发信人: bbinn (AxiSymmetryShell), 信区: NewSoftware
标 题: Autoruns+ProcessExplorer=木马终结者
发信站: 水木社区 (Thu May 18 10:05:03 2006), 站内

Autoruns + Process Explorer 木马终结者
(此方式适用于XP Professional， 该方法不区分exe, dll, sys,都同样处理,手工操作具有一定的风险，如果造成不能启动等故障请权当作自己人品不好)

SECTION 1，查找木马篇
理论：
以我的经验，查看自动运行的文件的公司签名是一个很可靠的方法，一般来说Microsoft/Adobe/RealTek/Macromedia/Symantec/NVIDIA/Corel等大公司不会制作木马，而且做木马的人也不敢轻易假冒这些大公司的签名。

实践：
在Autoruns中打开 Options/Verify Code Signature 选项，从Everyone 标签页就可以看到自动运行的文件的Publisher和是否通过签名验证。如果显示 (Verified)和信誉良好的大公司，则这个可以确认为不是木马。其他的则很可能是木马。当然你也可以对照自己安装的软件来进行一些推测，或者来BBS上询问。

SECTION2，清除木马

理论：
一般来说木马防止自己被清除一般通过3种办法：
1，打开一个Handle；
2，另启动一个进程来监视；
3，进程插入。

前两种相对简单，第3种比较麻烦一些。不过这些小伎俩在强大的Process Explorer面前就不值一提了。

实践：

10: 打开Process Explorer;
20: 选中Options/Verify Image Signature;
30: View/Select Columns/Process Image/ Verified Signer;
40: 查找没有通过验证的东东;
50: 选中没有通过验证的一个进程点右键/Suspent Process;
60: 循环反复执行40-50把所有的未验证进程都Suspend;
70: 按照 “SECTION 1”中的描述从Autoruns中未通过验证的文件;
80: Find/Find Dll and Handle 查找这个文件;
90: 把找到的进程给Suspend，但是注意不要Suspend Explorer.exe;
100: 反复执行 70-90直到他们都被Suspend;
110: 按照 “SECTION 1”中的描述从Autoruns中未通过验证的文件，点右键选择Properities
， 更改安全性成 everyone都不可以读取或运行;
120: 重复110直到按F5刷新的时候Autoruns显示找不到文件;
130: 重新启动计算机;
140: 重复 10 -130直到所有的木马都被设置成任何人都不能访问。

这样处理过以后，就同时具备了这些病毒的免疫能力。

SECTION3，木马免疫
再如上述方法清除木马以后，在Autoruns中把找不到文件的项目删除，并点右键Jump To然后把这个键的父键设置安全性为everyone 只读。这样处理过的Windows就基本可以自己对抗大多数病毒，但是某些软件可能因此不能正常安装，因此做这些操作的时候需要做一个笔记，以在需要的时候恢复过来。
— 正在更新
※ 来源:·水木社区 newsmth.net·[FROM: 218.249.26.*]

这二个东西确实不错，我也一直在用，但是有一次我发现Autoruns没有显示出某些用msconfig能够显示出来的内容。所以如果使用Windows XP，建议再用msconfig再确认一下。