常在河邊走,哪能不濕鞋。經常在網絡上游走的人們,與病毒、木馬等惡意程序的“邂逅”,也是一件無奈的“榮耀”之事。對于這些不期而遇的木馬、病毒們,我們如何才能識破它們的陰謀詭計,將它們一網打盡呢?
利用殺毒工具雖然有時可以實現這一要求,但面對著這些經常“推陳出新”的惡意程序,主動防御式的殺毒工具們并不能把它們逐一“殲滅”。為此,我們不妨選擇一款“防守反擊”大師“Wsyscheck”,讓它引領我們將病毒、木馬清掃出門。相關精彩文章謹防"小木馬"和"游戲追擊手"兩變種小心郵件傳播病毒和游戲盜號木馬 一.辨清進程去“殺馬”
眾所周知,許多病毒、木馬都是以進程的形式“鑲嵌”在系統中,并且它們還會隱藏和偽裝自己。采用服務驅勸的方式,利用一種叫做Rootkit的技術,對自身的服務進行隱藏,使它們的破壞能力得以發揮。 不過,這一切在遇到“Wsyscheck”后,它們的“隱身衣”便會不幸升級為“皇帝的新裝”:無論是普通的木馬、病毒,還是采用Rootkit技術的高級惡意程序,都會在“Wsyscheck”面前原形畢露。
1.驗證正常進程
該工具為綠色工具,無需安裝即可使用。運行“Wsyscheck.exe”后開啟程序主界面。
在該主界面中,單擊“進程管理”選項卡,便會顯示出當前系統中所有處于運行狀態的進程(圖1)。
![]("http://it.people.com.cn/mediafile/200706/07/P200706071340221614322990.jpg")
在進程列表中,我們看到進程名稱上有三種不同的顏色顯示,那么這又代表什么呢?
黑色顯示的進程為正常的系統進程,它表現當前進程絕對安全,對于這部分進程, 我們無需關注;紅色顯示的進程表示為第三方程序進程,在這其中,既有健康無害的進程,也有可能存在木馬、病毒等有害進程。
通常,我們可以簡單地通過進程名稱來辨明木馬、病毒。一些木馬、病毒會起著與系統進程完全一樣或類似的名稱,比如SVCHOST.exe為正常的系統進程,而當某個進程為SVCH0ST.exe,即將數字“0”來替代英文字母“O”時,便要格外留意了。
除了上述方法外,還可通過進程列表中的映像路徑列表、文件廠商名稱來判斷。如某些病毒、木馬會主動將進程路徑選擇為系統所在目錄,讓用戶誤將它認為是正常的系統進程。
小提示:單擊進程列表的某個進程名稱,可以底部的模塊框內顯示出與之相關的模塊路徑。
2.明辨DLL文件
在進程列表中,我們還發現一種以紫色顯示的進程,它又是什么呢?其實它也是系統進程。只是與黑色顯示的進程相比,這種進程的身上還安插著一些“第三者”,也就是第三方程序所加載的DLL文件和驅動。
正因為這些系統進程可以讓第三方程序的DLL、驅動駐留,才使得它們成為木馬、病毒們的侵犯目標。既然進程中的DLL文件有可能是木馬程序,那么我們還是選擇來為其驗明正身吧!
步驟1 單擊進程列表中某個以紫色顯示的系統進程,如IEXPLORE.EXE,在下方的模塊窗口中會顯示出所有與之相關的DLL文件(圖2)。
![]("http://it.people.com.cn/mediafile/200706/07/P200706071341022676666311.jpg")
這些DLL文件共有兩種顏色顯示,分別是黑色和紅色。其中黑色是正常的系統DLL文件,而紅色則是加載第三方模塊的DLL文件,也就是紅色的DLL文件就很可能就是某個木馬的DLL文件。
步驟2 如果希望僅顯示紅色的DLL文件,那么只要依次選擇主菜單“文件→模塊簡潔顯示”命令即可。當再次選擇系統進程時,在模塊框內就會顯示出所有紅色的DLL文件(圖3)。
![]("http://it.people.com.cn/mediafile/200706/07/P200706071341083214419995.jpg")
在辨識這些DLL文件是否為木馬文件時,因為在模塊框有“模塊路徑”和“文件廠商”這兩個字段名稱,所以作為普通用戶同樣可以通過這兩個字段名稱去判斷。
步驟3 此外還能夠通過查看文件屬性這一途徑來實現。比如在IEXPLORE.EXE內駐留一個名為snagitbho.dll的動態鏈接庫文件。此時可以其上單擊鼠標右鍵,選擇右鍵菜單上的“文件屬性”命令,在彈出的對話框中單擊“版本”選項卡,即可查看到snagitbho.dll的“真實身份”,為判定是否為木馬留下寶貴的線索(圖4)。
![]("http://it.people.com.cn/mediafile/200706/07/P200706071341149066213222.jpg")
小提示:在判明木馬程序后,在其上單擊鼠標右鍵,選擇右鍵菜單上的“卸載模塊并刪除文件”命令,就能將木馬清除;對于一些啟動后仍能重新生成的木馬,可選擇快捷菜單上的“添加至DOS刪除列表”命令,這樣在系統重啟后會自動刪除木馬程序。
二.用服務控制木馬
木馬、病毒們除了可以利用進程這個通道外,有些木馬為了免遭殺毒軟件的查殺,經常將自己搖身一變,偽裝成系統服務讓其隨系統啟動自動運行,從而不知不覺地長久控制著用戶機器。因此對付此類性質的木馬,不妨利用“Wsyscheck”的“服務管理”功能。
步驟1 單擊主界面上的“服務管理”選項卡,即可在開啟的頁面中看到有黑色、紅色、紫色三種顏色標識的服務名稱(圖5)。
![]("http://it.people.com.cn/mediafile/200706/07/P200706071341482144217169.jpg")
其中顯示黑色的服務為正常的系統服務,我們無需過問。不過若對某些服務有所懷疑,可在選擇該服務后單擊鼠標右鍵,選擇快捷菜單上的“檢驗微軟文件的簽名”來驗證;顯示紫色、紅色的服務都表示是帶有來自第三方的服務,此時仍然可以通過右鍵菜單上的“文件屬性”來判斷是否為木馬服務。
步驟2 若確信為木馬服務,那么可將其選中后,選擇右鍵菜單上的“停止服務”或“禁用”命令,將其中止或禁用。
步驟3 然后選擇“刪除選中的服務”命令,這樣就能夠刪除該服務在注冊表中的鍵值,令其無法啟動;當然,如果選擇“刪除選中的服務與文件”命令,還能夠徹底刪除木馬服務及對應的文件,令其再無作惡的可能。
小提示:針對重啟后仍能“復活”的服務程序,選擇“添加到DOS刪除列表”即可將其根治。
三.通過端口覓得木馬
目前,許多木馬都會通過監聽電腦上一些特別端口的方法,將有用的信息告訴給控制方,以便控制方從中獲悉自己所需的內容。根據這個特點,我們只需查探自己的電腦是否有異常的端口活動,就能夠確定是否有木馬存在。
由于木馬大都會選擇一些特殊端口進行監聽活動,比如3210,3333,6267等,假如我們發現這些特殊端口已經被使用,那么很可能你的電腦已經被木馬所侵占了。
在“Wsyscheck”中查看活動端口的方法很簡單。只要單擊“安全檢查”選項卡,在下方展開的選項頁面中選擇“端口狀態”,就能夠查看到當前系統的正在通訊的本地端口和遠程端口號(圖6)。
![]("http://it.people.com.cn/mediafile/200706/07/P200706071342181956920151.jpg")
如果在這些端口號中恰好存在著所熟知的木馬特殊端口,那么十之八九你的系統已經被木馬“套牢”。因此在查看了對應的程序名稱和進程“PID”號后,再轉至“Wsyscheck”的“進程管理”頁面,找到與“PID”相對應的進程,再按上述方法對木馬進行的“解套”操作即可。
小提示:PID即進程ID號,也就是系統進程的唯一編號,通過這個編號可以查找到與之對應的進程名稱。
除了上述查找木馬、病毒的方法外,利用“Wsyscheck”還可以查看注冊表鍵值的改動情況、對注冊表及文件進行管理、檢測IE安全、檢查和修復被第三方DLL破壞的Winsock等操作。因篇幅所限,故在此不再多做敘述,對此感興趣的朋友不妨一試。
