瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

«12345678»   5  /  23  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 11:08 | 只看楼主 短消息 资料
字号: 41楼

引用:
【猪宝宝2005的贴子】上次我用HijackThis.exe查了,没有发现
删除不顺眼的,也问题依旧。由于那个框不是一开机就有,曾一度怀疑:网络上别人搞鬼。用netstat -an查看前、后,没有发现有价值的线索
...........................


对付网络问题Procexp有点弱,可以去www.sysinternals.com下载一个tcpview工具
gototop
 
hh1234
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-09-30
  • 来自:
发表于: 2005-10-21 11:51 | 短消息 资料
字号: 42楼

楼主介绍的两种工具都相当不错,谢谢啦!
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-24 09:14 | 只看楼主 短消息 资料
字号: 43楼

补充:
因为Procexp功能比较强大,有些木马会不停的遍历进程,当发现时就将procexp从进程杀掉,致使其不能工作,这时可以把改改一下名字,就可以了;另一种通过遍历窗口名字关闭procexp的方法我现在还没有解决方法。
gototop
 
夜思宁烟
头像
初生襁褓狮
  • 帖子:51
  • 注册: 2004-09-22
  • 来自:
发表于: 2005-10-24 10:15 | 短消息 资料
字号: 44楼

感谢楼主分享!!!!
gototop
 
人健人爱
头像
C3PO
  • 帖子:848
  • 注册: 2005-03-21
  • 来自:
发表于: 2005-10-24 16:15 | 短消息 资料
字号: 45楼

我顶
gototop
 
人健人爱
头像
C3PO
  • 帖子:848
  • 注册: 2005-03-21
  • 来自:
发表于: 2005-10-24 16:35 | 短消息 资料
字号: 46楼

再顶!
楼主偶厚道吧
gototop
 
煌荣人生
头像
初生襁褓狮
  • 帖子:30
  • 注册: 2005-04-22
  • 来自:
发表于: 2005-10-24 22:26 | 短消息 资料
字号: 47楼

可惜是英文的看不懂
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 08:59 | 只看楼主 短消息 资料
字号: 48楼

引用:
【煌荣人生的贴子】可惜是英文的看不懂

...........................


其实工具的英文不是很难的,用一段时间就习惯了
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 09:16 | 只看楼主 短消息 资料
字号: 49楼

补充Autoruns工具使用技巧:
autoruns启动项比较多,可选择Options->Verify Code Signatures & Hide Signed Microsoft Entries两项

这样就会缩小查看范围,还可以找出那些没有签名的项

如图:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-25 9:16:24
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-25 09:19 | 只看楼主 短消息 资料
字号: 50楼

图中选择项是微软第三方DLL项(Publisher是微软),可以选择属性确认:

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-25 9:19:34
描述:
gototop
 
<<上一主题|下一主题>>
«12345678»   5  /  23  页   跳转
页面顶部
Powered by Discuz!NT