水科院首页
首页 院公告 管理部门 科研生产 科技论文 学术交流 广东水利 全国水事 下载 综合 留言簿
  当前位置:首页>> 综合>> 计算机 >>正文 文章搜索...
手工检查木马和终止进程的方法
chen在2008/5/22 10:40:33发表,被浏览6870

一、检查电脑是否有木马的方法

1、检查网络连接情况

    由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。
    方法是进入MSDOS命令符方式,然后输入netstat -an这个命令。查看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。

2、查看目前运行的服务

    服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。
    方法是进入MSDOS命令符方式,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。

3、检查系统启动项

    由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的。


二、终止病毒进程的运行,以方便删除病毒文件

    病毒程序的进程一般不让我们终止,我们可以找专门的软件。不过,Windows自带的工具就能杀大部分进程:

    方法一:  
    c:>ntsd -c q -p PID

    把最后那个PID,改成你要终止的进程的ID。
    如果你不知道进程的ID,任务管理器->进程>选项菜单->查看->选择列->勾上"PID(进程标识符)",然后就能看见了。  

   只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,运行ntsd本身需要它。  
   ntsd命令是从2000开始的系统自带的调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。  
   使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了。NtsdNtsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息,请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口,输入:  
 
    方法二:  

  xp下还有两个好东东tasklist和tskill。
        tasklist能列出所有的进程,和相应的信息。
        tskill能查杀进程,语法很简单:tskill 程序名

发表评论 评论人 评论共 0 条   发表时间
【相关文章】
HTML颜色参考
微软曝出MPEG-2视频0day漏洞 大…
XP网络不能互访的解决之道
全国主要省份城市的DNS服务器地址
23招打造极速WinXP
Windows经典问题集
WinXP计算机启动过程概述
WinXP核心系统进程及其解释
【同期文章】
关于举行省水科院“缴纳特殊党费支援抗震救…
积极缴纳“特殊党费”
关于举行广东省水科院团员及青年同志开展赈…
 

广东省水利水电科学研究院

 

地址:广州市天河区天寿路116号 广东水利大厦B座
电话:020-38036867、38036823  邮箱:box@gdsky.com.cn
本网站由广东水科院信息所开发、维护