【文章內(nèi)容簡介】 第三方加載項(xiàng)。 用戶可以通過檢查 SPI來查看是否安裝第三方加載項(xiàng)，并確定是否為木馬軟件。 啟動項(xiàng)檢查 單擊 “ 啟動項(xiàng)檢查 ” 選項(xiàng) ， 可 列出開機(jī)啟動的項(xiàng)目，包括注冊表、名稱 、 文件 和分析情況 ，如圖所示： 注：啟動項(xiàng)鍵值： 鍵值 意義 位置 Load 自動啟動程序 〔 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主鍵下 Userinit 用于系統(tǒng)啟動時(shí)加 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 23 載程序 Version\Winlogon\Userinit〕主鍵下 Explorer\Run 系統(tǒng)啟動項(xiàng) 同時(shí)位于（ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。 Run Services Once 用戶登錄前及其它注冊表自啟動程序加載前面加 載。 同時(shí)位于〔 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。 Run Services 用戶登錄前及其它注冊表自啟動程序加載前面加載。 同時(shí)位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下。 Run Once\Setup 其默認(rèn)值是在用戶登錄后加載的程序 同時(shí)位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup下。 Run Once 許多自啟動程序要通過 RunOnce 子鍵來完成第一次加載 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 下。 Run 最常見的自啟動程序用于加載的地方 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下。 端口檢查 單擊 “ 端口檢查 ” 選項(xiàng)， 可 列出 TCP/UDP 的開放端口，包括本機(jī)地址、遠(yuǎn)程地址 、 狀態(tài) 和分析情況 。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 24 注： 端口 連接進(jìn)程是通過一系列狀態(tài)表示的， 這些 狀態(tài)有： LISTEN， CLOSEWAIT， CLOSING， LASTACK， TIMEWAIT和 CLOSED。 狀態(tài) 意 義 LISTENING 偵聽來自遠(yuǎn)方 TCP端口的連接請求 TIMEWAIT 等待足夠的時(shí)間以確保遠(yuǎn)程 TCP接收到連接中斷請求的確認(rèn) CLOSEWAIT 等待從本地用戶發(fā)來的連接中斷請求 SYNSENT 在發(fā)送連接請求后等待匹配的連接請求 SYNRECEIVED 在收到和發(fā)送一個連接 請求后等待對連接請求的確認(rèn) ESTABLISHED 代表一個打開的連接，數(shù)據(jù)可以傳送給用戶 FINWAIT1 等待遠(yuǎn)程 TCP的連接中斷請求，或先前的連接中斷請求的確認(rèn) FINWAIT2 從遠(yuǎn)程 TCP等待連接中斷請求 CLOSEWAIT 等待從本地用戶發(fā)來的連接中斷請求 CLOSING 等待遠(yuǎn)程 TCP對連接中斷的確認(rèn) LASTACK 等待原來發(fā)向遠(yuǎn)程 TCP的連接中斷請求的確認(rèn) TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 25 CLOSED 沒有任何連接狀態(tài) 常見端口及木馬常見木馬開放端口見附表。 進(jìn)程檢查 單 擊 “ 進(jìn)程檢查 ”選 項(xiàng) ， 可 列出 正在進(jìn)行的 系統(tǒng)進(jìn)程。包括進(jìn)程 ID、名稱、文件 和路 徑 。 注： 在 “ 進(jìn)程 ID” 一欄中，出現(xiàn) 0值是指該端口已關(guān)閉，處于 “TIME_WAIT” 狀態(tài) 。 常見系統(tǒng)進(jìn)程附表： 進(jìn)程文件 進(jìn)程名稱 進(jìn)程描述 [system process] or [system process] Windows 內(nèi)存處理系統(tǒng)進(jìn)程 Windows頁面內(nèi)存管理進(jìn)程，擁有 0級優(yōu)先。（其 CPU占用越多說明電腦資源越多空閑可供使用） alg or 應(yīng)用層網(wǎng)關(guān)服務(wù) XP中的 Application Layer Gateway service。這是一個應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 26 csrss or Client/Server Runtime Server Subsystem 僅僅在 Windows NT4//2020/XP/2020中 . CSRSS 是客戶服務(wù)器運(yùn)作服務(wù)子系統(tǒng)， 用以控制 Windows 圖形相關(guān)子系統(tǒng)。 ddhelp or DirectDraw Helper DirectDraw Helper是 DirectX這個用于圖形服務(wù)的一個組成部分。 dllhost or DCOM DLL Host 進(jìn)程 DCOM DLL Host進(jìn)程支持基于 COM對象支持 DLL以運(yùn)行 Windows程序?！疚④汥模塊 ,如果該進(jìn)程常常出錯，那么可能感染 Welchia 病毒】 explorer or xe 程序管理 Windows Program Manager或者 Windows Explorer 用于控制 Windows圖形 Shell，包括開始菜單、任務(wù)欄，桌面和文件管理?！鞠到y(tǒng)界面內(nèi)核】 iinfo or xe IIS Admin Service Helper IInfo是 Microsoft Inter Infomation Services (IIS)的一部分，即微軟 IIS 服務(wù)。用于 Debug 調(diào)試除錯?！?msftpsvc,w3svc,iisadmn】 internat or xe Input Locales MS windows 的多語言支持，這個輸入控制圖標(biāo)用于更改類似國家設(shè)置、鍵盤類型和日期格式。 kernel32 or ll Windows殼進(jìn)程 Windows殼進(jìn)程用于管理多線程、內(nèi)存和資源。即是 Windows 本身 lsass or 本地安全權(quán)限服務(wù) Windows NT4/2020/XP/2020. LSASS 是本地安全認(rèn)證服務(wù)。這個本地安全權(quán)限服務(wù)控制 Windows 安全機(jī)制。管理 ip 安全策略以及啟動 isakmp/oa TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 27 kley (ike) 和 ip 安全驅(qū)動程序 mdm or Machine Debug Manager Debug除錯管理用于調(diào)試應(yīng)用程序和 Microsoft Office中的 Microsoft Script Editor 腳本編輯器。 mmtask or 多媒體支持進(jìn)程 Microsoft 多媒體后臺任務(wù)支持模塊。這個 Windows 多媒體后臺程序控制多媒體服務(wù)，例如 MIDI。 regsvc or 遠(yuǎn)程注冊表服務(wù) 遠(yuǎn)程注冊表服 務(wù)用于訪問在遠(yuǎn)程計(jì)算機(jī)的注冊表。 rpcss or RPC Portmapper Windows 的 RPC 端口映射進(jìn)程處理 RPC 調(diào)用 (遠(yuǎn)程模塊調(diào)用 )然后把它們映射給指定的服務(wù)提供者。 svchost or Service Host Process Service Host Process 是一個標(biāo)準(zhǔn)的動態(tài)連接庫主機(jī)處理服務(wù)。 system or Windows System Process Microsoft Windows 系統(tǒng)進(jìn)程。 taskmon or Windows Task Optimizer windows 任務(wù)優(yōu)化器監(jiān)視你使用某個程序的頻率，并且通過加載那些經(jīng)常使用的程序來整理優(yōu)化硬盤。 tcpsvcs or TCP/IP Services TCP/IP Services Application 支持透過 TCP/IP連接局域網(wǎng)和 Inter。 spoolsv or Printer Spooler Service Windows打印 任務(wù) spool32 or Printer Spooler Windows打印任務(wù)控制程序，用以打印機(jī)就緒。 snmp or Microsoft SNMP Agent Windows簡單的網(wǎng)絡(luò)協(xié)議代理（ SNMP）用于監(jiān)聽和發(fā)送請求到適當(dāng)?shù)木W(wǎng)絡(luò)部分。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 28 smss or Session Manager Subsystem 該進(jìn)程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量 。 services or xe Windows Service Controller 管理 Windows 服務(wù)。包含很多系統(tǒng)服務(wù) winlogon or xe Windows Logon Process Windows NT 管理用戶登陸程序。 mstask or Windows計(jì)劃任務(wù) Windows 計(jì)劃任務(wù)用于設(shè)定繼承在什么時(shí)間或者什么日期備份或者運(yùn)行 Prexe or Windows Multiple Provider Router—— 【 Windows路由進(jìn)程】 Windows 路由進(jìn)程包括向適當(dāng)?shù)木W(wǎng)絡(luò)部分發(fā)出網(wǎng)絡(luò)請求 日志管理： 使用“日志審計(jì)員”賬戶登錄 ， 點(diǎn)擊“查看日志”，進(jìn)入日志管理界面， 支持系統(tǒng)操作 日志 查看、清除和導(dǎo)出 。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 29 單 擊“刷新” 選項(xiàng) ， 可 實(shí)時(shí)顯示系統(tǒng)操作日志。 查詢實(shí)時(shí)、歷史日志數(shù)據(jù)。 ? 選中所要清除的日志，單擊“清除選擇” 選項(xiàng) ，可對指定日志進(jìn)行清除。 ? 單擊“清除 所有” 選項(xiàng) ，可清除歷史日志數(shù)據(jù)。 ? 單擊“導(dǎo)出日志” 選項(xiàng) ，可對日志進(jìn)行 txt文檔導(dǎo)出。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 30 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 31 第六章 附表 常見端口 應(yīng) 用 0 無效端口 ,通常用于分析操作系統(tǒng) 1 傳輸控制協(xié)議端口服務(wù)多路開關(guān)選擇器 2 管理實(shí)用程序 3 壓縮進(jìn)程 5 遠(yuǎn)程作業(yè)登錄 7 回顯 9 丟棄 11 在線用戶 13 時(shí)間 17 每日引用 18 消息發(fā)送協(xié)議 19 字符發(fā)生器