一种病毒，我们常用
的病毒防护软件也都可以实现对木马的查杀，这些病毒防护软件包括KV3000,
Kill3000、瑞星等，这类软件查杀其他病毒很有效，对木马的检查也比较成功，但
彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀
病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来
说更有效。

2. 常用的网络防火墙软件。现在的网络防火墙软件比较多，常见的如国外的
Lockdown，国内的天网、金山网镖等。以“天网防火墙个人版”为例，防火墙启动
之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显
示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行
攻击。

利用防火墙来实现对木马的查杀，只能检测发现木马并加以预防攻击，但不能
彻底清除它。

3. 专用的木马查杀软件。我们对木马不能只采用防范手段，还要将其斩草除
根、彻底地清除，专用的木马查杀软件一般都带有这些特性，这类软件目前也比较
多，比如：The Cleaner、木马克星、木马终结者等。

方法预防

随着网络的普及，木马的传播越来越快，而且新的变种层出不穷，我们在检测
清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。

1. 不要执行任何来历不明的软件

很多木马病毒都是通过绑定在其他的软件中来实现传播的，一旦运行了这个被
绑定的软件就会被感染，因此在下载软件的时候需要特别注意，一般推荐去一些信
誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀
木马的软件来进行检查，确定无毒后再使用。

2. 不要随意打开邮件附件

现在绝大部分木马病毒都是通过邮件来传递的，而且有的还会连环扩散，因此
对邮件附件的运行尤其需要注意。

3. 重新选择新的客户端软件

很多木马病毒主要感染的是Microsoft的OutLook和OutLook Express的邮件客
户端软件，因为这两款软件全球使用量最大，黑客们对它们的漏洞已经洞察得比较
透彻。如果选用其他的邮件软件，例如Foxmail等,收到木马病毒攻击的可能性就将
减小，至少不会反复感染给通讯录中的好友。此外也可以直接通过Web方式来访问
信箱，这样就能大大降低木马病毒的感染概率。

4. 将资源管理器配置成始终显示扩展名

将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、
pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引
起注意。

5. 尽量少用共享文件夹

如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文件夹，把
所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享
。

6. 运行反木马实时监控程序

木马防范重要的一点就是在上网时最好运行反木马实时监控程序，The
Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如
加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

7. 经常升级系统

很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在
第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范
办法。

--
HIHI!I AM SONICBOY,MY QQ IS 28860.MY BBS : http://waterclub.126.com
http://www.yesdong.com/bbs and http://www.mkx.com

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 218.17.62.14]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店