1、 溽朽孑臾查看系统进程 在Windows系统中,可执行文件主要是EXE和COM文件,这两种文件在运行时都有一邗锒凳审个共同点,会生成一个独立的进程。对于一般病毒而言,都逃不过Windows的任务管理器,同时按【Ctrl+Alt+Delete】组合键或 者在任务栏上右击,执行【任务管理器】命令,在任务管理器对话框中选择【进程】选项卡,查看是否有陌生进程或服务,如图1所示。 图1 在任务管理器中查看 但是,还有一种后门程序是不会在任务管理器中显示出来的,那就是DLL (动态链接库)注入的后门程序。它随着系统文件的调用而运行,对于此类后门程序,需要用杀毒软件或专杀工具进行査杀。
2、查看系统启动项当感觉到系统中有后门程序时,可通过査看系统启动项来判断系统是否中了木马程序。
3、执行【开始】,【运行】命令,在ghost xp弹出的对话框中输入msconfig,弹出【系统配置实用程序】对话框.选择【启动】选项卡,査看系统启动项中是否有可疑的启动项。在启动项中禁用不熟悉的项和可疑项,单击【应用】按钮,在弹出的对话框中确认信息并重新启动计算机,如图2所示。 图2 査看系统启动信息
4、选择【BOOT.INI】选项卡,査看在default-后面是否有可疑信息,如图3所示。 图3 査看default值 3、用命令查看 当没有其他杀毒工具或软件时,可通过 使用几个常用命令来查看端口和服务情况。
5、执行【开始】丨【运行】命令,在弹出的对话框中输入cmd,打开MS-DOS命令窗口,在窗口中输入netstat -an査看所有 和本地计算机建立连接的IP地址,如图4所示。 图4 查看连接情况
6、很多时候攻击者会利用合法手段入侵的计算机都开启了特殊服务,如IIS服务等杀毒软件是不会对系统服务进行査杀的.通过使用net start命令査看系统开启了哪些服务,并使用net stop server结束服务,如图5所示。 图5 査看服务 在查看后门程序的过程中,还应该注意查看注册表中相应的系统启动项和程序项。
