瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

12345678»   3  /  9  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 18:09 | 显示全部 短消息 资料
字号: 21楼

以上只是本人在日常中的一点经验,仅供参考,欢迎交流
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 19:01 | 显示全部 短消息 资料
字号: 22楼

其实www.sysinternals.com有许多不错的工具,也有一些不错的文章,有点遗憾的时网站是英文得
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 20:53 | 显示全部 短消息 资料
字号: 23楼

补充:有些木马使用了线程注入技术,这样的木马用Procexp是看不到得,这时我们可以用Autoruns查看启动项,找出木马程序
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-20 21:04 | 显示全部 短消息 资料
字号: 24楼

引用:
【梅边吹笛的贴子】谢谢楼主,刚更新了这个工具:
...........................


汉化版本中的数字签名估计无效了
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 08:52 | 显示全部 短消息 资料
字号: 25楼

引用:
【梅边吹笛的贴子】  我原用的8.13版本也是这个数字签名。请问楼主,这个数字签名影响使用吗?谢谢!
...........................


数字签名是保证程序合法,是否被篡改的一种技术,不影响使用。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 08:55 | 显示全部 短消息 资料
字号: 26楼

下面的图表示文件没有被修改

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-21 8:55:11
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 08:56 | 显示全部 短消息 资料
字号: 27楼

这个图是我把Autoruns.exe内容改过后的

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-21 8:56:20
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 08:58 | 显示全部 短消息 资料
字号: 28楼

使用数字签名技术,就可以知道自己的工具是否被病毒感染。
本来我也想把这两个工具汉化一下的,也是因为这一点,没有实施。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 09:01 | 显示全部 短消息 资料
字号: 29楼

其实这两个工具使用起来比较简单,英文看起来也不是很困难,使用时间常了就习惯了
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-10-21 10:34 | 显示全部 短消息 资料
字号: 30楼

【回复“猪宝宝2005”的帖子】

验证很简单的,你可以随便抓一个窗口,它都会定位到的,比如IE窗口它会定位到iexplorer.exe
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  9  页   跳转
页面顶部
Powered by Discuz!NT