通过使用autoruns、procexp、currports相结合,来提高检查效率,清除干净木马病毒。
介紹&使用
CurrPorts是一個檢測連接工具,可以列出所有TCP和UDP的連接以及打開的端口、應用程序等。
CurrPorts運行后即可看到應用程序的進程名稱、進程id、協議、本地端口、本地地址、遠程端口、遠程地址、進程路徑等信息,如下圖。
?
點擊標題欄相應的項,可根據相應項進行排序,例如點擊進程id后,id會從小到大進行排列,如下圖。
?
選中某一個應用程序,雙擊可顯示其詳細信息,例如雙擊谷歌瀏覽器進程,顯示信息如下圖。
?
對于可疑的應用程序,懷疑為木馬病毒時,可以點擊右鍵選擇close selected tcp connections,即關閉選定的tcp連接,進行關閉,然后觀察該程序是否會打開新的端口,如果還會自動打開新端口,則可以定位到該程序的具體位置,根據程序的路徑、名稱等信息進行進一步的判斷。
?
Currports也支持多個進程選中進行關閉操作,同時currports也可以將列表信息進行報告導出,為html格式,在view菜單欄下的html report即可導出,如下圖。
?
Procexp使用
對于currports檢測出的可以程序,我們可以使用procexp來進一步判斷,判斷依據可以根據之前介紹autoruns使用時的方法,看下描述以及公司信息等來確定,如下圖。
?
再一個,可以多關注下進程的數量,如果一個進程有兩個進程樹,而本地又只登錄了一個用戶的情況下,則有可能是木馬病毒插入了進程。例如常見的notpad等編輯器進程等。
另外,雙擊進程可彈出屬性框,可查看安全、性能、線程等信息。如下圖。
?
如果確定為惡意程序,則可以直接節數進程樹以此來終止木馬程序的所有相關進程,同時也可以結合autoruns對服務、自啟動等項進行檢查,刪除其自動加載。
總結
以上是生活随笔為你收集整理的通过使用autoruns、procexp、currports相结合,来提高检查效率,清除干净木马病毒。的全部內容,希望文章能夠幫你解決所遇到的問題。
