|
一、快速发现木马的依据
所谓“木马”,实际上就是一种基于远程控制的黑客程序,一般有服务器端和控制器端两个程序组成,黑客必须首先将控制器端程序事先安插在用户电脑上并使其处于启动状态,才能让控制器端程序被服务器端程序远程控制,从而达到盗取用户各种帐号及其它隐私信息的罪恶目的。基于“木马是运行着的进程”这一点,我们就很容易直观查找到木马的一些“蛛丝马迹”了。
1.查看“任务管理器”
处于工作状态的木马程序首先应该是一个活动进程,所以用户可以同时按下Ctrl+Alt+Del组合键,打开“任务管理器”对话框,在其“进程”面板中用户可能通过查找和发现是否有陌生的进程文件名来判断是否有木马的存在(如图1)。这种方法主要靠用户对系统组成的深入了解和相关记忆及经验来判断,对于进程文件名伪装的比较好的木马,比如将文件名修改成与系统文件名非常相似的像Window.exe、.dl、Systom.ini等,一般用户在识别起来可能会感到有难度。
图1
这里笔者给大家举一个很经典的例子,有一种木马程序会伪装成“RUNDLL32.EXE”进程,该木马同时会以命令行的方式调用相关动态链接程序库,进而启动后台真正的木马程序。但是用户只要按下Ctrl+Alt+Del组合键打开“任务管理器”,就会发现这个被伪装“RUNDLL32.EXE”进程 CPU占用率竟然高达95%,这显然是不合常理的(如图2)。
图2 |
