通过使用autoruns、procexp、currports相结合,来提高检查效率,清除干净木马病毒。
介紹&使用
CurrPorts是一個(gè)檢測(cè)連接工具,可以列出所有TCP和UDP的連接以及打開的端口、應(yīng)用程序等。
CurrPorts運(yùn)行后即可看到應(yīng)用程序的進(jìn)程名稱、進(jìn)程id、協(xié)議、本地端口、本地地址、遠(yuǎn)程端口、遠(yuǎn)程地址、進(jìn)程路徑等信息,如下圖。
?
點(diǎn)擊標(biāo)題欄相應(yīng)的項(xiàng),可根據(jù)相應(yīng)項(xiàng)進(jìn)行排序,例如點(diǎn)擊進(jìn)程id后,id會(huì)從小到大進(jìn)行排列,如下圖。
?
選中某一個(gè)應(yīng)用程序,雙擊可顯示其詳細(xì)信息,例如雙擊谷歌瀏覽器進(jìn)程,顯示信息如下圖。
?
對(duì)于可疑的應(yīng)用程序,懷疑為木馬病毒時(shí),可以點(diǎn)擊右鍵選擇close selected tcp connections,即關(guān)閉選定的tcp連接,進(jìn)行關(guān)閉,然后觀察該程序是否會(huì)打開新的端口,如果還會(huì)自動(dòng)打開新端口,則可以定位到該程序的具體位置,根據(jù)程序的路徑、名稱等信息進(jìn)行進(jìn)一步的判斷。
?
Currports也支持多個(gè)進(jìn)程選中進(jìn)行關(guān)閉操作,同時(shí)currports也可以將列表信息進(jìn)行報(bào)告導(dǎo)出,為html格式,在view菜單欄下的html report即可導(dǎo)出,如下圖。
?
Procexp使用
對(duì)于currports檢測(cè)出的可以程序,我們可以使用procexp來進(jìn)一步判斷,判斷依據(jù)可以根據(jù)之前介紹autoruns使用時(shí)的方法,看下描述以及公司信息等來確定,如下圖。
?
再一個(gè),可以多關(guān)注下進(jìn)程的數(shù)量,如果一個(gè)進(jìn)程有兩個(gè)進(jìn)程樹,而本地又只登錄了一個(gè)用戶的情況下,則有可能是木馬病毒插入了進(jìn)程。例如常見的notpad等編輯器進(jìn)程等。
另外,雙擊進(jìn)程可彈出屬性框,可查看安全、性能、線程等信息。如下圖。
?
如果確定為惡意程序,則可以直接節(jié)數(shù)進(jìn)程樹以此來終止木馬程序的所有相關(guān)進(jìn)程,同時(shí)也可以結(jié)合autoruns對(duì)服務(wù)、自啟動(dòng)等項(xiàng)進(jìn)行檢查,刪除其自動(dòng)加載。
總結(jié)
以上是生活随笔為你收集整理的通过使用autoruns、procexp、currports相结合,来提高检查效率,清除干净木马病毒。的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
