[下载]：对付木马：空手入白刃 谁动了我的电脑系统

whwhq

　　某一天，你在系统进程中发现了不寻常的程序，正常程序？恶意程序？如果是恶意程序，在最新的防病毒软件不能识别的情况下，难道我们就只能听之任之？

　　俗话说：邪不胜正。这里笔者通过一个例子，给大家演示一下如何得知自己系统进程中的程序是不是木马。很简单！明白道理后可以举一反三，你再也不用害怕木马了，自己动手不用其他工具就可以灭了木马。

　　[异常反应]

　　木马降临的征兆

　　最近电脑为什么老是莫名其妙死机和重新启动；运行什么东西都显得慢慢腾腾的，今天QQ密码又被盗了，还有邮箱密码......多半你已经种了木马或者黑客程序。因为中了木马，你的机器已经被黑客完全远程控制，他可以检测、记录你的密码，关闭或者打开特定的应用程序，甚至让你的机器重新启动！现在有的木马即使你用最新杀毒软件也扫描不出，更令人气愤的是防火墙也无法启动......一旦你的电脑出现上述症状，肯定是中了黑马，可以跟着笔者进入下一步了。

　　[可疑程序]

　　是木马？还是正常程序？

　　我们知道Windows在启动的时候会自动运行一些程序，这既包括系统服务，也包括驱动程序，当然也有一部分是你自己安装的程序，所以发现自己的系统中运行有你不熟悉的程序时，不要着急，首先需要确定这是不是你的Windows正常运行需要的驱动程序或者服务。

　　1.系统运行程序大曝光

　　首先我们要查看系统当前到底运行哪些应用程序。在Win2000/XP/2003下，可以通过按下Ctrl+Alt+Del来打开“任务管理器”查看，不过Win9x/Me下却不能通过“任务管理器”查看所有运行的程序，所以笔者这里采用功能更加强大，使用更加方便的WinTasks 4 professional来完成这个任务。

　　2.木马，正常程序？

　　你在进程管理器重发现了一个可执行文件DefWatch.exe，这到底是木马还是正常程序呢？我们可以借助网络来帮忙。

　　打开著名的搜索引擎Google，在搜索栏中输入DefWatch搜索，发现DefWatch和著名的防病毒软件Norton AntiVirus有关，并不是木马。笔者经常用这种方式搜索未知运行程序，百试而不爽，通过这种方式，甚至可以直接发现木马......

sunny_258

最初由 whwhq 发布
[B]　　最近电脑为什么老是莫名其妙死机和重新启动；运行什么东西都显得慢慢腾腾的，... [/B]

我的电脑最近就是如此，中了木马，不过已经整好了。

cadjam

我下载了个叫speedup的进程管理软件，里面可以显示隐藏的进程，呵呵，有木马一看就知道

tanglingxue

还有所有的补丁最好全打齐，否则中了蠕虫病毒上网时速度会奇慢

mermaidjb

最初由 cadjam 发布
[B]我下载了个叫speedup的进程管理软件，里面可以显示隐藏的进程，呵呵，有木马一看就知道 [/B]

这个程序很好用,幕后程序一眼就能看清楚,不过程序运行多了的时候找一起来有点麻烦~!

第四类感情

楼主的方法最多只能对付现在比较普通级别的木马了，高级的木马你就只能看了，这方法根本派不上用场。
比较典型的就是广外男生，还有其它的几种都是同理的。
它采用的并非是隐藏进程的技术，而是DLL（也就是动态链接库）后门技术，但是DLL后门本身不是一个可运行的程序，所以它通过其他正常程序的DLL加载来实现的，具体的实现方法可以通过RUNDLL32.EXE来调用执行，也可以利用远程线程技术或DLL注射方法挂接到一些系统进程中运行，又或者用替换正常的DLL文件的方式等。
广外男生就是利用DLL注射方式挂接到系统进程中，比如说我们不能不使用的EXPLORER.EXE进程，就算你结束了该进程，它还会注入到其它的进程中去。
还有就是，该木以使用的是反弹端口技术，也就是说：普通的木马（比如冰河）使用的是客户端连接服务端，而现在的木马几乎用的都是服务端去连接客户端。以前的时候当出来那阵还能避开防火墙（以前的防火墙没有检查出站的功能），猖狂了一时。但现在的防火墙几乎都有检查出站程序的功能，这样的话就方便我们查看哪些非法程序连接网络了，你就可以禁止，呵呵，没有网络它就差不多是死的了。
下面是一张广外男生的图片，大家可以看看，我是在自己机子上面实验的，并不是别人的机子（偶不会入侵）。
呵呵，要赶快把它弄死，不然就有可能是我死了。
所以说，现在隐藏进程的木马已经很少了，如果遇见了这种线程技术的程序呢？如果杀毒软件失效，那你只有在网上搜索清除它的方法了。
还有一种以毒制毒的方法，因为木马的客户端上面几乎都有一个卸载服务端的功能，你如果发现你中了该木马，而不知道怎么卸载的话。那你可以下载一个该木马，然后再配置一个服务端，在本机运行（这样能替换以前的服务端），然后再利用客户端来卸载。
呵呵，说得太多了。