怎么檢查電腦是否有木馬

一、通過啟動文件檢測木馬

創(chuàng)新互聯(lián)專注于青河網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供青河營銷型網(wǎng)站建設(shè)，青河網(wǎng)站制作、青河網(wǎng)頁設(shè)計、青河網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)公司服務(wù)，打造青河網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供青河網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

一旦電腦中了木馬，則在電腦開機(jī)時一般都會自動加載木馬文件，由于木馬的隱藏性比較強(qiáng)，在啟動后大部分木馬都會更改其原來的文件名；

如果用戶對電腦的啟動文件非常熟悉，則可以從Windows系統(tǒng)自動加載文件中分析木馬的存在并清除木馬，這種方式是最有效、最直接的檢測木馬方式；

但是，由于木馬自動加載的方法和存放的文職比較多，這種方法對于不太懂電腦的人來說比較有難度。

二、通過進(jìn)程檢測木馬

由于木馬也是一個應(yīng)用程序，一旦運(yùn)行，就會在電腦系統(tǒng)的內(nèi)存中駐留進(jìn)程。因此，我們可以通過系統(tǒng)自帶的【W(wǎng)indows 任務(wù)管理器】來檢測系統(tǒng)中是否存在木馬進(jìn)程；

在Windows系統(tǒng)中，按下【Ctrl+Alt+Delete】組合鍵，打開【W(wǎng)indows任務(wù)管理器】窗口，選擇【進(jìn)程】選項卡，查看列表 中是否存在可以的木馬程序；

如果存在可疑進(jìn)程，選中此進(jìn)程并右擊，從彈出的快捷菜單中選擇【結(jié)束進(jìn)程】即可結(jié)束詞進(jìn)程；

【W(wǎng)indows進(jìn)程管理器】的主界面看下面的圖；

在列表中選擇其中一個進(jìn)程選項之后，單擊【描述】按鈕，即可看到該進(jìn)程的詳細(xì)信息；

在進(jìn)程列表中右擊某個進(jìn)程在其中可以對進(jìn)程進(jìn)行結(jié)束、暫停、查看屬性、刪除文件等操作。

三、通過網(wǎng)絡(luò)連接檢測木馬

木馬的運(yùn)行通常是通過網(wǎng)絡(luò)連接實現(xiàn)的，因此，用戶可以通過分析網(wǎng)絡(luò)連接來推測木馬是否存在，最簡單的辦法是利用Windows自帶的Netstat命令；

選擇“開始”-“運(yùn)行”菜單項，打開“運(yùn)行”對話框，單擊“確定”按鈕，打開“命令提示符”窗口；

在“命令提示符”窗口中輸入“netstat -a”，按“Enter”鍵，在其運(yùn)行結(jié)果中查看有哪些可以的運(yùn)行程序來判斷木馬文件。

注意：

參數(shù)“-a”的作用是顯示計算機(jī)中目前所有處于監(jiān)聽狀態(tài)的端口。

如果出現(xiàn)不明端口處于監(jiān)聽狀態(tài)，而且前又沒有進(jìn)行任何網(wǎng)絡(luò)服務(wù)的操作，則在監(jiān)聽該端口的很有可能是木馬。

木馬的檢測

木馬的檢測、清除與防范

來源：CNCERT/CC廣東分中心編寫

木馬程序不同于病毒程序，通常并不象病毒程序那樣感染文件。木馬一般是以尋找后門、

竊取密碼和重要文件為主，還可以對電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、

突發(fā)性和攻擊性。由于木馬具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、

機(jī)密文件丟失的情況下才知道自己中了木馬。在這里將介紹如何檢測自己的機(jī)子是否中了木馬，

如何對木馬進(jìn)行清除和防范。

木馬檢測

1、查看開放端口

當(dāng)前最為常見的木馬通常是基于TCP/UDP協(xié)議進(jìn)行Client端與Server端之間的通訊的，

這樣我們就可以通過查看在本機(jī)上開放的端口，看是否有可疑的程序打開了某個可疑的端口。

例如冰河使用的監(jiān)聽端口是7626，Back Orifice 2000使用的監(jiān)聽端口是54320等。

假如查看到有可疑的程序在利用可疑端口進(jìn)行連接，則很有可能就是中了木馬。

查看端口的方法有幾種：

(1)使用Windows本身自帶的netstat命令

C:\netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:113 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING

TCP 127.0.0.1:5092 0.0.0.0: LISTENING

TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI

TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING

UDP 0.0.0.0:69 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1703 *:*

UDP 0.0.0.0:1704 *:*

UDP 0.0.0.0:4000 *:*

UDP 0.0.0.0:6000 *:*

UDP 0.0.0.0:6001 *:*

UDP 127.0.0.1:1034 *:*

UDP 127.0.0.1:1321 *:*

UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\softwareFport.exe

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

420 svchost - 135 TCP E:\WINNT\system32\svchost.exe

8 System - 139 TCP

8 System - 445 TCP

768 MSTask - 1025 TCP E:\WINNT\system32\MSTask.exe

8 System - 1027 TCP

8 System - 137 UDP

8 System - 138 UDP

8 System - 445 UDP

256 lsass - 500 UDP E:\WINNT\system32\lsass.exe

(3)使用圖形化界面工具Active Ports

這個工具可以監(jiān)視到電腦所有打開的TCP/IP/UDP端口，還可以顯示所有端口所對應(yīng)的程序所在的路徑，

本地IP和遠(yuǎn)端IP(試圖連接你的電腦IP)是否正在活動。這個工具適用于Windows NT/2000/XP平臺。

2、查看win.ini和system.ini系統(tǒng)配置文件

查看win.ini和system.ini文件是否有被修改的地方。

例如有的木馬通過修改win.ini文件中windows節(jié) 的“l(fā)oad=file.exe ，run=file.exe”語句進(jìn)行自動加載。

此外可以修改system.ini中的boot節(jié)，實現(xiàn)木馬加載。

例如 “妖之吻” 病毒，將“Shell=Explorer.exe” （Windows系統(tǒng)的圖形界面命令解釋器）

修改成“Shell=yzw.exe”，在電腦每次啟動后就自動運(yùn)行程序yzw.exe。

修改的方法是將“shell=yzw.exe”還原為“shell=explorer.exe”就可以了。

3、查看啟動程序

如果木馬自動加載的文件是直接通過在Windows菜單上自定義添加的，

一般都會放在主菜單的“開始-程序-啟動”處，

在Win98資源管理器里的位置是“C:\windows\start menu\programs\啟動”處。

通過這種方式使文件自動加載時，一般都會將其存放在注冊表中下述4個位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders 　

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders　

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders

檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。

在Win98系統(tǒng)下，還可以直接運(yùn)行Msconfig命令查看啟動程序和system.ini、win.ini、autoexec.bat等

文件。

4、查看系統(tǒng)進(jìn)程

木馬即使再狡猾，它也是一個應(yīng)用程序，需要進(jìn)程來執(zhí)行?？梢酝ㄟ^查看系統(tǒng)進(jìn)程來推斷木馬是否存在。

在Windows NT/XP系統(tǒng)下，按下“CTL+ALT+DEL”，進(jìn)入任務(wù)管理器，就可看到系統(tǒng)正在運(yùn)行的全部進(jìn)程。

在Win98下，可以通過Prcview和winproc工具來查看進(jìn)程。查看進(jìn)程中，要求你要對系統(tǒng)非常熟悉，

對每個系統(tǒng)運(yùn)行的進(jìn)程要知道它是做什么用的，這樣，木馬運(yùn)行時，

就很容易看出來哪個是木馬程序的活動進(jìn)程了。

5、查看注冊表

木馬一旦被加載，一般都會對注冊表進(jìn)行修改。一般來說，

木馬在注冊表中實現(xiàn)加載文件一般是在以下等處：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunServices

此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

““%1” %*”處，如果其中的“%1”被修改為木馬，那么每次啟動一個該可執(zhí)行文件時木馬就會啟動一次，

例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件，

每次打開記事本時就會自動啟動冰河木馬，做得非常隱蔽。

還有“廣外女生”木馬就是在HKEY_CLASSES_ROOT\exefile\shell\open

\command=““%1” %*”處將其默認(rèn)鍵值改成"%1" %*"，

并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices添加了名稱為"Diagnostic Configuration"的鍵值；

6、使用檢測軟件

上面介紹的是手工檢測木馬的方法，此外，我們還可以通過各種殺毒軟件、

防火墻軟件和各種木馬查殺工具等檢測木馬。各種殺毒軟件主要有：KV3000,Kill3000、瑞星等，

防火墻軟件主要有國外的Lockdown，國內(nèi)的天網(wǎng)、金山網(wǎng)鏢等，各種木馬查殺工具主要有：The Cleaner、

木馬克星、木馬終結(jié)者等。這里推薦一款工具防護(hù)工具M(jìn)cAfee VirusScan ，

它集合了入侵防衛(wèi)及防火墻技術(shù)，為個人電腦和文件服務(wù)器提供全面的病毒防護(hù)。

木馬清除

檢測到電腦中了木馬后，就要根據(jù)木馬的特征來進(jìn)行清除。查看是否有可疑的啟動程序、

可疑的進(jìn)程存在，是否修改了win.ini、system.ini系統(tǒng)配置文件和注冊表。

如果存在可疑的程序和進(jìn)程，就按照特定的方法進(jìn)行清除。

主要的步驟都不外乎以下幾個：

（但并不是所有的木馬清除都能夠根據(jù)下列步驟刪除，這里只是介紹清除木馬的基本方法）

1、刪除可疑的啟動程序

查看系統(tǒng)啟動程序和注冊表是否存在可疑的程序后，判斷是否中了木馬，

如果存在木馬，則除了要查出木馬文件并刪除外，還要將木馬自動啟動程序刪除。

例如Hack.Rbot病毒、后門就會拷貝自身到一些固定的windows自啟動項中：

WINDOWS\All Users\Start Menu\Programs\StartUp

WINNT\Profiles\All Users\Start Menu\Programs\Startup

WINDOWS\Start Menu\Programs\Startup

Documents and Settings\All Users\Start Menu\Programs\Startup

查看一下這些目錄，如果有可疑的啟動程序，則將之刪除。

2、恢復(fù)win.ini和system.ini系統(tǒng)配置文件的原始配置

許多病毒會將win.ini和system.ini系統(tǒng)配置文件修改，使之能在系統(tǒng)啟動時加載和運(yùn)行木馬程序。

例如電腦中了“妖之吻”病毒后，病毒會將system.ini中的boot節(jié)的

“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木馬的方法是把system.ini給恢復(fù)原始配置，

即“Shell=yzw.exe”修改回“Shell=Explorer.exe”，再刪除掉病毒文件即可。

TROJ_BADTRANS.A病毒，也會更改win.ini以便在下一次重新開機(jī)時執(zhí)行木馬程序。

主要是將win.ini中的windows節(jié)的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。

執(zhí)行清除的步驟如下：

（1）打開win.ini文本文件，將字段“RUN=C:%WINDIR%INETD.EXE”中 等號后面的字符刪除，

僅保留“RUN=”。

（2）將被TROJ_BADTRANS.A病毒感染的文件刪除。

3、停止可疑的系統(tǒng)進(jìn)程

木馬程序在運(yùn)行時都會在系統(tǒng)進(jìn)程中留下痕跡。通過查看系統(tǒng)進(jìn)程可以發(fā)現(xiàn)運(yùn)行的木馬程序，

在對木馬進(jìn)行清除時，當(dāng)然首先要停掉木馬程序的系統(tǒng)進(jìn)程。

例如Hack.Rbot病毒、后門除了將自身拷貝到一些固定的windows自啟動項中外，

還在進(jìn)程中運(yùn)行wuamgrd.exe程序，修改了注冊表，以便病毒可隨機(jī)自啟動。

在看到有木馬程序在進(jìn)程中運(yùn)行，則需要馬上殺掉進(jìn)程，并進(jìn)行下一步操作，修改注冊表和清除木馬文件。

4、修改注冊表

查看注冊表，將注冊表中木馬修改的部分還原。例如上面所提到的Hack.Rbot病毒、后門，

向注冊表的以下地方：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

添加了鍵值"Microsoft Update" = "wuamgrd.exe"，以便病毒可隨機(jī)自啟動。

這就需要我們進(jìn)入注冊表，將這個鍵值給刪除。注意：可能有些木馬會不允許執(zhí)行.exe文件，

這樣我們就需要先將regedit.exe改成系統(tǒng)能夠運(yùn)行的，比如可以改成regedit.com。

這里就說說如何清除Hack.Rbot病毒、后門的。

（1）將進(jìn)程中運(yùn)行的wuamgrd.exe進(jìn)程停止，這是一個木馬程序；

（2）將Hack.Rbot拷貝到windows啟動項中的啟動文件刪除；

（3）將Hack.Rbot添加到注冊表中的鍵值"Microsoft Update"=

"wuamgrd.exe"刪除；

（4）手工或用專殺工具刪除被Hack.Rbot病毒感染的文件。并全面檢查系統(tǒng)。

5、使用殺毒軟件和木馬查殺工具進(jìn)行木馬查殺

常用的殺毒軟件包括KV3000、瑞星、諾頓等，這些軟件對木馬的查殺是比較有效的，

但是要注意時刻更新病毒庫，而且對于一些木馬查殺不徹底，在系統(tǒng)重新啟動后還會自動加載。

此外，你還可以使用The Cleaner、木馬克星、木馬終結(jié)者等各種木馬轉(zhuǎn)殺工具對木馬進(jìn)行查殺。

這里推薦一款工具Anti-Trojan Shield，這是一款享譽(yù)歐洲的專業(yè)木馬偵測、攔截及清除軟件。

可以在網(wǎng)站下載。

木馬防范

隨著網(wǎng)絡(luò)的普及，硬件和軟件的高速發(fā)展，網(wǎng)絡(luò)安全顯得日益重要。對于網(wǎng)絡(luò)中比較流行的木馬程序，

傳播時間比較快，影響比較嚴(yán)重，因此對于木馬的防范就更不能疏忽。

我們在檢測清除木馬的同時，還要注意對木馬的預(yù)防，做到防范于未然。

1、不要隨意打開來歷不明的郵件

現(xiàn)在許多木馬都是通過郵件來傳播的，當(dāng)你收到來歷不明的郵件時，請不要打開，應(yīng)盡快刪除。

并加強(qiáng)郵件監(jiān)控系統(tǒng)，拒收垃圾郵件。

2、不要隨意下載來歷不明的軟件

最好是在一些知名的網(wǎng)站下載軟件，不要下載和運(yùn)行那些來歷不明的軟件。

在安裝軟件的同時最好用殺毒軟件查看有沒有病毒，之后才進(jìn)行安裝。

3、及時修補(bǔ)漏洞和關(guān)閉可疑的端口

一般木馬都是通過漏洞在系統(tǒng)上打開端口留下后門，以便上傳木馬文件和執(zhí)行代碼，

在把漏洞修補(bǔ)上的同時，需要對端口進(jìn)行檢查，把可疑的端口關(guān)閉。

4、盡量少用共享文件夾

如果必須使用共享文件夾，則最好設(shè)置帳號和密碼保護(hù)。注意千萬不要將系統(tǒng)目錄設(shè)置成共享，

最好將系統(tǒng)下默認(rèn)共享的目錄關(guān)閉。Windows系統(tǒng)默認(rèn)情況下將目錄設(shè)置成共享狀態(tài)，這是非常危險的。

5、運(yùn)行實時監(jiān)控程序

在上網(wǎng)時最好運(yùn)行反木馬實時監(jiān)控程序和個人防火墻，并定時對系統(tǒng)進(jìn)行病毒檢查。

6、經(jīng)常升級系統(tǒng)和更新病毒庫

經(jīng)常關(guān)注廠商網(wǎng)站的安全公告，這些網(wǎng)站通常都會及時的將漏洞、木馬和更新公布出來，

并第一時間發(fā)布補(bǔ)丁和新的病毒庫等。

采用注冊表來管理系統(tǒng)配置，主要是為了提高系統(tǒng)的穩(wěn)定性，平時操作系統(tǒng)出現(xiàn)的一些問題，

諸如系統(tǒng)無法啟動、應(yīng)用程序無法運(yùn)行、系統(tǒng)不穩(wěn)定等情況，很多都是因為注冊表出現(xiàn)錯誤而造成的，

而通過修改相應(yīng)的數(shù)據(jù)就能解決這些問題，所以，掌握如何正確備份、恢復(fù)注冊表的方法，

可以讓每一個用戶更加得心應(yīng)手地使用自己的電腦。

一、利用注冊表編輯器手工備份注冊表

注冊表編輯器（Regedit）是操作系統(tǒng)自帶的一款注冊表工具，通過它就能對注冊表進(jìn)行各種修改。

當(dāng)然，"備份"與"恢復(fù)"注冊表自然是它的本能了。

（1）通過注冊表編輯器備份注冊表

由于修改注冊表有時會危及系統(tǒng)的安全，因此不管是WINDOWS 98還是WINDOWS 2000甚至WINDOWS XP，

都把注冊表編輯器"藏"在了一個非常隱蔽的地方，要想"請"它出山，必須通過特殊的手段才行。

點(diǎn)擊"開始"菜單，選擇菜單上的"運(yùn)行"選項，在彈出的"運(yùn)行"窗口中輸入"Regedit"后，點(diǎn)擊"確定"按鈕，

這樣就啟動了注冊表編輯器。

點(diǎn)擊注冊表編輯器的"注冊表"菜單，再點(diǎn)擊"導(dǎo)出注冊表文件"選項，

在彈出的對話框中輸入文件名"regedit"，將"保存類型"選為"注冊表文件"，再將"導(dǎo)出范圍"設(shè)置為"全部"，

接下來選擇文件存儲位置，最后點(diǎn)擊"保存"按鈕，就可將系統(tǒng)的注冊表保存到硬盤上。

完成上述步驟后，找到剛才保存?zhèn)浞菸募哪莻€文件夾，就會發(fā)現(xiàn)備份好的文件已經(jīng)放在文件夾中了。

（2）在DOS下備份注冊表

當(dāng)注冊表損壞后，WINDOWS（包括"安全模式"）無法進(jìn)入，此時該怎么辦呢？

在純DOS環(huán)境下進(jìn)行注冊表的備份、恢復(fù)是另外一種補(bǔ)救措施，下面來看看在DOS環(huán)境下，

怎樣來備份、恢復(fù)注冊表。

在純DOS下通過注冊表編輯器備份與恢復(fù)注冊表前面已經(jīng)講解了利用注冊表編輯器在WINDOWS環(huán)境下備份、

恢復(fù)注冊表，其實"Regedit.exe"這個注冊表編輯器不僅能在WINDOWS環(huán)境中運(yùn)行，也能在DOS下使用。

雖然在DOS環(huán)境中的注冊表編輯器的功能沒有在WINDOWS環(huán)境中那么強(qiáng)大，但是也有它的獨(dú)到之處。

比如說通過注冊表編輯器在WINDOWS中備份了注冊表，可系統(tǒng)出了問題之后，無法進(jìn)入WINDOWS，

此時就可以在純DOS下通過注冊表編輯器來恢復(fù)注冊表。

應(yīng)該說在DOS環(huán)境中備份注冊表的情況還是不多見的，一般在WINDOWS中備份就行了，

不過在一些特殊的情況下，這種方式就顯得很實用了。

進(jìn)入DOS后，再進(jìn)入C盤的WINDOWS目錄，在該目錄的提示符下輸入"regedit"后按回車鍵，

便能查看"regedit"的使用參數(shù)。

通過"Regedit"備份注冊表仍然需要用到"system.dat"和"user.dat"這兩個文件，

而該程序的具體命令格式是這樣的：

Regedit /L:system /R:user /E filename.reg Regpath

參數(shù)含義：

/L：system指定System.dat文件所在的路徑。

/R：user指定User.dat文件所在的路徑。

/E：此參數(shù)指定注冊表編輯器要進(jìn)行導(dǎo)出注冊表操作，在此參數(shù)后面空一格，輸入導(dǎo)出注冊表的文件名。

Regpath：用來指定要導(dǎo)出哪個注冊表的分支，如果不指定，則將導(dǎo)出全部注冊表分支。在這些參數(shù)中

，"/L：system"和"/R：user"參數(shù)是可選項，如果不使用這兩個參數(shù)，

注冊表編輯器則認(rèn)為是對WINDOWS目錄下的"system.dat"和"user.dat"文件進(jìn)行操作。

如果是通過從軟盤啟動并進(jìn)入DOS，

那么就必須使用"/L"和"/R"參數(shù)來指定"system.dat"和"user.dat"文件的具體路徑，

否則注冊表編輯器將無法找到它們。

比如說，如果通過啟動盤進(jìn)入DOS，

則備份注冊表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",

該命令的意思是把整個注冊表備份到WINDOWS目錄下，其文件名為"regedit.reg"。

而如果輸入的是"regedit /E D:\regedit.reg"這條命令，

則是說把整個注冊表備份到D盤的根目錄下（省略了"/L"和"/R"參數(shù)），其文件名為"Regedit.reg"。

（ 3）用注冊表檢查器備份注冊表

在DOS環(huán)境下的注冊表檢查器Scanreg.exe可以用來備份注冊表。

命令格式為：

Scanreg /backup /restore /comment

參數(shù)解釋：

/backup用來立即備份注冊表

/restore按照備份的時間以及日期顯示所有的備份文件

/comment在/restore中顯示同備份文件有關(guān)的部分

注意：在顯示備份的注冊表文件時，壓縮備份的文件以 .CAB文件列出，

CAB文件的后面單詞是Started或者是NotStarted，Started表示這個文件能夠成功啟動Windows，

是一個完好的備份文件，NotStarted表示文件沒有被用來啟動Windows，

因此還不能夠知道是否是一個完好備份。

比如：如果我們要查看所有的備份文件及同備份有關(guān)的部分，命令如下：

Scanreg /restore /comment

注冊表恢復(fù)

注冊表中存放著計算機(jī)軟硬件的配置信息，病毒、網(wǎng)頁惡意代碼往往要修改注冊表，

平時安裝、操作軟件也會使注冊表內(nèi)容發(fā)生變化。當(dāng)計算機(jī)工作不正常時，

往往可以通過恢復(fù)注冊表來修復(fù)。所以，平時我們應(yīng)經(jīng)常備份注冊表(運(yùn)行regedit，導(dǎo)出注冊表文件)。

這樣，需要時就可以導(dǎo)入過去某個備份，使電腦恢復(fù)正常。

如果平時沒有導(dǎo)出注冊表，則只好通過運(yùn)行 scanreg /restore來恢復(fù)注冊表，

或運(yùn)行scanreg

/fix來修復(fù)注冊表。不過該命令應(yīng)該在DOS下執(zhí)行。對于win98系統(tǒng)，開機(jī)時按F8，

選擇Command Prompt

Only進(jìn)入DOS；對于WinMe系統(tǒng)，則可以運(yùn)行Command進(jìn)入DOS。當(dāng)然，也可以用軟盤引導(dǎo)系統(tǒng)，

進(jìn)入C:\windows\command子目錄，然后執(zhí)行上述修復(fù)注冊表的命令。

目前網(wǎng)頁惡意代碼最可惡的破壞行為之一是在注冊表中禁止了程序運(yùn)行。

此時因IE無法運(yùn)行，不能使用在線自動修復(fù)；且“微機(jī)數(shù)據(jù)維護(hù)”等修復(fù)軟件也不能運(yùn)行；

同樣也不能導(dǎo)入注冊表文件來修復(fù)注冊表。此時唯一的辦法就是在DOS下運(yùn)行C:\windows

scanreg /restore來修復(fù)注冊表。

ZBLOG博客被掛馬了怎么辦？

刪除了還有，那就是網(wǎng)站有漏洞，網(wǎng)站安全沒有做好，你把漏洞這個根清除掉，才會徹底解決掛馬，我公司網(wǎng)站之前用的也是ZBLOG的程序，當(dāng)時被掛了黑鏈，刪除了后過了不一會就又出現(xiàn)了，百度搜索我的頁面出現(xiàn)了許多惡意的內(nèi)容快照，當(dāng)時對安全也不懂，朋友推薦找Sine安全公司，找了他們把網(wǎng)站漏洞修復(fù)了，網(wǎng)站代碼審計后。網(wǎng)站被掛黑鏈的問題就得以解決，希望我的經(jīng)歷能幫到樓主，往采納！

下面是關(guān)于安全方面的建議！

建站一段時間后總能聽得到什么什么網(wǎng)站被掛馬，什么網(wǎng)站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網(wǎng)站的必要安全措施并未做好。

有條件建議找專業(yè)做網(wǎng)站安全的sine安全來做安全維護(hù)。

一：掛馬預(yù)防措施：

1、建議用戶通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝asp的上傳程序。

2、定期對網(wǎng)站進(jìn)行安全的檢測，具體可以利用網(wǎng)上一些工具，如sinesafe網(wǎng)站掛馬檢測工具！

3、asp程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換。

4、到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。

5、要盡量保持程序是最新版本。

6、不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護(hù)后刪除后臺管理程序的登陸頁面，下次維護(hù)時再通過ftp上傳即可。

8、要時常備份數(shù)據(jù)庫等重要文件。

9、日常要多維護(hù)，并注意空間中是否有來歷不明的asp文件。記?。阂环趾顾?，換一分安全!

10、一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇。

二：掛馬恢復(fù)措施：

1.修改帳號密碼

不管是商業(yè)或不是，初始密碼多半都是admin。因此你接到網(wǎng)站程序第一件事情就是“修改帳號密碼”。

帳號密碼就不要在使用以前你習(xí)慣的，換點(diǎn)特別的。盡量將字母數(shù)字及符號一起。此外密碼最好超過15位。尚若你使用SQL的話應(yīng)該使用特別點(diǎn)的帳號密碼，不要在使用什么什么admin之類，否則很容易被入侵。

2.創(chuàng)建一個robots.txt

Robots能夠有效的防范利用搜索引擎竊取信息的駭客。

3.修改后臺文件

第一步：修改后臺里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對數(shù)據(jù)庫加密后在修改conn.asp。

第三步：修改ACESS數(shù)據(jù)庫名稱，越復(fù)雜越好，可以的話將數(shù)據(jù)所在目錄的換一下。

4.限制登陸后臺IP

此方法是最有效的，每位虛擬主機(jī)用戶應(yīng)該都有個功能。你的IP不固定的話就麻煩點(diǎn)每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的后臺一些重要文件及檢查網(wǎng)頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網(wǎng)站程序

注意一下網(wǎng)站程序是否本身存在漏洞，好壞你我心里該有把秤。

7.謹(jǐn)慎上傳漏洞

據(jù)悉，上傳漏洞往往是最簡單也是最嚴(yán)重的，能夠讓黑客或駭客們輕松控制你的網(wǎng)站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業(yè)做網(wǎng)站安全的sinesafe公司。

8. cookie 保護(hù)

登陸時盡量不要去訪問其他站點(diǎn)，以防止 cookie 泄密。切記退出時要點(diǎn)退出在關(guān)閉所有瀏覽器。

9.目錄權(quán)限

請管理員設(shè)置好一些重要的目錄權(quán)限，防止非正常的訪問。如不要給上傳目錄執(zhí)行腳本權(quán)限及不要給非上傳目錄給于寫入權(quán)。

10.自我測試

如今在網(wǎng)上黑客工具一籮筐，不防找一些來測試下你的網(wǎng)站是否OK。

11.例行維護(hù)

a.定期備份數(shù)據(jù)。最好每日備份一次，下載了備份文件后應(yīng)該及時刪除主機(jī)上的備份文件。

b.定期更改數(shù)據(jù)庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最后修改時間以及文件數(shù)，檢查是文件是否有異常，以及查看是否有異常的賬號。

網(wǎng)站被掛馬一般都是網(wǎng)站程序存在漏洞或者服務(wù)器安全性能不達(dá)標(biāo)被不法黑客入侵攻擊而掛馬的。

網(wǎng)站被掛馬是普遍存在現(xiàn)象然而也是每一個網(wǎng)站運(yùn)營者的心腹之患。

您是否因為網(wǎng)站和服務(wù)器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網(wǎng)站技術(shù)的問題而耽誤了網(wǎng)站的運(yùn)營，您是否也因為精心運(yùn)營的網(wǎng)站反反復(fù)復(fù)被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業(yè)做網(wǎng)站安全的sine安全來做安全維護(hù)。

如何檢測網(wǎng)站有沒有木馬病毒

一、在線監(jiān)測

從事SEO優(yōu)化工作的站長應(yīng)該都清楚，如果在搜索引擎框框內(nèi)輸入site:+網(wǎng)站，就能看到我們網(wǎng)站網(wǎng)頁被收錄的情況，不僅如此，通過此種方式同樣可以看大我們網(wǎng)站的安全情況。另外，現(xiàn)在很多的企業(yè)使用的服務(wù)器內(nèi)大多數(shù)都會安裝殺毒軟件，而這些安全軟件中大多都有在線木馬監(jiān)測功能，一旦有木馬入侵我們的網(wǎng)站，這些安全軟件都會進(jìn)行提示以及清理。當(dāng)然，企業(yè)自己要要自己定期的對網(wǎng)站做全面監(jiān)測，只有這樣才能更好的守護(hù)網(wǎng)站的安全。

二、訪問網(wǎng)站時提示網(wǎng)站有病毒

隨著互聯(lián)網(wǎng)的發(fā)展，目前在互聯(lián)網(wǎng)中存在很多的殺毒軟件，當(dāng)自己訪問網(wǎng)站時，如果殺毒軟件提示存在風(fēng)險或者是網(wǎng)站有病毒，這時就應(yīng)該認(rèn)真的檢測一下網(wǎng)站了。如果被人掛馬了，自然說明網(wǎng)站的控制權(quán)在別人的手里，一旦對方是有所圖的，改掉網(wǎng)站的內(nèi)容或者信息，那這這對于企業(yè)而言將會造成不可彌補(bǔ)的損失，所以在此，天津網(wǎng)站建設(shè)-文率科技提醒大家，也不要訪問一些有病毒的網(wǎng)站，以免受感染了。

三、網(wǎng)站源代碼

大部分企業(yè)網(wǎng)站被掛木馬都是掛在首頁的位置，當(dāng)企業(yè)打開自己的網(wǎng)站顯示的并非是自己的所添加的內(nèi)容，那么可以肯定這些內(nèi)容一定是網(wǎng)站黑客掛上去的，并且有些黑鏈還會隱藏到網(wǎng)站的源代碼中，網(wǎng)站首頁是看不到的，這時候就需要我們一行一行的檢查網(wǎng)站源代碼了，一般的木馬都是放在頭部或者尾部，企業(yè)在檢查的時候可以著重的檢查這兩個部分，不過，其他部分也不能放過哦，盡量做到萬無一失。

四、FTP

一般情況，檢查網(wǎng)站是不是通過FTP或者登陸服務(wù)器查看文件的修改時間，因為鍵入是黑客的話要是他修改了網(wǎng)站文件，那么改文件的修改的時間就會跟改變，如果某些文件的修改時間明顯比其他文件要晚，而我們自己并沒有改動過，那么說明這個文件已經(jīng)被黑客修改過了，這時就說明你的網(wǎng)站可能已經(jīng)中毒或掛上了木馬，而這通過查看源文件的方式就可以看到。

五、死鏈接

眾所周知，網(wǎng)站死鏈接對于網(wǎng)站排名的影響力，一旦您的網(wǎng)站出現(xiàn)過多的死鏈，那么您的網(wǎng)站一定不會在搜索引擎中占有好的排名，而一般情況下黑客會在您網(wǎng)站的內(nèi)頁中掛上木馬，因為內(nèi)頁被掛木馬的話一般是很難察覺的，建議大家一定要利用專業(yè)的查死鏈工具進(jìn)行查找，會出現(xiàn)一些鏈接，然后找到這些代碼，從網(wǎng)站后臺進(jìn)行刪除。

網(wǎng)站被掛木馬并不可怕，可怕的是不知道如何處理木馬，相信看過小編為您分享的文章，聰明的您心中一定會有自己的對對策，在此還需要提醒大家，如果不想您的網(wǎng)站經(jīng)常被掛木馬，在進(jìn)行網(wǎng)站建設(shè)時，一定要選擇與專業(yè)的建站服務(wù)商合作，一般情況下，專業(yè)建站服務(wù)商的技術(shù)都是非常出色。