本机发现中了木马如何查到木马控制端IP
一个完整的木马病毒分为客户端和服务端,电脑中被植入的木马病毒程序为客户端,也叫控制端。黑客手里的程序时服务端,也叫被控制端。
通常情况下是无法通过木马病毒找到黑客ip,我们只能通过木马病毒样本分析此病毒都做了哪些操作。
建议安装带有监控功能的杀毒软件,这样可以有效的防止病毒攻击计算机所造成的损失。
本机发现被中木马如何查到木马控制端IP
中了病毒、木马不要着急,我来帮你:
这里的方法是总结的前辈们的经验,在此感谢他们!!!!!
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html
木马病毒如何获取ip地址
反弹木马一般是指向一个固定的动态域名比如说 ****.3322.org
然后种马者去登陆那个域名你把这个域名指向自己的ip
也就是说
肉鸡-域名-种马者
想定位那个黑客的ip是非常困难的
机器中木马以后怎么查看来源IP
运行cmd
net status
查看端口 跟源IP
如果我没记错的话....
懂木马的朋友,告诉我这木马怎么找到我IP的
木马诊断
通常木马都具有高超的隐避技巧,一般用户确诊自己计算机是否中了木马并不容易,对初学者来说,我们通常可以从四个方面着手判断,他们是:计算机状态、中招途径、进程、网络端口。
计算机状态
通过问诊计算机运行状态,是看得计算机是否中了木马最直接也是最简单的一个方式,下面是中木马后可能会出现的特征:
1.在启动和使用计算机过程中,莫名其妙地弹出一些窗口说网络连接失败。
2.自己的硬盘总是莫名其妙地读盘。
3.光驱、软驱灯会自己亮起,出现读盘现象。
4.网络连接及鼠标、屏幕出现异常现象。
5.有些原本运行正常的程序,最近启动非常慢。
6.在硬盘分区、移动硬盘、U盘根目录下出现不明来源的autorun.inf文件。
7.运行某个程序后,电脑没任何提示。
8.发现文件名可以的文件,无法删除,在任务管理器中也看不到相关程序进程。
9.经常无缘无故弹出网页或系统提示窗口。
木马中招途径
用户之所以会中木马,一定是进行了某种操作,下面就把木马入侵的几种途径介绍给大家,如果再进行了这些操作之后电脑出现异常,那么很有可能是中了木马。
聊天冒名:使用到来的QQ或MSN,发送木马给他的好友,由于信任被盗号码的主人,它的朋友们会毫不犹豫的运行你发给他们的木马程序,结果就中招了。
文件捆绑:把木马服务端和游戏、应用软件、图片、电影中任何一种捆绑成一个文件通过QQ或邮件发给别人。服务端运行后会看到游戏程序正常打开,却不会发就木马程序已经悄悄运行。
邮件附件:用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件,别人下载附件并运行的话就中木马了。前端市价流行的冒充补丁的木马邮件就是例子。
文件下载:有些下载站点会出现下载文件中含有木马的情况,建议用户到正规的、大型的下载站点下载文件。
网页木马:把木马放在网站利用IE漏洞,下载到客户端运行这也是目前木马传播的主要渠道之一,建议大件不要随意打开不明链接。
排查木马
如果怀疑计算机中了木马,我们可以通过进程进一步判断,但由于系统进程查看器的功能有限,所以推荐大家使用第三方进程管理软件——Process Explorer,它的操作比较简单,能为我们提供丰富的进程信息。打开Process Explorer,软件会列出所有正在运行的进程,双击其中任何一个可疑进程即可看到该进程对应的可执行文件。然后我们可以使用下面的步骤进行删除:
1.右键单击可疑进程,原则菜单“中止进程”。
2.切换到软件所在文件夹位置,修改文件夹属性,然后删除文件。
3.运行Msconfig,删除木马相关启动项。
从这个过程可以看出,一个普通的单进程的普通木马是很容易被查出并消灭的,因此大多数打进程木马的“诡计”是对进程名进行伪装。通常的伪装手段是将进程名改为类似于某个体统进程的名称,大家一定要仔细排查。
以上提到的是木马中最为简单的一类,多进程的木马和无进程的木马也是比较容易遇到的。对付这类木马的方法也简单,流行木马通常都有专杀软件,只有找到进程的名字,在Google中,输入木马执行文件名,就能找到相应的查杀办法活查杀软件。注意一定要到正规的下载站点下载软件,许多木马软件还会假冒专杀软件,欺骗用户下载安装,如果是这样的话,那你很可能是还未逃离虎窝,又入狼穴。
而有一些木马会进入受信任的系统进程中,然后作为这个系统的子线程运行。这样的木马就更为隐蔽了。要对付这类无进程木马,最直接的判断方法是运行Process Explorer,选择“视图”菜单的“下方面板视图、显示DLL”,然后点击任何一个进程,便会在下面窗口中显示出与之关联的DLL文件,如果该进程的“公司名”不是“Microsoft corporation”的话,就值得怀疑,最好的办法是上Google去求证一下这个DLL的作用,看看有无相关病毒信息和专杀工具。
检查端口
针对防范木马而言,重点是要检查那些处于侦听状态的程序。查看本地开放的端口是什么。通常系统开放的端口并不多,主要有SVCHOST.exe开放的135、System 139、445,其他端口都值得怀疑,需要仔细查看开放端口的程序,进行排查,试着找出打开端口的木马程序,并下载相关专杀工具。
怎样随时检测到病毒攻击者的ip地址?
首先 他们攻击你 应该是采用了伪装网关的方法 使你机器收到大量垃圾包
理论上 数台机器来用比较大的数据包来ping某一个IP 是的确可以做到 把此IP ping断网的
对方 同时伪装网关 来使你的机器 错误的读取网关地址 使你间歇性断网 你的现象来看 不是同网段某用户中了ARP病毒对你造成的影响
很有可能如你所说 是某人有针对的攻击你
要找到对方的话 用你服务器 运行 CMD 输入 ARP -A 看看你的历史网关记录
除了真实网关 其他的都是攻击者 也可以用AntiARP 来检测和拦截
AntiARP 以及其他类似软件 虽然可以拦截住攻击 但是你的网络会被大量垃圾包所占据 依然会影响你的网速 只是影响会小很多而已
你要做的1是拦截 2是用上述方法找到攻击者 想办法根除
希望对你有所帮助
电脑被木马侵袭 无法获取ip怎么办?上不了网无法修复漏洞怎么办?
关闭不用端口或下个防火墙!用360安全卫士将系统补丁打全。
应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口: 第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。 第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。 第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。 于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。