木马防杀.pptVIP

四、木马病毒的攻击手段及对策 木马病毒的攻击手段及对策 中了木马系统主要被修改的部分： 首先木马必须要进入进程， exe的进程比较容易被发现， dll的进程不大容易被发现。按alt+del+ctrl进入进程管理器你就会发现电脑的所有进程。 木马病毒的攻击手段及对策 最初的木马可以通过进程管理直接发现，并关掉；但是随着木马技术的提高，进程隐藏渐渐被引用起来。 进程隐藏主要有两种，第一种，伪装成系统进程， 比如著名的svohost木马，熊猫烧香；都是伪装成系统进程，svchost.exe;explore.exe;rundll32.exe;spoolsv.exe这几个是木马常用的伪装进程。 比如，svohost.exe注意这里是o正常的应该是c,或者svchost32.exe这都是木马，熊猫烧香的spcolsv.exe注意又是o变c, 还有维金rundl132.exe注意l变成1了； 还有其他expl0rer.exe注意o变0。 木马病毒的攻击手段及对策 第二种，dll木马，利用线程插入的木马； 这类木马功能不如exe木马强大，但是隐蔽性好，清除难；比如著名的灰鸽子，就是用dll做客户端，插入到explore.exe中，这样你每次启动资源管理器就必定启动木马；而且进程管理器里面看不出来。 木马病毒的攻击手段及对策 怎么破解这招呢，下面介绍一个运行命令 msconfig。 这个是系统配置实用程序的快捷命令，在软件环境中你可以清楚地看到正在运行程序或服务的路径，生产厂商，版本等等，木马很难在这里隐藏；同样下面启动程序里面也包含了windows的所有自动启动项目。 注意：如果要删除启动项，只要找到位置对应的注册表的地址就可以了。 木马病毒的攻击手段及对策 木马除了能更改系统的启动项，让电脑每次开机自动运行外， 有的木马还能在硬盘生成自动运行的文件autorun.inf；这样如果你一不当心双击硬盘，就有可能又中木马； 这种木马的主要代表是熊猫烧香，主要特征是，右建单击硬盘图标有自动运行（Auto）项。 木马病毒的攻击手段及对策 预防办法：运行gpedit.msc打开组策略，在“管理模板-系统”里启用“关闭自动播放”，重启系统。之后系统就不会自动运行带autorun.ini的光盘和U盘了。 手动杀毒方法：网上有很多，我这里简单讲一下原理， 木马在你的硬盘比如D盘生成一个隐藏文件，autorun.inf这是一个自动运行的配置文件，常见于光盘， 木马在autorun.inf里面加入 open=setup.exe 这里的setup.exe就是木马，同样也隐藏在D盘里面， 这样你如果双击硬盘就会执行autorun.inf里面的open项，运行setup.exe这个木马。 要删除这个木马，首先要养成良好的习惯，进入硬盘分区时，不要双击（会激活木马），用右建弹出菜单选择“打开”进入D盘，打开文件夹选项，在查看里面显示所有文件； 把下面的Autorun.inf和setup.exe或者其他的隐藏可疑的木马删掉。 木马病毒的攻击手段及对策 以上是没有中木马的情况下，如果你已经不小心双击了，以上方法就会失灵。那么先从进程里面找出木马程序，然后关掉； 然后打开注册表，到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN主键下， 把CheckedValue这个项的值改成2；木马可能会把这个项改成字符串项，那你需要把它删掉，自己重新创建一个Dword项。然后就重启系统就可以显示隐藏文件了。 简单点的方法就是用“金山毒霸安全助手”来修复。 五、木马病毒的预防 木马病毒的预防 首先我们从刚装好的windows开始讲起，ok， 你全部格式化好，新装的windows，那么肯定是干净的，一般卖光盘不大会在光盘上下木马。接下来装好的windows, 你需要一个杀毒软件来检查你需要安装的应用程序有没有病毒木马，但是并不是所有木马都能被检测出来， 过杀毒软件免杀是木马最主要的一项技术，每天都有无数变种，我可以肯定地说杀毒软件只能对付过期的木马，他不能对付最新的木马。 木马病毒的预防 所以你就必要自己判断一个程序是不是安全无木马的， 程序来源主要有两种，光盘和网上； 那种没有验证，私人地方下载的软件，基本都是不可信的。一些常用软件，你一定要去官方网站下载，或者华军等一些比较有名的下载站点去下载。baidu上随便搜来的那种个人下载站，基本上都是有木马的。