linux查看服务进程如何查看程序注入进程，电脑怎么查看运行的程序 _生活百科

求救，系统进程被注入，我已经知道我的系统进程被注入了，但这么多进程，怎么才能知道哪个进程被注入了
被偷了，为什么被偷是因为木马。关于木马如何进入你的电脑，如何盗取你的QQ号，如何防范木马，请看下文。二、什么是计算机病毒和木马？计算机病毒是一种程序和可执行代码。它和我们常用的软件如播放器、QQ聊天软件等一样属于应用程序。计算机病毒与普通应用程序的区别在于，它一般具有传染性、隐蔽性和破坏性。计算机是通过某种方式潜伏在计算机存储介质(或程序)中并在满足一定条件时被激活的一组程序或指令，具有破坏计算机资源的功能。特洛伊木马(以下简称特洛伊木马)，英文名为“Trojan house”，得名于希腊神话中的特洛伊木马。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马程序通常由两部分组成：客户端和服务器端。服务器安装在远程计算机上，客户端由黑客在自己的主机上运行。客户端可以向服务器发送各种指令来控制服务器的计算机。计算机和木马都是应用程序。病毒的主要特点是传染性和破坏性，木马的主要特点是远程控制。与病毒相比，木马具有更大的潜在危险。三。什么是计算机漏洞顾名思义，计算机漏洞是指计算机软件在程序设计上的缺陷，留下的隐患。黑客可能会利用计算机漏洞完全控制您的计算机。微软的操作系统本身就存在大量的漏洞(微软的主要操作系统有MS-DOS、Windows 98/Me、Windows NT、Windows 2000、Windows XP、Windows 2003等。).众所周知的漏洞有MS05039的溢出漏洞、MS0601图形渲染引擎导致的远程代码执行漏洞、帮助控件的跨域代码执行漏洞等。黑客利用这些漏洞泛滥互联网病毒。4.流行木马工作过程详解1 。密码窃取木马。这里以QQ盗号木马“Alaqq大盗”为例：Alaqq大盗在网上非常流行，它可以在对木马程序进行初步配置后，自动生成一个木马程序。如果您的电脑不幸运行了此程序，您的QQ将在规定时间内被强制关闭。当你再次登录QQ时，你的号码和密码会被这个木马程序悄悄发送到木马中。2.远程控制木马，以令人望而生畏的“灰鸽子”为例：灰鸽子是一款知名的远程控制软件，由服务器和控制端组成。属于反弹端口型木马程序。当你的电脑不幸撞上灰鸽子服务器时，服务器会自动向木马制作者设置的地址发送连接请求。当服务器和客户端建立网络连接后，木马制造者就会完全控制你的电脑，包括窃取密码(比如窃取你的宽带上网账号进行网上消费)、屏幕监控(木马制造者可以远程看到你的桌面，你在做什么他都知道)、下载数据(你的所有信息都可以被他窃取)、格式化你的硬盘(你的所有数据都会被清除)，以及远程打开视频(如果你安装了摄像头，对方可以在你没有察觉的情况下悄悄打开你的视频，真实的你也会出现在黑客面前) 。五、木马和病毒的传播途径通过上面的介绍，相信大家对木马和病毒的危害有了感性的认识。你可能会问：木马和病毒是怎么进入我的电脑的？这里我就简单介绍一下木马和病毒的几种主要传播方式。1.通过硬件存储介质传播。如前所述，计算机病毒具有自动复制和感染的特性。因此，如果u盘、MP3、SD卡、软盘、移动硬盘等移动存储设备连接到被感染的电脑上，也可能被感染，如果连接到未被感染的电脑上，电脑也可能被感染。
2.通过局域网共享传播前述电脑漏洞，微软的IPC共享存在严重漏洞，很多病毒可以通过IPC默认共享自动感染局域网内的所有电脑。(我们通过IPC在局域网内共享打印机和文件。) 3.通过与应用软件捆绑传播是一种聪明的方式。木马制作者将木马程序捆绑到一个常用的应用软件上，如Photoshop、QQ、Realplayer、Word等软件，然后将这些捆绑了木马程序的应用放到网上供用户下载。当你下载安装这些软件的时候，捆绑它们的木马也安装在了你自己的电脑上，而这个过程是你没有察觉到的。4.通过电子邮件附件传播特洛伊木马。木马制作者可以直接把木马程序作为附件发给你，利用社会工程学的知识诱骗你打开附件，比如你的同学，给你发一张新照片。如果你相信了，你可能会被困住。直接发木马对于稍微有点网络安全意识的人来说还是可以防止的，因为既然木马是应用程序，那么它的后缀名肯定是。EXE 。更高级的附件木马发送技术相当巧妙，比如将木马程序的图标改为图片文件的图标或者Word文档的图标，或者利用Word的宏命令将木马程序直接写入Word文档，更难检测。5.通过网页木马传播什么是网页木马？答：网页木马是利用计算机漏洞构建的具有特殊功能的网页。当您打开此网页，并且您的计算机具有被此网页利用的漏洞时，您的计算机将自动从指定的URL下载木马程序到您的计算机并自动运行它。这一切都是在隐藏状态下完成的。对于你来说，你只是打开了一个网页，其他什么都没做，但是你的电脑已经中毒了。与其他沟通方式相比，这种沟通方式的沟通效率最高！90%以上的木马程序都是通过网页木马传播的。你可能会说你没有去任何不正规的网站，怎么会中毒呢？事实上，目前很多网站都存在各种各样的漏洞，黑客可以利用这些漏洞入侵网站，包括著名的网易、搜狐、新浪等大型知名网站都被黑过，主页被篡改过。黑客入侵网站后，如果你在这些网站的首页添加了调用网页木马的代码，那么你在浏览这个网站的时候就有可能得到一个木马。6.通过网络木马传播。如前所述，什么是网页木马？顾名思义，网页木马就是通过邮件传播的网页木马。特洛伊木马制造者可以通过编辑电子邮件的源代码向您发送Web格式的电子邮件。如果在源代码中加入调用网页木马的代码，这种格式的邮件就叫网页木马。邮件里没有附件，打开这个邮件就能中奖，不需要任何其他操作！与Web木马相比，它的优势在于可以发送到指定邮箱，攻击指定目标。7.不知道大家有没有过这种通过影音文件木马的经历。下载喜欢的电影看的时候，突然弹出一个网页。这个网页可能是网页木马(或者只是广告) 。视频文件可以添加事件，在指定时间播放时可以打开网页。如果打开的网页是网页木马，那么你的电脑从此中毒。这种木马常见于一些不正规的小网站下载电影或者BT等分享视频。
六。杀毒软件和防火墙的工作原理。杀毒软件进行杀毒的一个重要依据就是在自己的病毒库中定义特征码。所谓特征码，就是一个程序特有的代码段，病毒特征码是指一个病毒特有的代码。杀毒软件在查杀一个文件时，会逐个检查文件的内部代码。一旦发现文件中含有病毒的特征码，无论该文件是不是病毒，都会被认为是病毒。高级杀毒软件通常会对同一种病毒定义两种特征码：文件特征码和内存特征码。程序在内存中运行，内存中的代码和文件本身的代码是不一样的。有些文件是杀毒软件直接查杀的，没有病毒，但是一旦运行就会发现有病毒，这就是为什么。“黑客会把我的想法放上去吗？”没错。黑客就像钻过鸡蛋的苍蝇。当他们看到系统漏洞的一丝曙光时，他们就会准备行动！好的，如何保护你的网络？计算机专家可能会张口建议你在网络上安装防火墙，那么第一个问题来了：什么是防火墙？防火墙是一种过滤塞(目前你的理解没有错) 。你可以让你喜欢的东西通过这个塞子，把其他的都过滤掉。在网络世界里，被防火墙过滤掉的是携带通信数据的通信包。世界上所有的防火墙至少会说两个字：是或者不是，大多数防火墙采用各种技术和标准。这些防火墙有多种形式：有些取代了系统上已经配备的TCP/IP协议栈；有些在现有的协议栈上构建自己的软件模块；有些只是简单的独立操作系统。一些面向应用的防火墙只保护某些类型的网络连接(如SMTP或HTTP协议等。).还有一些基于硬件的防火墙产品，其实应该归类为安全路由器。以上这些产品都可以称为防火墙，因为它们的工作方式都是一样的：分析进出防火墙的数据包，决定是让它们走还是把它们扔到一边。值得一提的是，只要你想上网，你的防火墙肯定会对一些程序和端口说“是”让它们走。七、道高一尺，魔高一丈。木马病毒如何逃过防火墙和杀毒软件的拦截查杀？如前所述，杀毒软件查杀病毒的一个重要依据就是特征码，所以如果一个程序不包含病毒库中定义的所有特征码，杀毒软件自然不会认为这个程序是病毒！黑客通常的做法是制作一个木马和病毒程序，然后用各种杀毒软件将其查杀，再由各种杀毒软件获取这个程序的特征码定义，然后修改特征码，将levy代码的代码改为其他程序代码，达到同样的功能。经过大部分杀毒软件的轮番攻击和修改，这种病毒可以顺利逃脱各种杀毒软件的查杀！前面也提到了，只要你想上网，防火墙就会释放一些程序(比如IE浏览器)和端口，所以病毒木马可以通过线程化进入系统进程的技术，把自己插入到系统进程中。木马程序通常使用端口80进行远程连接(WEB服务默认端口)，所以只要你的电脑能上网，木马程序也会被防火墙释放！对于黑客来说，普通的杀毒软件和防火墙(普通用户使用的杀毒软件和防火墙)只是花边，对黑客没有任何作用！所以当你用杀毒软件扫描了你所有的硬盘，没有发现病毒的时候，不要沾沾自喜。很可能你感染了一种未经杀毒处理的病毒，所以即使你中毒了，你的杀毒软件也会睁一只眼闭一只眼。-八、木马隐藏技术，木马程序藏在哪里。木马程序反正很神秘，但归根结底还是Win32平台下的程序。Win32应用程序通常有一个应用程序接口，例如，系统自带的“计算器”有一个提供各种数字按钮的应用程序接口。
木马虽然属于Win32应用，但一般不包含表单，也不隐藏表单，将木马的文件属性设置为“隐藏”，这是最基本的隐藏手段。稍有经验的用户，打开任务管理器，勾选文件夹选项中的“显示所有文件”，就能轻松找出木马，于是就出现了下面要介绍的“进程隐藏”技术。第一代进程隐藏技术：Windows 98的后门。在Windows 98中，微软提供了一种将进程注册为服务进程的方法。虽然微软并未公开提供该方法的技术实现细节(因为Windows后续版本中并未提供该机制)，但仍有专家发现了这一秘密。这项技术被称为RegisterServiceProcess 。只要使用这种方法，任何程序的进程都可以将自己注册为服务进程，而服务进程恰好在Windows 98中的任务管理器中是不可见的，因此被木马程序利用。第二代进程隐藏技术：进程插入一个进程可以包含几个线程。线程可以帮助应用同时做几件事(比如一个线程向磁盘写文件，另一个线程接收用户的按键操作并及时响应，互不干扰) 。程序运行后，系统首先要做的是为程序进程建立一个默认线程，然后程序可以根据需要添加或删除相关线程。一旦木马的DLL被插入到另一个进程的地址空间，你就可以对另一个进程为所欲为。这里以盗取QQ密码的木马为例进行简单说明。正常情况下，其他应用程序无权对一个应用程序接收到的键盘和鼠标操作进行“提问” 。但是盗号木马是怎么偷偷记录我的密码的呢？一、木马在QQ进程中插入一个DLL文件，成为QQ进程中的一个线程，让木马DLL赫然成为QQ的一部分！然后在用户输入密码的时候，因为此时木马DLL已经进入QQ进程，所以也可以接收到用户输入到QQ的密码。真的是“家贼难防”啊！不要相信自己的眼睛：恐怖的工艺“蒸发”严格来说，这应该算是2代工艺隐藏技术，但比之前的技术可怕多了。这种技术使木马消失，而不插入其他进程！它通过Hook技术监听系统中所有程序的进程检测相关API的调用。任务管理器之所以能显示系统中的所有进程，是因为它调用了EnumProcesses等与进程相关的API函数，进程信息包含在该函数的返回结果中，由发出调用请求的程序接收并处理(例如任务管理器接收后在进程列表中显示结果) 。但是，木马事先挂接了API函数，所以当任务管理器(或者其他调用枚举进程函数的程序)调用EnumProcesses函数(此时API函数充当“内线”)时，木马得到通知，在函数返回结果(列出所有进程)给程序之前，自己的进程信息就从返回的结果中抹去了。就好像你在看电视节目，但有人不知不觉把电视连上了DVD，你不知不觉就被骗了。所以无论是“任务管理器”还是杀毒软件，检测这个木马的进程都是徒劳的。对于这类木马，目前还没有非常有效的查杀方法。只有在它运行之前，反病毒软件检测特洛伊木马文件并阻止其病毒运行。当时的另一种技术是，木马程序从Windows系统用来记录进程信息的“进程链表”中删除自己的进程信息，使进程管理工具无法从“进程链表”中获取木马的进程信息。但由于缺乏平台通用性和程序运行中的一些问题，并没有得到广泛应用。钩子是什么？Hook是Windows中提供的一种系统机制，用来代替DOS中的“中断”，中文翻译为“钩子”或“钩子” 。
在钩住一个特定的系统事件(包括上面文章中的特定API函数的调用事件)后，一旦被钩住的事件发生，钩住该事件的程序(如木马)就会收到系统的通知，然后程序就可以第一时间对事件做出响应(木马在函数返回前修改结果) 。无痕：全方位立体隐藏利用刚才介绍的钩子隐藏过程的手段，木马可以轻松隐藏文件。只要将Hook技术应用到与文件相关的API函数中，无论是“资源管理器”还是杀毒软件都无法发现木马在哪里。更令人惊讶的是，特洛伊木马(如灰鸽子)已经使用这种技术来隐藏文件和进程。防止这种木马最好的办法就是用杀毒软件在它运行之前拦截它。反对杀毒软件：杀毒软件外壳的木马再狡猾，但一旦被杀毒软件定义了特征码，就在运行前被拦截。为了躲避杀毒软件的追击，很多木马都是带壳的，相当于给木马穿上了衣服，让杀毒软件认不出来。但是有些杀毒软件会尝试给常用的外壳去壳，然后查杀(小样，别以为我穿了马甲就不认识你了) 。除了被动隐藏，最近还发现了一种可以主动对抗杀毒软件的外壳。木马一旦加入这个外壳，一旦运行，外壳首先获得程序的控制权，它通过各种手段破坏系统中安装的杀毒软件。最后在确认安全(杀毒软件的保护已经瓦解)后，外壳释放包裹在自己“身体”里的木马并执行。对付这种木马的办法就是使用具有脱壳能力的杀毒软件来保护系统。什么是贝壳？顾名思义，你很容易就能猜到这是一个包裹在外面的东西。没错，外壳可以包装文件(比如EXE)，然后在文件运行的时候，外壳先获得控制权，然后释放并运行包装好的文件体。很多外壳都可以对其封装的文件进行加密，从而防止杀毒软件的查杀。比如最初的杀毒软件将木马定义为“12345” 。如果发现一个文件包含这个特征，就会认为是木马，而具有加密功能的外壳会对文件体进行加密(比如原来的特征是“12345”，加密后变成了“54321”，杀毒软件当然无法通过文件特征进行检查) 。脱壳是指去掉文件外部的外壳，恢复文件脱壳前的状态。九。普通用户网络安全的出路：防胜于杀。综上所述，依靠防火墙和杀毒软件是不可能阻止所有病毒入侵的！可以说，只要你连上网络，就有可能中毒，也有可能中毒，但是找不到毒。那么没有网络安全专业知识的普通用户如何保护自己的网络安全呢？1.给系统打补丁，修复系统漏洞。如前所述，病毒的最大来源是网页木马，网页木马必须依靠系统漏洞才能生存。如果你的系统没有被网页木马利用的漏洞，自然起不到任何作用！所以防止木马病毒进入电脑最好的办法就是及时给系统打补丁，然后用漏洞扫描工具检查系统是否有漏洞，直到没有已公布的漏洞为止。
2.及时更新杀毒软件的病毒库。虽然杀毒软件不是万能的，但是安装一个好的杀毒软件还是很有必要的。微软每年都会公布大量的系统漏洞，然后在官网上提供漏洞补丁供用户下载。但是还有很多未被发现的漏洞可能被黑客利用，所以安装一个更好的杀毒软件是很有必要的。推荐卡巴斯基和瑞星。卡巴斯基不仅使用特征码查杀病毒，还使用虚拟机技术和行为跟踪技术查杀文件。和其他杀毒软件相比，瑞星最好的地方就是它的内存查杀能力相当强。缺点是很多病毒木马专门针对瑞星做了反杀处理。3.做好系统备份，准备灾难恢复。既然打补丁安装杀毒软件不是万能的，就要做好中毒准备，及时做好系统备份。一旦发生灾难性故障，可以快速恢复操作系统，避免数据丢失的风险和重装系统的麻烦。
如何查看进程是否被木马注入？(可加分)
看来Alone8815 很专业嘛。杀软无能为力就用AVG FREE 最新版试一试。如果你中的马会监控大部分主流杀软了那就无能为力。安装啥都会被监视，安装结束马上被劫持~~系统自带的命令工具Tasklist -M列出所有进程调用的*.DLL模块第三方工具在下也还是不清楚~~~~
如何判断游戏进程，是否被注入东西
子程序检测自身是否有DLL注入，逻辑型，公开，判断是否有DLL注入自身，“真”则存在，“假”则不存在！参数DLL文件名，文本型，欲检测DLL名称！” 本名称子程序用作测试程序用，仅在开发及调试环境中有效，编译发布程序前将被系统自动清空，请将所有用作测试的临时代码放在本子程序中。***注意不要修改本子程序的名称、参数及返回值类型。如果(GetMoleHandle (DLL文件名)0)返回(假).否则返回(真).如果结束.子程序取模块的DLL句柄，整数型，公开，取自身进程中的DLL模块句柄。参数DLL文件名，文本型，欲DLL名称！

文章插图
怎么去测试一个app是否有进程注入漏洞
1 文件检查：检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题。2 漏洞扫描：扫描代码是否使用混淆，存在安全漏洞。检测签名、XML主配文件进行安全检查，是否容易被静态注入、嵌入恶意代码。3 后门检测：检测APP是否存在被二次打包，然后植入后门程序或第三方代码等风险。4 一键生成：一键生成App关于源码、文件、权限、关键字等方面的安全风险分析报告。常见APP漏洞及风险：静态破解、二次打包、本地存储数据窃取、界面截取、输入法攻击、协议抓取等。
怎么样用命令行得到dll中所注入的进程？
tasklist /mc:\1.txt输出到C盘下的1.txt另外这是进程里面运行的模块而非注入的模块

文章插图
【linux查看服务进程如何查看程序注入进程，电脑怎么查看运行的程序】当一个程序运行时怎样查看这个程序启动了哪些脚本文件？
，偶们开始检查当前进程，当前进程是什么呢？当前进程就是现在所有正在运行的程序！查看当前进程，就是查看现在有哪些程序正在运行，如果有未知的程序呢？可能就是木马了，因为通常木马也是做为一个程序存在的。怎么看当前进程呢？请借助专业工具，实在没有工具时，再同时按下Ctrl + Alt + Delete键调出任务管理器来查看。那什么样子的程序是未知程序呢？这里，我要再强调一下子，一定要找一个能够对进程文件进行数字签名验证的进程查看工具，不然你无法区分某一进程是否为可疑进程，只凭文件名字是完全不够用的。如果一个进程不是系统进程，也不是你正在运行的某一程序的进程，那这个进程就是我们说的可疑进程。（不能通过数字签名验证的为非系统进程）找到了可疑进程又如何呢？杀掉后删除么？NO，不要杀它不杀的原因有三点：1、杀掉它的结果是什么，很难预料，如果其正在与其它程序或内核驱动进行交互，你杀它，很可能就是自杀，会把系统杀崩的。2、杀掉并删除它，并不会清除它写入注册表的启动项，这样每次开机时仍然会尝试加载这个程序，虽然文件已经不在，无法使木马运行，但每次的试图加载，都是需要时间的，这也是系统变慢的一个原因所在。3、最后，只凭上面的检测，只能说明这个进程是可疑进程，但无法就此确认这就是木马，所以，你现在杀掉它，很可能会误杀那应该怎么办呢？答案是不理它，找到后，把文件名字记下来，然后进行下一步的检查工作，暂时不要理它。如果没找到呢？那说明，你的机器可能很干净，没有木马。或者，木马是进程隐藏或无进程木马。进程隐藏型的怎么办呢？我们先了解一些木马隐藏进程的手段当前流行的木马隐藏进程的手段如下：0、初级隐藏，查找任务管理器窗口枚举子窗口找到列进程的列表框，把自己的名字抺去，这种用一般专业工具即可查。1、中级隐藏，HOOK Win32API 过滤掉马儿自己的进程。只要是驱动级别的进程管理工具基本都可以查。2、中高级隐藏，HOOK SSDT NtQuerySystemInformation，过滤掉马儿自己的进程，具有恢复SSDT功能的驱动级工具可查。3、次高级隐藏，INLINE HOOK SSDT，过滤掉自己进程，恢复INLINE的或直接枚举进程链的可查。4、准高级隐藏，自活动进程链中摘除自己的进程，基于线程调度链表检测技术的工具可查。5、高级隐藏，绕过内核调度链表隐藏进程，基于HOOKKiReadyThread技术来检测的工具可查。对于隐藏进程，请使用具有相应功能的检查工具来检查当然了，我们也不一定死乞白咧的非要把木马隐藏的进程找出来，实在找不出，就当没有或当作无进程的木马，直接进行下一步检查就可以了。因为，进程检查只是检查的手段之一，看不到、杀不掉木马的进程，并不妨碍我们把木马清掉。OK，无论对进程的检查结果如何，我们接下来都要开始下一步的检查，模块检查！参照图如下：下面的图是一张进程检查图（请以数字签名验证的结果为主，以文件路径名字为辅来判断，瑞星杀毒软件的进程不是系统进程，但通过文件名字与路径，我们可以知道，这是瑞星的主控程序，呵呵，不要死心眼，要多方面结合起来判断 ^-^）：第二章模块篇模块是什么？模块，是指具备某一种或某一类功能的特殊功能模块，其外在的表现形式通常为各种动态库文件（通常以.dll为扩展名字）或插件文件（通常以.OCX为扩展名字）。它们由应用程序加载，来为程序提供某一特定的功能。
就像我们的电视机，如果加了一个卫星天线，就可以收到更多的节目一样，卫星天线本身是与电视机无关的，但它一但被电视机所用，就可以为电视机提供额外的功能。卫星天线相对于电视机，也就是相当于模块相对于程序。每个进程都有几个到上百个不等的模块，每个模块都有其特定的用途，当然了，如果某个模块是木马的话，也有其木马用途。当进程检查流行起来，且检查的越来越深入时，木马的制造者们开始制作无进程木马，木马是做为一个模块出现的，这样它将不存在于进程列表中。无论你用何等高级的进程检测技术都无法检测到模块木马的存在。一台电脑中，进程可能有十几个或几十个，但模块却有好几百个，数量的增多也增加了我们检测的难度。对检测工具的要求，仍然是需要具备数字签名验证的能力，否则手工从几百个模块文件中挑出木马，真的很累（木马模块的检查，请看下面的图）找到后怎么办呢？呵呵，上次有朋友遇到过这问题，结果是他用暴力手段给卸载并删除了，应该这样处理么？答案仍然是否定的！不要暴力卸载并删除原因么？原因先缓一缓再说，我们先了解一下儿模块木马的启动运行机制，然后再解释为什么不要暴力卸载删除。模块木马分为两种：一种是静态加载的，一种是动态注入的。静态加载的，是把自己的木马文件，在注册表的某键下注册，这样，系统会在开机或运行某一程序时自动的加载在这一键下注册的所有模块，这样，木马就实现了进入到程序中，并执行其非法活动的目的。（在注册表的哪些键下注册可以让系统加载，在后面的启动项检查中会有解释）动态加载的，这类木马就是所谓的进程注入型木马，它的实现不但需要有一个模块文件，还需要有一个将模块文件注入到进程中的注入程序。先将注入程序启动，然后由注入程序将模块木马注入到其它的进程中，完成注入后，注入程序就结束了运行，这样，你仍然无法看到进程。现在明白为什么不能暴力卸载并删除了么？暴力卸载并删除后，如果是静态加载的，那注册表中仍然会留下加载项，每次开机或相关程序运行时仍然会偿试加载该模块，如果多了，会导至系统运行变慢。如果是动态加载的，那你卸载并删除的仅仅是模块木马，注入程序却仍然留在你的机器上。如果此木马设计的比较合理，那它应该是有模块文件备份的，这样，当你再次开机时，会发现，你暴力删除的模块文件又重新回到了你的机器上，你永远删不干净。如果此木马设计的不合理或比较狠毒，那就只有上帝和木马的制造者才知道会发生事情了 -_-!即然不能暴力删除，那找到后应该如何呢？与进程一样，抄下模块文件的路径与名字，然后，开始下一步的检查，暂时不要理它。
即然说到了无进程木马，那就不得不说“线程注入型木马”，进程注入型的木马注入到进程中的是一个模块，也就是说，必须有一个模块文件的存在，这样我们可以找到这个模块并通过对其文件进行签名验证来找出注入木马；而线程注入型的木马，注入到进程中的却只是一段代码，是没有文件存在的，虽然可以查看每个进程的各个线程，但想发现并找出哪一个线程是木马的，不能说绝不可能，但也几乎是不可能的了，能找出的是非常高的高人，绝不是我看看下面的第二张图，是EXPLORER.exe的线程列表，能看出什么么？（顺便说一句，那张图是ProcessExplorer的截图，非常非常出名且非常非常好用的进程管理工具，在这里可以下载：）那对这种线程注入型的木马又怎么办呢？幸好，线程注入型的木马也需要有一个注入程序来配合，我们找出线程很难，但找出他的注入程序就好办多了。现在，无论你是否找到了可疑的模块或线程，我们都要开始下一步的检查，启动项检查！第三章自启动项篇自启动项是什么？自启动项，就是程序在系统的某处进行登记之后，每次开机系统会自动将程序运行，而程序登记的项，就叫做自启动项。木马都不会甘心只运行一次就结束的，它若想在你的电脑中安家，就肯定要每次开机都运行起来，这样，才能达到自我保护、且正常进行木马工作的目的。一般的木马都会有一处或多处自启动项，这也成了查找木马时必查的一步。（这只说的是一般的木马，当然就还有二般的不需要自启动项的木马，这个我们放在后面说）查找木马的自启动项，很关键也很重要，相对的对工具的要求也很高。系统中到底有多少处地方可以让程序自动运行呢？汗偶也不知道，偶只能说N多所以，要找个查的全的工具来检查，且要找好几个来检查，这样结合起来，应该就够全了。任何一个也不敢说它能把系统中所有的启动位置全列出来。所以，对启动项检查工具的第一要求是要够全！只全就够了么？当然还不够，还有一点跟上面相同，也要能进行数字签名验证的，免得它起个系统文件的名字蒙混过去。还有就是要能够检测隐藏的启动项，同样的，我们先了解木马隐藏启动项用到的技术：0、木马没隐藏，只是找了个隐蔽的位置而已，这就要看所用的工具程序枚举的项够不够全了。1、木马隐藏在应用层次，HOOK了Win32API中的相关注册表枚举函数，这样的马儿很容易检测，任何一个驱动级别的检测程序都可以胜任。2、木马隐藏在内核层，HOOK了SSDT，这样的马儿，一般的就不行了，得找能恢复SSDT的专业检测程序。3、木马隐藏在内核层且很无耻，INLINEHOOK了相关服务函数，这样的马儿绝大多数检程序就都不行了，需要找能恢复INLINE-HOOK的程序。4、木马隐藏在最底层，通过查找特征码的方法INLINE-HOOK了微软未公开的底层函数如Cm*系列的函数，嘿，已经很难再比它更底层了，这样的马儿只有采用HIVE文件扫描方式的检测程序或专门恢复底层INLINE-HOOK的工具才能找到它。
这四种隐藏方式都是已经有流氓软件或木马使用先例的，所以不要报有侥幸心理，认为木马不会采用这种高级的技术，所以，检查启动项最好是多用几个工具配合起来检查，功能强的通常不够全，嘿，可能高手都比较懒吧OK，我们开始检查吧先把HOOK、INLINE-HOOK都恢复了，再运行工具开始检查，还记得我们前面找到的可疑模块与可疑进程么，这时就用到了，把找出来的启动项与那些对比一下儿，看看是不是有它们的启动项在里面。有？OK，备份注册表，然后删除启动项。删除不掉？是不是忘记恢复HOOK了？恢复了，那打开注册表编辑器，看看你有没有权限删除这个键，在欲删除的键上面按右键，选权限，再选“完全控制”就可以删除了，呵呵，这只是它玩的一个小障眼法儿。删除后，又有了？这也没关系，这时你有两个选择，一是先结束掉它的进程，卸载掉它的模块，以使它失去重写的能力。二是，开启“系统锁定”功能，把系统临时锁起来，不允许任何程序对注册表进行写入。这时再删除它就没问题了。删除完成后，重启计算机。不是记下了可疑的进程与模块了么？再检查一下子，看它们还在不在？不在了，恭喜，你完成了你的木马查杀工作。还在？呵呵，也不要怕，如果还在，证明你并没有真正的完全清除掉它的启动项；可能原因是：1、这只木马还采取了触发式的启动机制。2、它还有其它的保护机制，比如影子程序或驱动；接下来让我们继续解剖触发式启动的木马第四章触发式木马上面我说了一般木马的查杀方法，通过上面的查杀，大多数木马都可以清掉了。（上次忘记写了，重启后，如木马已经不能启动了，接下来当然就是把记下来的木马文件全部删掉了）接着我来说一说触发式木马，什么叫触发式木马呢？触发式木马是当您进行某一操作时会触发木马的启动机制，使得木马启动，如果你永远不进行这一操作，而木马则永远不会启动。一般的木马都是主动启动并运行的，而安全检查工具与杀毒软件检查的也大多是主动启动式的木马，比如对自启动项进行检查，查的就是开机后自动主动运行的。只对少数的常见的可以触发木马启动的项进行检查，而触发木马启动的地方操作却很多，这就是这种木马很难杀干净的原因。其表现为，清除后的当时系统很正常，当时检查机器也很干净，但用不了多长时间，木马又死灰复燃，再度出现。现在我们开始实际动手查杀这些难缠的家伙们！需要说明的是，这里为了讲起来有条理，清楚易懂，所以是分开来讲的，实际查杀起来，当然是可以一起来做的。（检查进程、启动项时，就可顺手检查下面的这些）最常见的也是我们首先要检查的当然就是Autorun.inf了，这是个什么东西呢？这是一个配置文件，看名字，翻译过来不就是“自动运行”么，是的，这个正常用途是用于光盘的自动播放，就是将光盘插入光驱后，系统会自动运行Autorun.inf里面指定的程序。后来被一些人用于了硬盘，当将这个文件放在硬盘分区的根目录下时，在盘符上点右键，会发现默认的操作就是“自动播放”而不是打开。这时，你双击某一盘符时，就不再是打开并浏览文件夹，而是直接运行指定的程序（还需要改注册表的某个地方，因与我们查杀无关就不说了，免得被坏人利用）。你查杀木马病毒时如果采取的是暴力删除，那么，程序删除后，Autorun.inf这个文件却仍然还在，会出现后遗症，表现为无法双击打开磁盘。
（顺便提一句，熊猫烧香采用的就是这种触发方式与自启动项相结合的）由于，你双击磁盘会触发木马的启动，所以查杀时，要右键单击，再选择“打开”或用“资源管理器”来查看，找到后删除此文件。通常此文件会以隐藏文件的形式出现，更有些恶毒的会加上“注册表监控并回写”来为文件隐藏护航，你一旦更改系统为“显示所有文件”，它马上会再次改为“不显示隐藏文件”，如何破除这种注册表回写保护，上面的贴子里写过方法了，这里不再重复。另一种触发方式是修改文件关联，什么叫文件关联呢？文件关联就是某一类型的文件与某一程序的对应关系，要知道，我们的系统中有无数种文件格式，比如：图片文件（以.bmp .jpg .gif等为扩展名）、音乐文件(mp3 mp4等）.当你双击一个图片时，系统会调用看图程序来打开并显示图片，而不是调用播放器来播放图片，系统为什么会知道要调用看图程序而不是调用播放器呢？这就是因为文件关联的存在，在注册表中，图片文件已经与看图程序关联在了一起，相应的，音乐文件与播放器关联在了一起，大多数类型的文件都与某一特定程序有关联。这样，系统才知道，打开什么样的文件需要调用什么程序。聪明的您已经知道木马是如何利用文件关联来触发了吧？是的，狡猾的木马就是把某一特定类型文件的关联改为了与它自己关联，这时你一旦打开这一类型的文件就会触发木马的启动。由于木马启动后，会由它再调用正常的关联程序，所以，文件仍然会正常打开，而你也就不知道其实你的操作已经将木马启动了起来。木马会改哪种文件的关联呢？咳，这我哪知道呢，这只有上帝与木马的作者才知道。系统中又有多少文件关联可供它改呢？你打开注册表编辑器看看第一大项下面的子项就知道有多少了，怎么也上千个吧。如何查杀呢？一般的木马会改一些你会经常用到的文件的关联，比如：文本文件、程序文件、网页文件等。而网上有很多恢复文件关联的程序或注册表导出文件都可以恢复这些常见的文件关联。但这样检查显然是远远不够的，如果你是木马的作者，你知道这些常见的文件关联会被检查并恢复，你还会改这些么？就不会了吧，因为可供你选择的太多了。比如：选择修改.rar文件的关联，这是类文件是压缩文件，网上提供下载的程序有很多是以这类文件格式存在的，所以一般上网的网民打开压缩文件的机率会非常高，而恢复这一文件关联的程序几乎没有，因为恢复后的直接结果就是压缩文件打不开了，因为恢复程序的作者不是神仙，他不知道你用的是哪个压缩软件，你的压缩软件又安装在了哪里，所以，他不会给你恢复这个的。这样，只要你打开压缩文件，就会触发木马，如果这个木马的关联文件是一个影子程序的话，那由于影子程序都不具备病毒特征，所以全盘文件扫描也不会将它找出来，你找到并清除的都是这个程序的释放体，而源头还在，从此，木马将成为你挥之不去的恶梦（关于影子程序我们下一次细讲）文件关联如何检查呢？两种方法，一种是通过监控得到哪个文件关联被修改的，然后再改回去。第二种是用专业软件，对所有文件关联进行扫描。
如何通过监控得到文件关联是否正确呢？首先，找个进线程监控的工具程序，打开“进线程监控”，然后不断的打开你常用的各种文件，并检查，打开文件时程序的运行情况，比如：你找开了个.rar文件，进程监视中应该显示，“WinRAR.exe由Explorer.exe启动运行”，那是正常的。如果显示的是其它程序由Explorer.exe运行，而WinRAR.exe又是由那个其它程序来启动的，那就是被改了。当然，你也可以打开注册表查看每个文件关联，是否是正常的。第二种方法是用专业软件来扫描，把系统文件过滤掉，那剩下的非系统的文件关联就很少了，稍加判断结果就出来了，很简单，就不多讲了，看看下面的图就明白了。找到后怎么办呢？不要只是清除，清除后还要找个正常的机器导出一份正常的，或把你删除的文件关联告诉朋友，让朋友自他的机器上导出一份正常的，然后在自己机器上导入一下子就可以了。如果是非系统的文件关联，比如：rar压缩文件，那就直接删除了，然后再次找开.rar时，会提示你选择打开此种类型文件的程序，这时选择WinRar.exe，然后勾选上总是用这种程序来打开此类型文件就可以了。或者用其它方法.嘿，其实只要发现了木马，其它的就好办了另外，需要注意的是，还有些触发并不是很明显的文件操作，比如当你打开的网站时，可能要解释执行脚本语言，而用什么来解释执行呢？系统也是在注册表中寻找相应程序的，比如：VBS、JScript等键，基本都在HKEY_CLASSES_ROOT主键下。像卡巴、金山等杀毒程序会用自己的DLL在这几个键下注册，以便执行脚本语言时先行检查这些脚本语言是否具有病毒特征，但木马同样也会利用这几个键，让你一打开网站就执行木马。好了，我们下面接着说一说影子程序（驱动）吧因为它们经常与这些触发式的启动机制合作，之所以它们总是合作，因为触发式的可以躲过对启动项、进程、模块的检查，而影子程序却可以躲过杀毒软件的文件扫描。他们是如何紧密合作来躲过我们检查的，让我们下次再说 ^-^第五章影子程序（驱动）什么是影子程序呢？影子大家都了解吧即然有影子当然也要有本体了，影子只是为了本体的存在而存在的，其它的工作一概不做。而影子程序呢？也就是为了木马程序的存在而存在的，其本身并不从事任何木马工作。木马为什么要搞一个影子程序或影子驱动呢？目的只有一个“保护主木马程序不被清除。”影子是如何来保护主木马程序的呢？了解这个之前，我们先要了解一下杀毒软件是如何杀毒的。了解了杀毒软件是如何杀毒之后，再谈影子如何逃过杀毒软件的查杀，就容易理解了。大多数杀毒软件都是依赖病毒特征码杀毒的，所以都附带了一个病毒库，我们平时升级其实大多数是在升级病毒库，病毒库中存储了病毒的特征码，就像病毒档案一样（身高、体重、三围、五官等. ^-^ 差不多类似啦）如果一个程序与病毒库中的某种病毒特征相吻合，就会被认为是某种病毒而被查杀。病毒特征是如何来的呢？就是病毒分析师对病毒进行分析后提取出来的，所以这种查杀方式查杀的都是有案底的，也就是以前犯过案的，被人留了底，再出来就是过街老鼠，人人喊打了。这种按特征查杀，属于硬特征，只要符合就OK了虽然有误杀，但相对很少，毕竟完全相同的并不多。其查杀的准确与否，误杀率是否高，很大程度依赖于病毒分析师的提取水平。
呵呵，偶们就见过某知名公司把一个驱动框架硬是报为ROOTKIT木马的，显然其特征码存在严重问题。还有一种是所谓的主动防卸型的，在比照特征码的同时，还分析病毒木马的行为特征，一个程序的行为符合特定行为的数量多到一定数值，就为被认为是病毒，当然了，这种误报率也相应的增加了很多。这种查杀，没案底也可以，就像你以前虽然没有犯过事儿，也没留案底，但你提着刀追着人家猛砍，当然也会被逮住的，因为你的行为符合了病毒的行为特征。当前病毒的流行越来越大众化，想获取病毒源码也并不是什么难事，一些小屁孩也能抄一段来散发个病毒，但是却没有能力更改代码特征，使其躲过杀毒软件的查杀。所以，一些人开始拼命的找新壳，来为病毒加不同的壳，但杀毒软件的脱壳技术也是越来越高了，想找到不被杀毒软件所脱的壳也困难起来了。接着又有些人想出一些其它的方式来躲避杀毒软件的查杀。影子程序就是其中的一种病毒木马的主程序，因为要工作，所以一些特征是很难去掉的。但影子程序却不用去从事木马工作，所以它本质上就是一个正常的程序，不使用任何病毒技术，也不具备任何病毒特征，所以不会被杀毒软件查杀。这就是病毒木马采取影子程序的目的，因为影子程序不具备病毒特征，可以躲过杀毒软件的全盘文件扫描。那它又是如何来保护主程序的呢？一般它是把病毒主程序做为资源放到了自己里面，再保险点就对主程序压缩、加密后再以资源的形式放到自己的程序中。（资源就是一些数据啦比如，一个程序中用到的图片，就属于图片资源）而杀毒软件通常只是对代码进行检查，而不检查数据资源，其实查也查不出什么来以纯数据形式存在的资源，有N种方法改变。这样，影子程序通过资源存放的方式，解决了木马程序在电脑中的生存问题，为木马在您的电脑中留下了一个火种。在木马病毒被清掉之后，影子程序一旦发现木马主程序不见了，就从自己的资源中重新释放一份。使木马病毒重新再生，使你杀不胜杀，直到杀得你心疲手软自己放弃为止。影子程序又是如何发现木马主程序被清除的呢？有两种途径，一是将自己也加在某一个启动位置上，每次开机自动启动，在启动后如果发现木马主程序已经不在，就释放一份，并将木马启动，接着自己就退出了。如果在，影子程序就直接退出了。二是，利用触发机制等待，等你触发影子程序后，由影子程序去检查木马是否存在，如果不存在就释放并启动然后自己退出，如果在同样也就直接退出了。由于，影子程序只是运行了那么零点零几秒而已所以你的进程检查对它没什么用处，因为它平时是不运行的对付影子程序，只能由启动项入手，而影子程序也注意到了这一点，所以很多就采取了触发机制，因此，我们检查时，也要注意检查触发式木马。
呵，结论出来了，各位朋友不要看到进程中的可疑进程就眼红红的冲过去狂杀一通杀进程、删除文件、卸模块只是治标不治本的做法什么事情都要寻根求源，进行“根治”否则，轻则病毒木马是杀不完去不净重则是系统被越杀越慢杀到最后，不得不重装系统完事儿用GHOST恢复也很快？呵，难道你不知道熊猫烧香会删除GHOST的备份文件么？熊猫能删除其它的当然也能删删个文件对它们来说绝不是什么难事儿重装系统就安全么？也不见得在网上搜一下儿看看网上提供下载的操作系统风险又有多大很多木马是在做操作系统安装盘时就放进去了放进去为什么查不到呢？这就是另一个话题了文件修改替换型的木马很让人郁闷的一类木马下次再说吧汗想起来就头大参照图：CNNIC的影子驱动，蓝色圈起来的是主驱动，红色的是影子驱动，影子驱动的名字是随机的，每次开机都不相同。借这张图把上次有朋友问的清除CNNIC的剩余问题给解答一下子：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root键下还有与驱动服务相匹配的一些键，如果用其它的清除工具，记得也要清了。如果是用5.0.0.7就不用了，清除驱动项时会自动清理那个键的。（注意：5.0.0.6版没有相应功能，汗可能自动检测影子驱动的功能也没有手工删除或找别的工具用吧，实在不行就等5.0.0.7出试用版吧）清的时候清干净喽否则嘿死恢复燃就是说这个的CNNIC还有关机通知的功能别忘记了不然即使清干净了，关机时它就又写回去了什么？不知道怎么对付汗这个偶暂时也没找到合适的工具，虽然写程序对付最简单，但没有通用性，不值得为这一个家伙写个程序。暂时有两个方法可以解决：一个是笨办法。关机时不是由系统通知它的么？偶们就连系统也不通知不就完了，直接按RESET键冷启动机器就OK了 -_-!二个是先恢复FSD的HOOK与INLINE-HOOK，然后把相关的程序文件、驱动文件、DLL文件全删除了，然后重启，再删一遍启动项，也就OK了（注意，锁定系统好像对CNNIC也不大好用的说郁闷）另外，惯于用AutoRuns.exe的朋友注意了，我用的AutoRuns.exe是8.22版的查不出来CNNIC的驱动启动项如果查杀CNNIC就先换一个用吧另外，团IDC网上有许多产品团购，便宜有口碑