瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

12345678»   4  /  23  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

引用:
【梅边吹笛的贴子】  我原用的8.13版本也是这个数字签名。请问楼主,这个数字签名影响使用吗?谢谢!
...........................


数字签名是保证程序合法,是否被篡改的一种技术,不影响使用。
gototop
 

下面的图表示文件没有被修改

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-21 8:55:11
描述:



gototop
 

这个图是我把Autoruns.exe内容改过后的

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-21 8:56:20
描述:



gototop
 

使用数字签名技术,就可以知道自己的工具是否被病毒感染。
本来我也想把这两个工具汉化一下的,也是因为这一点,没有实施。
gototop
 

其实这两个工具使用起来比较简单,英文看起来也不是很困难,使用时间常了就习惯了
gototop
 

非常感谢 BlackStone ,说实在的两个小工具已经使用一段时间,但使用的不够到位。

楼主介绍的6楼、7楼非常好,学了二招

几日前,遇到一个XP系统,1分钟内就重启。初一看,老问题。没想到:打完狙击波补丁(冲击波、震荡波因为SP2不用打补丁);杀Supnot没有,在线查毒没有;查看恶意文件,也没有

当时,只有一种直觉,恶意文件与一个常用的程序捆在一起,但1分钟内就重启,时间实在太短,没有找到那个文件。我想6楼的方法,可以大大缩小范围。(可惜没有机会去验证)

再次感谢 BlackStone
gototop
 

【回复“猪宝宝2005”的帖子】

验证很简单的,你可以随便抓一个窗口,它都会定位到的,比如IE窗口它会定位到iexplorer.exe
gototop
 

我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了,但也没有办法验证(找到那个恶意文件)
gototop
 

引用:
【猪宝宝2005的贴子】我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了,但也没有办法验证(找到那个恶意文件)
...........................


理解错误,抱歉。
不过你说得那种情况一般都会以动态库的方式注入到Explorer.exe中,查起来比较费时,有时还得借助Autoruns工具
gototop
 

上次我用HijackThis.exe查了,没有发现
删除不顺眼的,也问题依旧。由于那个框不是一开机就有,曾一度怀疑:网络上别人搞鬼。用netstat -an查看前、后,没有发现有价值的线索
gototop
 
12345678»   4  /  23  页   跳转
页面顶部
Powered by Discuz!NT