网络管理维护技巧：通过系统权限法来清理木马

相信大家对Dll木马都是非常熟悉了，它确实是个非常招人恨的家伙。它不像普通的exe木马那样便于识别和清理，这个家伙的隐蔽性非常强。它可以嵌入到一些如rundll32.exe、svchost.exe等正常的进程中去，让你找不到。即使找到了也难以清除，因为正常的进程正在调用它嘛。

我用的是Mcafee的杀毒软件，比如说它现在报告：

defds.dll:C: Documents and SettingsAdministratorLocal Settings Temp defds.dll删除失败
fdgeg.com:C:Windowsimefdgeg.com删除失败
那么可以知道defds.dll应该是个dll木马，我们可以通过冰刃icesword来查看系统的进程，找到调用该dll文件的进程。比如说是notepad.exe 我们可以先尝试着终止该进程。该进程如果终止后过不了多久又重新运行（而我并没有运行记事本），那么我们可以判定fdgeg.com就是notepad.exe的的守护进程。当它发现它所监视的notepad.exe进程被终止后会立刻将notepad.exe重新启用。

现在我们可以：我的电脑-----工具----文件夹选项-----查看，在高级设置的选项下去掉“简单文件共享”的钩子(我的电脑是XP操作系统，NTFS磁盘格式)

然后到C:Windo0wsime下找到fdgeg.com，右键选择属性。在属性中选择”安全”，单击”高级”，在弹出的窗口中使“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”不被选中。再在弹出的窗口中单击”删除”，再依次单击”确定”。这样就没有任何用户可以使fdgeg.com工作了。

通过icesword终止notepad.exe，然后到C:Documents and SettingsAdministratorLocal SettingsTemp中删除defds.dll。然后到C:Windowsime中再找到fdgeg.com 右键属性，在属性中选择”安全”，单击”高级”，在弹出的窗口中选中“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”，然后删除它即可。最后别忘了在注册表的启动项中将这个dll木马删除。

这样，我们就彻底将这个讨厌的dll木马从我们的电脑中清除了。

【推荐阅读】

◆上网行为运维管理专区

◆怎样才算是一个合格的上网行为运维工程师

◆上网行为运维工作师需要什么样的技能及素质

◆网站上网行为运维管理经验探讨和心得分享

◆网管软件专区

本文来自互联网，仅供参考

发布：2007-04-15 10:03 编辑：泛普软件 · xiaona [打印此页] [关闭]