如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明: 1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它 2、启动注册表编辑器,查看以下几个地方: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run... 看看启动表项里是否有可疑的程序 HKEY_CLASSES_ROOT\exefile\shell\open\command 看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %* HKEY_CLASSES_ROOT\inffile\shell\open\command 看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1 HKEY_CLASSES_ROOT\inifile\shell\open\command 看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1 HKEY_CLASSES_ROOT\txtfile\shell\open\command 看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1 记录下来,暂时不要更改 3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports。 用来看端口与进程的关系,找出使用异常端口的进程 4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。 5、开始->程序->启动中是否有奇怪的启动文件 综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了 6、清除木马的顺序是: 先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件。 注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding)。 另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件。