本文目录一览:
- 1、win7系统如何找到隐藏的木马病毒
- 2、怎样清除隐藏的木马
- 3、找出手机隐藏木马怎么找?
- 4、怎样查杀隐藏木马病毒?
- 5、如何查处隐藏在电脑里的病毒和木马?
- 6、怎么样才能查杀到隐藏在电脑里的木马病毒?
win7系统如何找到隐藏的木马病毒
具体方法如下:
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
解决方法:大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:/windows/file.exe load=c:/windows/file.exe
4、伪装在普通文件中
对于不熟练的windows操作者,很容易上当。
解决方法:把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。
5、内置到注册表中
注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;
HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值。
按照上述五种方法操作win7系统可以找到隐藏的木马病毒,保护系统电脑安全。
怎样清除隐藏的木马
一、关闭病毒进程
在任务管理器应用程序里面查找类似kill等你不认识的进程,右键—转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键—结束进程树。
二、显示出被隐藏的系统文件
开始—运行—regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
删除CheckedValue键值,单击右键
新建—Dword值—命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒
在分区盘上单击鼠标右键—打开,看到每个盘跟目录下有autorun.inf
和tel\.xls\.exe
两个文件,将其删除,U盘同样。
四、删除病毒的自动运行项
开始—运行—msconfig—启动—删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除类似C:\WINDOWS\system32\SVOHOST.exe
的项。
五、删除遗留文件
C:\WINDOWS\
跟
C:\WINDOWS\system32\
目录下删除SVOHOST.exe(注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,不要误删哦,自己注意。重启电脑后,基本可以了。
找出手机隐藏木马怎么找?
可以通过安装安全软件来排查手机中的木马病毒。
一般来说,手机木马是否存在于你的周围,源于你平时对于网络安全的重视和警惕。
1.木马病毒具有一定的隐蔽性,因此一般来说需要使用杀毒软件或者手机自带的安全中心进行扫描。
2.任何一款杀毒软件都会因为查杀引擎,病毒库样本数量影响对未知病毒的判断,因此扫描结果只是相对的。
3.日常上网遇到陌生链接不要随便点击,下载app尽可能前往官网。
4.手机权限不要随便提供给软件,例如imei,gps定位,这些可能会影响到使用的隐私安全,特别是root,root权限相当于手机令牌,软件一旦恶意使用,手机会变得非常危险。
木马防范。
1、检测和寻找木马隐藏的位置。
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
2、防范端口。
检查计算机用到什么样的端口,正常运用的是哪些端口,而哪些端口不是正常开启的;了解计算机端口状态,哪些端口目前是连接的,特别注意这种开放是否是正常;查看当前的数据交换情况,重点注意哪些数据交换比较频繁的,是否属于正常数据交换。关闭一些不必要的端口。
怎样查杀隐藏木马病毒?
360提示有毒之后可能是自动处理了病毒。。。你看一下360的处理记录
你的电脑有没有显示隐藏文件????有些病毒是隐藏的,方法:我的电脑--工具--文件夹选项---查看--高级设置--显示所有文件和文件夹
如何查处隐藏在电脑里的病毒和木马?
申明:以下内容全部转载!原作者标在最后
做了几年的网管.遇到问题最多的就是电脑病毒,多数人通病就是遇到厉害的病毒,杀毒软件解决不了的,干脆就重装系统.确实这是个好方法,但你想过没有,如果多学点这方面的技术,5分钟就能搞定的问题,为什么要重装系统呢?
在WINDOW系统下,任何一个程序一定,肯定会有一个进程,病毒也不例外.在进程管理器中看不见,并不代表没得哦.灰鸽子就是靠隐藏进程出名的.先来给大家讲一下病毒的几种表现形式:
第一种.DLL动态链接库注入型木马:
什么是DLL呢?扩展名为.DLL是动态链接库,当某一进程需要实现某一功能时,此功能可能是放在某一动态链接库文件中的,所以,当进程需要使用时就要将动态库文件加载到自己的进程中.一个无进程的木马很有可能就是DLL注入型的,注入的方法可以通过注册表.还可以通过另一个进程,来打开现有的进程,来将DLL注入到被打开的正常进程中,然后,执行注入的进程退出,这样,在进程列表中仍然看不到木马的进程。
查杀方法:
使用工具查看每一个进程加载的模块,发现可疑或者名字特别奇怪的就是病毒注入到正常进程中的DLL,这种DLL注入型病毒通常会通过服务加载到每一个正常的进程中,注入的DLL都是一个文件,删除病毒的DLL文件后,重启电脑就OK了.
第二种.无进程,线程注入型木马
相对于进程,线程就是一个进程中的一个个执行单位。线程注入又是咋回事呢?线程注入,就是木马程序将一个恶意线程放到了正常进程的线程序列中去执行,就像在工厂中多增加了一组自己的工人,这一组工人与其它的正常的几组工人没有什么关系,但却借用了人家的工厂去从事着非法的勾档.
线程注入与DLL注入的区别是,线程注入只是增加了一组工人,这组工人是在以工厂的名义在工作,对外的名义也是工厂的名字,出了问题是由工厂负责的。而DLL注入呢,是外包,可能会增加一组工人也可能会增加多组,是以DLL自己的名义在工厂内工作的,出了问题是由DLL来负责的。当然了,如果问题大了,工厂也会受牵连的.
查杀方法:
相比较起来,查杀线程注入型的木马,就比较困难了,我们上面说了,线程注入的没有自己的文件,只是一段注入的代码。也就是说他只是混入工厂内的一组工人,并没有自己的工厂也没有自己招牌,想把他与正常的工人区分开,是很困难的。同样,也要借助于专门工具,进程占用CPU高的是首先查看的目标,查看线程的时候,基址越大的,就是启动越晚的线程,通常对付线程注入型病毒,要从它的启动源来着手,关键在于阻止病毒向进程中写入代码.
第三种.驱动型木马.
什么是驱动型木马呢?就是全部功能放到了驱动程序中去完成.什么又叫驱动程序呢?驱动程序顾名思义就是驱使设备动起来的程序。其作用是让特殊的硬件和Windows操作系统可以交换数据,比如我们按下了键盘的A键,那键盘驱动就要告诉Windows系统“这家伙按下了A键,你看咋办吧”,它只是告诉一声,后面的工作就由系统来处理了,系统会根据不同的情况进行不同的处理,如果你是在打字,那就把A这个字符显示在你的输入页面中,如果你用的是五笔,显然直接显示个A是不行的,Windows系统就会把你输入A的这个信息转给了输入法程序……最终实现你按A的目的。
为什么要用驱动来完成木马的功能呢?因为在WINDOW中驱动程序是以最高权限在运行,相当于公司的股东或董事的权力,而且进程中是不会显示驱动程序的进程.国产吹得厉害的瑞星和金山等,它们的权力就像公司内部的审记部门,你可以审查和开除公司其它员工,但就是没权力审查或开除公司的股东或董事吧.HEHE.可想而知,病毒一但获得这种权力,就算你知道它是病毒,你也无法清除它了.何况病毒并不傻,有了这种权力我为什么要让你发现呢?我可以利用这种特权悄悄的做我自己想做的事.WINDOW系统下,你装了驱动程序,哪么你就要多一个设备出来吧.HEHE.我们进入设备管理器中可以看到系统所有已经安装的驱动程序,当然也包括木马驱动了,通常木马驱动程序都是安装在"非即插即用驱动程序"这项里面.数目太多判断难度大.
查杀方法:
还是要利用专门的工具,驱动程序都会加载.SYS文件,哪么正常的驱动文件是微软认证或是第三方认证的,排除了这些正常的驱动,剩下的就是可疑驱动程序了,为什么这里不说剩下的就是木马驱动了呢?因为有一些正常的驱动程序,比如说TCPIP.SYS文件,WINXP默认是10个连接数.你修改了系统连接数.哪么这个驱动文件就会有所改变,当然不能通过认证了.
第四种.利用技术手段隐藏进程的木马
上面介绍的都是无进程,只是利用其它进程实现病毒自己的功能.而这种技术型隐藏进程的木马,你无法破解它的隐身方法,看不到它的进程.查杀无从谈起.
WINDOW系统给软件开发人员提供了几种列出系统中所有进程.模块和驱动的方法.最常见的也是最常用的方法就是调用系统API:CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,我们调用这几个函数其实就是在告诉系统,我们需要进程列表,然后系统就会按照我们的要求,把列表返回给我们.这几个API接到请求后,调用ZwQuerySystemInformation,接着ZwQuerySystemInformation会调用KiSystemService切入内核进入R0权限,然后自SSDT表中查取得NtQuerySystemInformation的地址,并调用其指向的实际代码,而NtQuerySystemInformation的作用则是自系统的数据结构中取相应的数据,再顺原路返回去,在中间任何一个环节进行拦截进行修改都可以实现隐藏进程的目的.这种方法被称为"HOOK".
正常调用API的时候,系统会根据SSDT表正确的指向系统的API函数,但是病毒修改了SSDT表后,当你调用结束进程NtTerminateProcess函数时,SSDT表指向的地址就不是这个真正NtTerminateProcess函数的地址了,而是指向病毒自己的函数,用户想结束病毒的进程,使用的函数却是病毒的函数,你认为它会听你的话吗?这只是一种,还有一种更厉害的就是"LINEHOOK",这种类型的病毒修改的不是SSDT表,而是修改的函数代码.从原理上可知,修改SSDT表导致函数地址被HOOK的病毒,只要恢复SSDT表,然后清除病毒主程序就完了.而这种LINEHOOK修改代码的技术,更是难以防范.因为它并没有修改SSDT表,而是修改系统中正常的API函数,添加自己想要的功能进去,举个例子,用户查向系统发出查询系统进程的命令,系统按照要求在SSDT表中找到对应函数的地址,对函数进行调用,比如这个函数名为A.接着函数A把返回的结果传回系统中显示出来,这是正常的情况下.非正常的情况下,病毒并不是修改SSDT表,而是修改函数A中的内容,加上自己的功能,比哪说隐藏自己.在返回系统进程的信息中,把病毒自己的进程名给删除了,用户最终在进程管理器中看到的进程,理所当然的不包括病毒进程了.明白了吧.
以上这些都是我多年杀毒总结出来的经验,当然引用了一些专业名词,能看懂的尽量看懂吧,将会对你有很大的帮助.我平常都把一些常用的辅助工具软件用U盘存放起来,方便随时使用,武林高手在怎么说手上总得有把利剑吧...
原作者:漫步云端
怎么样才能查杀到隐藏在电脑里的木马病毒?
建议下载 360杀毒+360安全卫士+360保险箱+360ARP防火墙+360安全浏览器+优化大师+超级兔子魔法设置+驱动人生. 我介绍下我建议的安全配置,安装好就可以免除病毒之苦!(以下软件,全部终身无条件免费)360杀毒:1,360杀毒承诺一切下载、升级完全免费. 2,您可能已经购买或安装了其他杀毒软件,但是还想能对病毒多一道防护,而大部分杀毒软件之间是不能共存的,不能共存的主要原因是实时防护功能的冲突,同时实时防护功能也会消耗较多系统资源。360杀毒绿色版为了能让更多用户能流畅体验我们的产品,在保持强大的查杀能力的同时,特别去掉了实时防护功能。360杀毒能与其他杀毒软件和谐共存,无冲突运行,为您的电脑安全提供另外一个优秀选择。3,360杀毒绿色版采用了更智能的系统资源申请技术,占用的系统资源可自适应调整,让您的系统运行更流畅。4,360杀毒由360安全中心及BitDefender联合出品。BitDefender在全球市场屡获好评,拥有全球领先的病毒查杀技术及最大的病毒特征库,加上360安全中心的快速响应,能实现病毒特征库的小时级更新。官方网下载地址 360安全卫士:1.全新的体检模式,安全隐患一网打尽2.优化补丁下载速度,修复漏洞更快捷3.全新软件管理,软件下载更安全更便捷4.内附360保险箱,远离帐号问题的困扰5.全新360求助中心,问题解决更快、更方便6.360文件知识库智能查询.官方下载地址 360保险箱:360保险箱是360安全中心推出的帐号密码安全保护软件,完全免费,采用的主动防御技术,可以阻止盗号木马对网游、聊天等程序的侵入,主要帮助用户保护网游帐号、聊天帐号、网银帐号、炒股帐号等,防止由于帐号丢失导致的虚拟资产和真实资产受到损失。与360安全卫士配合使用,保护效果加倍!(不需下载,360安全卫士自带) 360ARP防火墙:1,内核层双向拦截本机和外部ARP攻击,及时查杀ARP木马。2、精准追踪攻击源IP,方便网管及时查询攻击源。3、拦截DNS欺骗、网关欺骗、IP冲突等多种攻击。(不需下载,360安全卫士自带) 360安全浏览器:智能拦截恶意网站和钓鱼网站,下载文件即时扫描,百毒不侵的[超强安全模式],体积轻巧功能丰富,媲美同类多窗口浏览器。官方下载网址 优化大师:Windows优化大师是一款功能强大的系统辅助软件,它提供了全面有效且简便安全的系统检测、系统优化、系统清理、系统维护四大功能模块及数个附加的工具软件。使用Windows优化大师,能够有效地帮助用户了解自己的计算机软硬件信息;简化操作系统设置步骤;提升计算机运行效率;清理系统运行时产生的垃圾;修复系统故障及安全漏洞;维护系统的正常运转。官方下载网址 超级兔子魔法设置:超级兔子是一个完整的系统维护工具,可能清理你大多数的文件、注册表里面的垃圾,同时还有强力的软件卸载功能,专业的卸载可以清理一个软件在电脑内的所有记录。共有9大组件,可以优化、设置系统大多数的选项,打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能,还能防止其它人浏览网站,阻挡色情网站,以及端口的过滤。超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度,由此检测电脑的稳定性及速度,还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式,同时超级兔子网站提供大多数进程的详细信息,是国内最大的进程库。超级兔子安全助手可能隐藏磁盘、加密文件,超级兔子系统备份是国内唯一能完整保存Windows XP/2003/Vista注册表的软件,彻底解决系统上的问题。官方下载网址 驱动人生:驱动人生是一款免费的驱动管理软件,实现智能检测硬件并自动查找安装驱动,为用户提供最新驱动更新,本机驱动备份、还原和卸载等功能。软件界面清晰,操作简单,设置人性化等优点,大大方便广大机友管理自己的电脑的驱动程序。驱动人生支持所有品牌(如Intel、nVidia/3DFX、AMD/ATI、VIA/S3、Realtek、C-Media、Marvell、ADI、IBM、Creative、Broadcom、Conexant、 SigmaTel、Matrox等)的主板、显卡、声卡、网卡、调制解调器、摄像头、无线、打印机、扫描仪、读卡器、阵列卡、蓝牙、手写板、读写器、USB、1394、Bluetooth、Display、Image、MEDIA、Modem、Net、PCMCIA、SCSIAdapter、 SmartCardReader、System、MODEM、串口、并口等设备的识别与驱动。官方下载网址 如果不行就加我Q:412141392反对盗版,严禁盗版,盗版枪毙! 骷髏_丶/kl 亲笔