【原创】如何用Procexp和Autoruns工具识别与删除木马程序

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】如何用Procexp和Autoruns工具识别与删除木马程序

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

4 / 23 页

跳转页

叱咤花甲狮

发表于： 2005-10-21 08:52 | 只看楼主 短消息资料

字号：小中大 31楼

引用:

【梅边吹笛的贴子】我原用的8.13版本也是这个数字签名。请问楼主，这个数字签名影响使用吗？谢谢！
...........................

数字签名是保证程序合法，是否被篡改的一种技术，不影响使用。

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-10-21 08:55 \| 只看楼主短消息资料字号：小中大 32楼下面的图表示文件没有被修改附件: 文件名:5887812005102185511.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-10-21 8:55:11 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-10-21 08:56 \| 只看楼主短消息资料字号：小中大 33楼这个图是我把Autoruns.exe内容改过后的附件: 文件名:5887812005102185620.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-10-21 8:56:20 描述:
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-10-21 08:58 \| 只看楼主短消息资料字号：小中大 34楼使用数字签名技术，就可以知道自己的工具是否被病毒感染。本来我也想把这两个工具汉化一下的，也是因为这一点，没有实施。
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-10-21 09:01 \| 只看楼主短消息资料字号：小中大 35楼其实这两个工具使用起来比较简单，英文看起来也不是很困难，使用时间常了就习惯了
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

猪宝宝2005 初生襁褓狮帖子:2 注册: 2005-07-20 来自:	发表于： 2005-10-21 10:23 \| 短消息资料字号：小中大 36楼非常感谢 BlackStone ，说实在的两个小工具已经使用一段时间，但使用的不够到位。楼主介绍的6楼、7楼非常好，学了二招几日前，遇到一个XP系统，1分钟内就重启。初一看，老问题。没想到：打完狙击波补丁（冲击波、震荡波因为SP2不用打补丁）；杀Supnot没有，在线查毒没有；查看恶意文件，也没有当时，只有一种直觉，恶意文件与一个常用的程序捆在一起，但1分钟内就重启，时间实在太短，没有找到那个文件。我想6楼的方法，可以大大缩小范围。（可惜没有机会去验证）再次感谢 BlackStone
猪宝宝2005 初生襁褓狮帖子:2 注册: 2005-07-20 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-10-21 10:34 \| 只看楼主短消息资料字号：小中大 37楼【回复“猪宝宝2005”的帖子】验证很简单的，你可以随便抓一个窗口，它都会定位到的，比如IE窗口它会定位到iexplorer.exe
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

猪宝宝2005 初生襁褓狮帖子:2 注册: 2005-07-20 来自:	发表于： 2005-10-21 10:43 \| 短消息资料字号：小中大 38楼我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了，但也没有办法验证（找到那个恶意文件）
猪宝宝2005 初生襁褓狮帖子:2 注册: 2005-07-20 来自:

叱咤花甲狮

发表于： 2005-10-21 10:47 | 只看楼主 短消息资料

字号：小中大 39楼

引用:

【猪宝宝2005的贴子】我说的验证是找到那个恶意文件。可惜当时采用的办法是看那个不顺眼就卸载那个程序。问题是暂时搞定了，但也没有办法验证（找到那个恶意文件）
...........................

理解错误，抱歉。
不过你说得那种情况一般都会以动态库的方式注入到Explorer.exe中，查起来比较费时，有时还得借助Autoruns工具

猪宝宝2005 初生襁褓狮帖子:2 注册: 2005-07-20 来自:	发表于： 2005-10-21 11:00 \| 短消息资料字号：小中大 40楼上次我用HijackThis.exe查了，没有发现删除不顺眼的，也问题依旧。由于那个框不是一开机就有，曾一度怀疑：网络上别人搞鬼。用netstat -an查看前、后，没有发现有价值的线索
猪宝宝2005 初生襁褓狮帖子:2 注册: 2005-07-20 来自:

4 / 23 页

跳转页