『壹』 高手请进,怎样才能快速的知道一张jpg图片有没有捆绑别的文件或是木马程序请指教,谢谢!
朋友,你可以安装360杀毒,如果你查看的图片有木马病毒,它会给出提示。
『贰』 如何快速判断一个文件是否被捆绑病毒
使用杀毒软件扫描。
杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
(2)手工查看是不是捆绑文件扩展阅读
软件常识
1、杀毒软件不可能查杀所有病毒;
2、杀毒软件能查到的病毒,不一定能杀掉;
3、一台电脑每个操作系统下不必同时安装两套或两套以上的杀毒软件(除非有兼容或绿色版,其实很多杀软兼容性很好,国产杀软几乎不用担心兼容性问题),另外建议查看不兼容的程序列表。
4、杀毒软件对被感染的文件杀毒有多种方式:清除、删除、禁止访问、隔离、不处理。
『叁』 100分求如何检查程序是否绑定木马或其他病毒程序
这是我在网上找的,自己也试了一下,可以用1.灰鸽子的运行原理 灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些\"漏网之鱼\"。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。 手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。 2.灰鸽子的手工检测 由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了\"显示所有隐藏文件\"也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以\"_hook.dll\"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择\"Safe Mode\"或\"安全模式\"。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开\"我的电脑\",选择菜单\"工具\"-》\"文件夹选项\",点击\"查看\",取消\"隐藏受保护的操作系统文件\"前的对勾,并在\"隐藏文件和文件夹\"项中选择\"显示所有文件和文件夹\",然后点击\"确定\"。 2、打开Windows的\"搜索文件\",文件名称输入\"_hook.dll\",搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。 4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。 3.灰鸽子的手工清除 经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 注意:为防止误操作,清除前一定要做好备份。 一、清除灰鸽子的服务 2000/XP系统: 1、打开注册表编辑器(点击\"开始\"-》\"运行\",输入\"Regedit.exe\",确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。 2、点击菜单\"编辑\"-》\"查找\",\"查找目标\"输入\"game.exe\",点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。 、删除整个Game_Server项。 98/me系统: 在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。 [img]http://www.hacker.cn/Files/BeyondPic/92136515.gif[/img 二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。 病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
『肆』 如何知道一个软件是否被捆绑其他的文件
网络搜括号里的文字 [领域出品,检测捆绑,捆绑分离,人人必备]查文件是否被捆绑其他文件
『伍』 如何检测软件有没有后门和捆绑
一.工具说明:冰刃:针对一些内核级木马所必须采用的工具!木马辅助查找器:主要利用监视C盘与程序字节大小功能!进程端口连接器:主要查看所检测的工具开放什么敏感端口!木马捆绑克星:没多大用处,但是这个是误报算低的了,其他的更不行!Ollydbg:32 位分析调试器,主要简单分析下软件是怎么运行,释放的!System Safety Monitor:类似防火墙,但在加强了应用层监视这些工具网上都有下载,估计大家都有吧,没有的话网上搜…..二本文我介绍两种方法检测:1.初步简单检测法一般我们在一些有名的软件站下载软件安全隐患是比较少的,如:天空软件站!但是不排除他们工作人员检测的很干净,人嘛,难免有疏忽!所以,我们也要做一些简单检测!在检测之前建议大家在虚拟机中进行,预防一些超级木马(如格盘程序),这里我拿美萍密码破解做演示!先用木马辅助查找器自带的捆绑数据检测,检测一下,是安全的!从这个检测结果看出,它主要检测的是字节,字节相等非捆绑,这也是其他木马捆绑克星所检测的基本原理!但是本文的木马克星可不不是这样,我门来看下:这个木马捆绑克星可以检测出此工具经过是加壳处理,同时也具有修改注册表的功能!但是不具有网络功能,我们下一步来运行这个工具再打开进程端口查看器看一下是不是有连接就知道了,:没有连接网络!我们再用冰刃看下此软件有没有使用到rootkit技术把进程都端口都隐藏了!如果出现隐藏进程,冰刃会有红色标记起来的!在端口里刷新一下再用命令netstat -an对比一下端口是不是有隐藏的连接了!通过以上几个步骤,基本可以断定这个小工具是安全的了!如果还不放心,我们再用OD简单分析下它运作过程!把程序载入OD,下文件处理函数两个:然后F9运行一下!我们来看堆栈:我们再运行一下,程序就跑起来了,说明这个程序并有没加载其他的可执行程序,只是释放了一个无效的windows映象文件(mstfime.ime)我们也可以用木马辅助查找器来监视C盘的动作,但是万一木马释放在别的盘加载启动项就不安全了!所以这里我不推荐木马辅助查找器监视C盘,而用OD!经过这样的检测!我们完全可以断定这个工具是安全的,放心使用了!二.全面的分析检测通过以上的检测,我们真的是可以放心使用了,起码我在利用以上方法没有检测不到的捆绑…..如果大家对以上还不怎么放心,下面这个工具绝对让你放心!在运行程序前,SSM必须是开着的(废话),我们用灰鸽子测试看看:这里我们要注意一下,允许那里,我们选择此操作仅当次就可,因为第一次运行,我们无法判断它是不是正常软件,所以我们只能允许一次,如果选择始终的话,就别检测了……后面我们再说SSM跟其他防火墙不同的地方!接着走看,它开始调用C盘windows下的程序(它自己释放的),我们接着走允许上两次动作以后,程序已经运行,它开始想插入IE进程里了(如果这时我们没有开网页,却有这样的请求….大家该杀毒了~呵呵)接着允许下去除了有些P处理安装程序需要调用CMD以外,一个不知名软件也调?接着允许这里才是关键,吊用命令行插入启动项…..一个反弹木马运行的整个过程就是这样,如果我们在OD里调试这个软件就会看到它所调用的P处理文件类型,可以从它所释放目录里复制出来分析一下!这个软件跟防火墙不同的地方是,可以检测到任意执行文件都会弹出一个对话框提示操作,而防火墙只会提示网络连接!,如果是一些破坏型木马,我们用网络防火墙来监视不是等于没用了吗!但是国内的风云防火墙文件监视能力也不错!喜欢用国产的东西就用风云吧!而正常软件SSM只会提示一次就会通国,而不是调用一系列非法程序了!后记:其实检测一个软件是不是捆绑,不难!但是真正要把这个后门去掉的话,就用用到比较好的汇编知识了!可能很多人会说,在C32里直接查找一些网络代码如:HTTP,org等关键字不就可以了吗?大家不想想,如果这个这个程序加了壳呢?里面可都是乱码哦,所以我这里不说用C32,!现在很多人都是捆绑远程控制木马,所以,我们下一个软件的时候,如果是在一些小论坛,小网站下的,我们有必要在虚拟机中用上以上所有工具进行全方位检测!补充下载软件的技巧:1.到官方下载,我们下的任何软件最好到官方下载,不知道官方地址的话,可以这样在网络搜:灰鸽子官方下载,下载者官方下载等等……2.用讯雷下载,设置跟杀软关联,这样下载的东西在下载过程中会被讯雷检测到木马跟弹窗广告,心里也有了个底。3.下载完后不要立即运行,如果图个方便的话,最好用木马辅助查找器监视C盘运行,如果发现释放不明东东,直接全面检测……
『陆』 我要学手工查杀木马病毒的方法
发现木马 由于木马是基于远程控制的程序,因此,中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网,会有其他端口,这是本机与网上主机通讯时打开的,如IE一般会打开连续的端口:1025,1026,1027等。 在DOS命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外,还有其他端口被占用(特别是木马常用端口被占用),那可要好好查查了,很有可能中了木马。 查找木马 要使你的系统能显示隐藏文件,因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现,不加入启动项在重启后木马就不执行了),启动项一般都是加在注册表中的,具体位置在:HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。 不过,也有一些木马不在这些地方加载,它们躲在下面这些地方: ●在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有程序,比方说是: run=c:\windows\file.exe或load=c:\windows\file.exe,要小心了,这个file.exe很可能就是木马。 ●在System.ini中启动 System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe,注意这里的window.exe就是木马程序。 另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。 ●在Autoexec.bat和Config.sys中加载运行 这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。 ●在Winstart.bat中启动 Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。 ●启动组 木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此,还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。 ●*.INI 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。 ●修改文件关联 修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的冰河就是这样干的。一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。 ●捆绑文件 实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样,即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么,每一次Windows启动均会启动木马。 手工清除木马 如果发现自己的硬盘总是莫明其妙地读盘,软驱灯经常自己亮起,网络连接及鼠标、屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面,此时,就应该想办法清除它们了。 当发现可疑文件时,可以试试能不能删除它,因为木马多是以后台方式运行,通过按“Ctrl+Alt+Del”是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用),那就应该注意了。 那么,如何清除木马而不误删其他有用文件呢?当你通过上述方法找到可疑程序时,你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年,而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外),文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前,那八成就有问题了。 首先,查进程。检查进程可以借助第三方软件,如Windows优化大师,利用其“查看进程”功能把可疑进程杀掉,然后,再看看原来怀疑的端口还有没有开放(有时需重启),如果没有了,那说明杀对了,再把该程序删掉,这样,就手工删除了这个木马了。 如果该木马改变了TXT、EXE或ZIP等文件的关联,那应把注册表改过来,如果不会改,那就把注册表改回到以前的,就可以恢复文件关联,可通过在DOS下执行“scanreg/restore”命令来恢复注册表,不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值,简单易用。
『柒』 我中病毒了,大家来帮帮我!
1.什么是木马 木马就是一种可执行的程序,和平时用到的软件一样,只不过它所实现的功能与正常软件有所区别,主要就是体积小,隐藏性好,有些具有感染性等,最主要的功能就是用来远程控制或窃密等,简言之,就是黑客为了实现特定的目的编写的应用程序。 2.木马实例: (1)阿拉QQ大盗:中马后会在指定的时间内强行关闭你的QQ号码,当你再次登陆时,你的号码和密码就会被木马拦截并发送到木马制造者指定的信箱或是网页处理程序上。 (2)灰鸽子:中马后对方可以完全控制你的电脑,可以下载你所有的文件,监控你的屏幕,强行开启你的摄像头,格式化你的硬盘,把你的电脑设为代理服务器作为跳板攻击它人电脑来栽赃嫁祸!总之就是可以把你的电脑当成自己的电脑来用,还要以用来盗取钱财,比如可以利用你的ADSL账号消费,用来买网络物品比如QQ币等。 3.中木马的方式 (1)你直接下载或是接收别人发给你的木马文件(可以作了伪装处理,比如把可执行文件“打扮”成一张照片),然后你傻乎乎的运行了它。 (2)一种可能是你下载了捆绑了木马的文件,比如把阿拉QQ大盗与QQ软件捆绑在下起,当你下载QQ软件安装时,QQ木马也会在隐藏状态下运行,你一切你都不会发现有任何的异常。 (3)中了网页木马,网页木马就是利用计算机的漏洞精心构造的网页,它的功能就是当你的计算机有这种漏洞时,你的漏洞就会被利用并自动下载运行指定的文件,例如WMF网页木马,当你的计算机有WMF漏洞时,打开些种网页会自动弹出“图片传真查看器”,然后自动下载木马文件到你的计算机并运行,还有HELP控件漏洞的网页木马,打开时会出出MS的帮助文件,然后下载病毒到你的计算机,当然更厉害的就是像正常网页一样,什么也不弹出就把病毒植入你的电脑了。比如冰狐浪子写的自动下载运行器(不过只能突破XP+SP1以下系统) 4.如何防范木马 (1)现在大家的防范意识都比较好了,很少有傻X去接收网友发给你的文件然后去运行它,所以对于第一种中马的可能性相对较少,建议大家不要接收网友发给你的文件,即使是好友(因为有些病毒可以自动发送文件给好友,你在未确定确是你的好友发给你的文件之时请不要接收,应先问明对方)。 补充:如果是发送文件的话,病毒怎么伪装也改不了EXE后缀名的特点,所以如果是其它后缀名可以接收,不过利用网页木马技术可以把构造一个任意后缀名的文件发送给别人,这个文件虽然不是木马本身,但是它确可以自动从指定的网址下载可执行文件,比如WMF后缀名的文件,它看起来只是图片的一种格式,和JPG,GIF一样,但是如果是黑客构造的病毒,它就会自动下载文件到你的电脑,(不需要你打开文件,只要你打开此文件所在的文件夹你就中马了) (2)针对捆绑的文件,你最好下载网上的文件时先用捆绑检测文件查一下有没有捆绑附加数据,然后再运行它 (3)对于网页木马,这个是传播木马最佳的手段了,只要你打开一个网页你就中马了,相信这也是大家中毒的最大的可能,它只需要你的计算机有漏洞和你打开了旨定的网址这两个条件,你就中马了(关于漏洞,众所周知MS不停的补啊补,没有任何人敢说他的电脑没有任何漏洞,巳知的和未知的),你可能会怀疑:我没有上什么不良网站啊,怎么也会中毒?答:现在网站入侵技术非常的高明,而现在好多网站的安全意识很低,所以好多网站都被黑客入侵并在主页上挂了网页木马了,包括新浪,网易,搜狐,国家安全小组,中国杀毒网等都有被黑客入侵挂马的遭遇,那些小网站就更别说了,被人入侵得千疮百孔!还有一些论坛的人员利用跨站代码的FLASH或媒体文件作签名档,你查看此类帖子的时候也会中了网页木马。 说了这么多,现在该说说如何防范了*^_^* 先前我说过,只有利用漏洞网马才能升效,所以对付网页木马最好的手段就是及时给电脑打好补丁,没有漏洞网马就无能为力了!!! 电脑木马查杀大全 常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢? 一、手工方法: 1、检查网络连接情况 由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。 2、查看目前运行的服务 服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。 3、检查系统启动项 由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。 Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了! 4、检查系统帐户 恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。 点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧! 如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。 1、运行任务管理器,杀掉木马进程。 2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。 3、删除上述可疑键在硬盘中的执行文件。 4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。 5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。 6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。 二、利用工具: 查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
『捌』 如何判断一个视频、图片或者非exe文件是否捆绑了病毒或木马程序
非可执行文件是不能捆绑木马的,只有程序捆绑图片,你把扩展名全部打开,只要后面是exe,com,bat,scr的都是可执行文件,不过使用Unicode字符可以改变后缀名的顺序,是jpg.scr看起来是rcs.jpg,然后再改个图标就和图片文件一样了一定要点右键看看属性,因为我安装了AutoCAD所以显示AutoCAD的脚本,如果没有安装应该显示屏幕保护程序。
『玖』 怎么样才能查看文件是不是被捆绑过
我用的是FBFD.exe觉得还挺好使吧还不报毒楼主也可以试试
『拾』 电脑问题
一、TASKLIST——火眼金睛如今的病毒越来越狡猾,常常不见首也不见尾。但许多病毒往往在进程这一环节中露出狐狸尾巴,因而查看进程是查杀病毒的一个重要的方法。命令行提供了进程查看的命令工具——Tasklist(Windows XP或更新版本)。此命令与任务管理器一样可以显示活动进程的列表。但通过使用参数,可以看到任务管理器查看不到的信息,可以实现更强大的功能。使用参数“/M”,运行“Tasklist /M”将显示每个任务加载的所有的DLL模块;使用参数“/SVC”,运行“Tasklist /SVC”命令则会显示每个进程中活动服务的列表,从中可以看到进程svchost.exe加载的服务,通过服务就能分辨出究竟是不是恶意病毒进程。此外,还能利用Tasklist命令来查看远程系统的进程,如在命令提示符下输入“Tasklist /s 208.202.12.206 /u friend /p 123456”(不包括引号)即可查看到IP地址为208.202.12.206的远程系统的进程。其中/s参数后的“208.202.12.206”指要查看的远程系统的IP地址,/u后的“friend”指Tasklist命令使用的用户账号,它必须是远程系统上的一个合法账号,/p后的“123456”指friend账号的密码。这样,网管进行远程查杀病毒也就方便多了。二、TASKKILL——进程杀手有了Tasklist这双火眼金睛,许多病毒就现身了,但更重要的不是找出病毒,而是要清除它们,这时另一个命令——TASKKIL就派上用场了。例如想结束某个进程,只需从任务管理器中记下进程名,运行下列命令即可:“TASKKILL /F /IM 进程名”;也可以通过连接PID的方式,可先运行“Tasklist”命令,记下进程的PID号,在命令提符下输入“taskkill /pid PID号”即可。说到这里恐怕有人要说这还不如直接利用任务管理器方便。而实际上TASKKILL命令的独门绝技就在于它能结束一些在任务管理器中不能直接中止的进程,这时就要加上参数“/F”,这样就能强制关闭进程,例如运行“TASKKILL /F /pid 1606”命令就能强制结束PID为1656的进程。除此之外,TASKKILL命令还能结束进程树、远程进程、指定筛选进或筛选出查询的的进程,具体操作可利用“taskkill/?”命令进行查看。三、 Netstat——端口侦探如今的木马越来越多,对用户的威胁也越来越大,于是出现许多专门用于木马查杀的工具。其实只要我们合理使用命令行下的Netstat命令就能查出大部分隐藏在电脑中的木马。我们知道,大部分木马感染系统后都留有服务端口,而这类服务端口通常都处于LISTENING状态,因而从端口的使用情况可以查到木马的踪迹,而这利用Netstat命令就能轻松实现。在命令行中运行“Netstat –a”,这个命令将显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接。其中Proto代表协议,Local Address代表本机地址,该地址冒号后的数字就是开放的端口号,Foreign Address代表远程地址,如果和其它机器正在通信,显示的就是对方的地址,State代表状态,显示的LISTENING表示处于侦听状态,就是说该端口是开放的,由于木马开启后门成功后该后门处于LISTENING状态,因此你需要注意的就是处于LISTENING状态的端口,如果该端口号陌生,而且端口号数很大,你就应该有所警觉。还可以查看使用端口所对应的进程来进一步确认,这就需要加上参数“-O”,运行“Netstat –ao”命令就会显示一个所有的有效连接信息列表,并给出端口对应的PID号。四、 FIND——捆绑克星相信许多人都上过文件捆绑木马的当,表面看起来是一张漂亮MM的图片,而暗地里却隐藏着木马,这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处理往往就能防止产生更严重的后果,于是网上也出现了一些检查捆绑文件的工具。在Windows中,也可通过命令行巧妙地进行简单的检查。这里要用到字符串搜索命令——FIND,它的主要功能是在文件中搜索字符串,可以利用它进行捆绑文件的检查。方法为:在命令行下运行“FIND /C /I "This program" 待查文件的路径 ”(不包括外面的引号),如果是EXE文件,正常情况下返回值应该为“1”,如果出现大于1的情况,你就必须小心了;如果是图片之类的不可执行文件,正常情况下返回值应该为“0”,如果出现大于0的情况,就应该引起注意。五、 NTSD——强力终结者(WIN7不支持此命令)如今的病毒越来越狡猾,经常出现即使你能找到它的进程,却不能结束的情况。用任务管理器和前面提到的TASKKILL命令都没有办法中止。当然可以使用进程管理工具,如功能强大Process Explorer等。而实际上使用Windows自带的一个秘密工具就能强制结大部分进程,包括一些十分顽固的进程,这就是NTSD命令。在命令行中运行以下命令:ntsd -c q -p PID最后那个PID指要终止的进程的ID。如果不知道进程的ID,可通过Tasklist命令进行查看。利用NTSD命令,除了System、SMSS.EXE和CSRSS.EXE等极少核心进程不能杀外,其它进程都可以强行结束。六、 FTYPE——文件关联修复专家和文件捆绑一样,篡改文件关联也是病毒或木马的惯用伎俩,通常的恢复方法主要是通过修改注册表,但注册表操作通常比较麻烦而且容易出错,另一个更方便的方法是使用命令行工具——FTYPE,利用它可以非常轻松地恢复文件关联。比如exefile的文件关联最容易被修改,它的正常的文件关联为:"%1" %* 。恢复的时候,只需在命令行中运行下列命令:“ftype exefile="%1" %* ”就可以了。如果要修复txtfile的文件关联,只需输入:“ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1 ”即可。七、FC——注册表监控器许多病毒木马都把注册表当作攻击对象,如上面提到的文件关联篡改,而现在所谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值,因而注册表监控就变成十分必要了。于是出现了许多注册表监控类软件,其实我们完全可以仅用Windows系统提供的工具完成该功能。下面以监控安装软件过程对注册表做的修改为例介绍如何实现“监控”:首先,可以在安装软件前备份一次注册表(存储为REG文件,如1.reg),安装后再导出注册表文件(2.reg)然后再在Windows XP的命令提示行下执行下列命令:D:;fc /u 1.reg 2.reg;changes.txt随后在D盘根目录下打开changes.txt文件,即可清楚地查看该软件对注册表添加了哪些子项,做了什么修改。上例中的安装软件是一个特定的时刻,你可能用此方法分析任一时刻注册表可能发生的变化。怎么样,有了这一群命令行下随时等待召唤的抗毒精英,以后对抗病毒也就更有效、更方便,病毒木马们也就难逃法网了常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?一、手工方法:1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”;“运行”;“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”-“运行”-“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”-“运行”-“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。点击“开始”-“运行”-“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。1、运行任务管理器,杀掉木马进程。2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。3、删除上述可疑键在硬盘中的执行文件。4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。二、利用工具:查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
