瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

12345678»   2  /  23  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 17:57 | 只看楼主 短消息 资料
字号: 11楼

可以查看进程使用了那些动态库

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 17:57:06
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 17:58 | 只看楼主 短消息 资料
字号: 12楼

发现可疑程序,不能确认,在右键菜单上点击Google则可以直接打开IE帮你搜索网上关
于此程序的信息,这样可以确认程序是否是木马。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 17:58:49
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 17:59 | 只看楼主 短消息 资料
字号: 13楼

此工具也支持日志导出功能

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 17:59:44
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:00 | 只看楼主 短消息 资料
字号: 14楼

此工具可以替换Windows任务管理器,选择Options->Replace Task Manager,则每次通过CTRL+ALT+DEL或在Explorer任务栏里启动任务管理器时则启动此程序

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:00:04
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:00 | 只看楼主 短消息 资料
字号: 15楼

二. Autoruns
木马的特性之一时随系统一起启动,所以木马要在操作系统中写启动项,Autoruns就是一个查看清除启动项的工具,此工具将启动项分页签显示,运行界面如下

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:00:39
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:01 | 只看楼主 短消息 资料
字号: 16楼

删除某项启动项,只要去掉项前面的复选框即可,这样如果下次想把它置成自启动项,再选择即可

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:01:00
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:01 | 只看楼主 短消息 资料
字号: 17楼

想永久删除某项启动项,只要选择右键单击,在右键菜单中删除即可

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:01:39
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:02 | 只看楼主 短消息 资料
字号: 18楼

若不确定是否此项有问题则可以点击”Google”在网上搜索此项

补充:点击菜单的Jump to项则自动打开注册表并定位到指定项

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:02:04
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:03 | 只看楼主 短消息 资料
字号: 19楼

若全部显示所有启动项则比较多,查看起来不便,可以选择隐藏微软项,这是将不显示微软的自启动项

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:03:18
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:05 | 只看楼主 短消息 资料
字号: 20楼

此工具也支持日志导出功能,并且支持比较功能,你可以与以前的日志进行比较

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-20 18:05:26
描述:
gototop
 
<<上一主题|下一主题>>
12345678»   2  /  23  页   跳转
页面顶部
Powered by Discuz!NT