职称计算机手机看课
您的位置:职业培训教育网  > 职称计算机 > 复习指导 > 复习资料 > 正文

如何彻底删除木马

2008-02-19 17:45  来源: 纠错 打印 收藏   

  目前,盗号现象愈演愈烈,用户整天提心吊胆,怕哪天盗到自己的头上。难道一味地防守就能够保住我们的号吗?不行,我们要防守反击,给盗号者当头棒喝,运用法律手段保护自己的权益。本期,来自四川的刘勇,将告诉我们,他是如何来防范盗号木马并找出盗号者的信箱的。

  使用系统:Windows XP SP1

  一直以来我都非常注意个人电脑的安全防范,暗自庆幸自己的网游账号没有被黑客盗取。可是好景不长,前些时候我的账户就不幸被盗,当我将账户找回后,发现自己的网游人物已经被剥了个“精光”。

  更为可恶的是,在游戏账户丢失的同时,我的QQ密码、信箱密码也几乎同时被盗。我心里明白,自己的系统一定是中了木马程序,而且还不是一个普通的木马程序,因为一般的木马程序都只能盗取一种程序的密码,看来这个木马程序一定“不简单”啊!

  寻找蛛丝马迹逮住木马“尾巴”

  首先打开注册表管理器,在其中的Run启动项中发现了可疑程序的启动项,键值名称为“getpsw”,关联的程序为“C:\WINNT\system32\qijian.exe”。

  我们知道,所有的恶意程序都会通过各种各样的方式进行程序的随机启动,而通过注册表的Run启动项是其中最常被病毒、木马、盗号工具利用的。从这些可疑的名称中我们就可以得知,这个程序是获取密码的意思。

  接着来到系统的system32目录下,我们都知道system32目录一般是用于存放系统重要文件的地方。黑客正是利用了我们这些普通用户不熟悉系统目录和系统文件,不敢轻易对系统目录和文件进行操作的情况,将恶意程序安装到system32目录中,进而迷惑用户使之以为这些都是系统的必要文件。

  其实我们只要通过对恶意文件的创建日期进行查看和对比,就可以找出很多的可疑之处。我通过对“getpsw.exe”文件的属性进行查看后发现,“getpsw.exe”这个文件的创建日期为2006年,而我的Windows系统的大多数系统文件的创建日期在2001年,看来这个文件越来越可疑了。

  为了查找其他可能和“getpsw.exe”相关联的文件,首先记录下“getpsw.exe”文件的创建日期,点击“开始”菜单中“搜索”中的“文件或文件夹”命令,在弹出的搜索窗口点击“所有文件或文件夹”选项,然后通过指定日期来进行查找。果然很快又查找到两个和getpsw.exe同样日期的文件,名称分别为psw.dll和psw.bpl.

  打开任务管理器,经过认真的查看后,并没有发现可疑的进程,看来该木马使用了线程插入技术。马上又运行木马辅助查找器,点击其中的“进程监控”标签,很快就在资源管理器的进程Explorer.exe中发现了可疑的“psw.dll”。

  猛追狠打,斩草除根

  现在我打算开始清除操作,首先到注册表的Run启动项中删除getpsw这个启动项,然后来到系统的system32目录找到getpsw.exe、psw.dll、psw.bpl这三个文件进行删除,由于psw.dll正在被使用,所以暂时不能被删除。

  马上重新启动系统,再对psw.dll这个文件进行删除即可。接着再对系统的进程、启动项、系统目录进行检查,没有发现可疑文件的踪迹,确定已经将恶意程序成功地清除了。

  虽然已经成功地清除恶意程序,但还没有完,我打算将这个盗号的黑手找出来。由于文件已经清除,所以想通过嗅探抓包分析是不可能了,不过通过十六进制工具对程序进行分析也可以。

  运行Ultra Edit载入getpsw.exe,由于一般的恶意程序都是将获取的信息发送到指定的信箱或网址,所以搜索“。net”这个关键词,很快就得到了盗号者的信箱,但是没有获得信箱的用户名和密码。同时也得到了另一个信箱“max@juntuan.net”,看样子很熟悉,好像是黑客组织“第八军团”的信箱。马上登录他们的网站,果然在“军团作品”中发现了一个名为“军团侦察员”的盗号工具。

  刘勇朋友轻易地将这款名为“军团侦察员”的盗号木马清除,可见他对如何清除类似木马有相当的经验。

  同时,我们通过该木马程序的特点,比如截取多种程序的密码;通过采用DNS查询MX邮件服务器技术,成功绕开SMTP服务器认证,实现密码文件特快直达目标邮箱;可以看到未来盗号工具的一些雏形。

  虽然该木马程序使用了线程插入技术,但是仍然可以看出该程序在隐蔽性方面的脆弱。另外阿良提醒大家,在获得盗号者的信箱后,我们可以通过法律手段来保护自己的权益,因为目前国家已经有明确的立法,将非法盗取别人虚拟财产作为偷盗罪的一种。

热点关注:如何 彻底 删除 木马

  上一篇:  电脑无法正常关机(二)

  下一篇:  win32.parite.a


2016年职称计算机考试网上辅导
课程名称
老师/课时数/免费试听
价格
购买课程
中文Windows WIN7操作系统
100元
中文Windows XP操作系统
100元
Word 2003中文字处理
100元
Excel 2003中文电子表格
100元
PowerPoint 2003中文演示文稿
100元
Word 2007中文字处理
100元
Excel 2007中文电子表格
100元
PowerPoint 2007中文演示文稿
100元
金山演示2005
100元
Internet应用(XP)
100元
Internet应用(Win7)
100元
Photoshop 6.0图像处理
100元
Flash MX 2004动画制作
100元
Access 2000数据库管理系统
100元
WPS Office办公组合中文字处理
100元
金山文字2005
100元
金山表格2005
100元
FrontPage 2000网页制作
100元
Dreamweaver MX 2004网页制作
100元
AutoCAD2004制图软件
100元
Authorware 7.0多媒体制作
100元
Visual Foxpro 5.0数据库管理系统
100元
Photoshop CS4图像处理
100元
Project 2000项目管理
100元
用友财务(U8)软件
100元
用友财务(T3)会计信息化软件
100元
Frontpage 2003网页制作
100元
相关资讯:
网站导航:
职业培训教育网                    更多>>
 经 济 师 指南 动态 查分 试题 复习  职 称 英 语 指南 动态 查分 试题 复习
 职称计算机 指南 动态 查分 试题 复习  招 标 师 指南 动态 查分 试题 复习
 公 务 员 指南 动态 查分 试题 复习  人力资源管理 指南 动态 查分 试题 复习
 教师资格 指南 动态 查分 试题 复习  农村信用社 指南 动态 查分 试题 复习
 公共营养师 指南 动态 查分 试题 复习  心理咨询师 指南 动态 查分 试题 复习
一级消防师 指南 动态 查分 试题 复习 二级消防师 指南 动态 查分 试题 复习

·考试简介 ·报名条件 ·考试科目 ·免考条件
·考试时间 ·考试证书 ·成绩查询 ·指定教材
·合格标准 ·证书期限 ·职称英语

  • 视频课程
按教材章节体系全面讲解,
帮助考生掌握知识点、夯实基础。
视频课程

  

真实环境模拟;
紧扣最新大纲;
免费试用,终身升级;
题库及时更新;
版权声明
  1、凡本网注明 “来源:职业培训教育网”的所有作品,版权均属职业培训教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:职业培训教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:chinatat@chinatat.com
电话:010-82333888