【文章內容簡介】 第三方加載項。 用戶可以通過檢查 SPI來查看是否安裝第三方加載項，并確定是否為木馬軟件。 啟動項檢查 單擊 “ 啟動項檢查 ” 選項 ， 可 列出開機啟動的項目，包括注冊表、名稱 、 文件 和分析情況 ，如圖所示： 注：啟動項鍵值： 鍵值 意義 位置 Load 自動啟動程序 〔 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load〕主鍵下 Userinit 用于系統(tǒng)啟動時加 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 23 載程序 Version\Winlogon\Userinit〕主鍵下 Explorer\Run 系統(tǒng)啟動項 同時位于（ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。 Run Services Once 用戶登錄前及其它注冊表自啟動程序加載前面加 載。 同時位于〔 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。 Run Services 用戶登錄前及其它注冊表自啟動程序加載前面加載。 同時位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下。 Run Once\Setup 其默認值是在用戶登錄后加載的程序 同時位于 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup下。 Run Once 許多自啟動程序要通過 RunOnce 子鍵來完成第一次加載 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 下。 Run 最常見的自啟動程序用于加載的地方 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下。 端口檢查 單擊 “ 端口檢查 ” 選項， 可 列出 TCP/UDP 的開放端口，包括本機地址、遠程地址 、 狀態(tài) 和分析情況 。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 24 注： 端口 連接進程是通過一系列狀態(tài)表示的， 這些 狀態(tài)有： LISTEN， CLOSEWAIT， CLOSING， LASTACK， TIMEWAIT和 CLOSED。 狀態(tài) 意 義 LISTENING 偵聽來自遠方 TCP端口的連接請求 TIMEWAIT 等待足夠的時間以確保遠程 TCP接收到連接中斷請求的確認 CLOSEWAIT 等待從本地用戶發(fā)來的連接中斷請求 SYNSENT 在發(fā)送連接請求后等待匹配的連接請求 SYNRECEIVED 在收到和發(fā)送一個連接 請求后等待對連接請求的確認 ESTABLISHED 代表一個打開的連接，數(shù)據(jù)可以傳送給用戶 FINWAIT1 等待遠程 TCP的連接中斷請求，或先前的連接中斷請求的確認 FINWAIT2 從遠程 TCP等待連接中斷請求 CLOSEWAIT 等待從本地用戶發(fā)來的連接中斷請求 CLOSING 等待遠程 TCP對連接中斷的確認 LASTACK 等待原來發(fā)向遠程 TCP的連接中斷請求的確認 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 25 CLOSED 沒有任何連接狀態(tài) 常見端口及木馬常見木馬開放端口見附表。 進程檢查 單 擊 “ 進程檢查 ”選 項 ， 可 列出 正在進行的 系統(tǒng)進程。包括進程 ID、名稱、文件 和路 徑 。 注： 在 “ 進程 ID” 一欄中，出現(xiàn) 0值是指該端口已關閉，處于 “TIME_WAIT” 狀態(tài) 。 常見系統(tǒng)進程附表： 進程文件 進程名稱 進程描述 [system process] or [system process] Windows 內存處理系統(tǒng)進程 Windows頁面內存管理進程，擁有 0級優(yōu)先。（其 CPU占用越多說明電腦資源越多空閑可供使用） alg or 應用層網(wǎng)關服務 XP中的 Application Layer Gateway service。這是一個應用層網(wǎng)關服務用于網(wǎng)絡共享 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 26 csrss or Client/Server Runtime Server Subsystem 僅僅在 Windows NT4//2020/XP/2020中 . CSRSS 是客戶服務器運作服務子系統(tǒng)， 用以控制 Windows 圖形相關子系統(tǒng)。 ddhelp or DirectDraw Helper DirectDraw Helper是 DirectX這個用于圖形服務的一個組成部分。 dllhost or DCOM DLL Host 進程 DCOM DLL Host進程支持基于 COM對象支持 DLL以運行 Windows程序。【微軟D模塊 ,如果該進程常常出錯，那么可能感染 Welchia 病毒】 explorer or xe 程序管理 Windows Program Manager或者 Windows Explorer 用于控制 Windows圖形 Shell，包括開始菜單、任務欄，桌面和文件管理?！鞠到y(tǒng)界面內核】 iinfo or xe IIS Admin Service Helper IInfo是 Microsoft Inter Infomation Services (IIS)的一部分，即微軟 IIS 服務。用于 Debug 調試除錯?！?msftpsvc,w3svc,iisadmn】 internat or xe Input Locales MS windows 的多語言支持，這個輸入控制圖標用于更改類似國家設置、鍵盤類型和日期格式。 kernel32 or ll Windows殼進程 Windows殼進程用于管理多線程、內存和資源。即是 Windows 本身 lsass or 本地安全權限服務 Windows NT4/2020/XP/2020. LSASS 是本地安全認證服務。這個本地安全權限服務控制 Windows 安全機制。管理 ip 安全策略以及啟動 isakmp/oa TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 27 kley (ike) 和 ip 安全驅動程序 mdm or Machine Debug Manager Debug除錯管理用于調試應用程序和 Microsoft Office中的 Microsoft Script Editor 腳本編輯器。 mmtask or 多媒體支持進程 Microsoft 多媒體后臺任務支持模塊。這個 Windows 多媒體后臺程序控制多媒體服務，例如 MIDI。 regsvc or 遠程注冊表服務 遠程注冊表服 務用于訪問在遠程計算機的注冊表。 rpcss or RPC Portmapper Windows 的 RPC 端口映射進程處理 RPC 調用 (遠程模塊調用 )然后把它們映射給指定的服務提供者。 svchost or Service Host Process Service Host Process 是一個標準的動態(tài)連接庫主機處理服務。 system or Windows System Process Microsoft Windows 系統(tǒng)進程。 taskmon or Windows Task Optimizer windows 任務優(yōu)化器監(jiān)視你使用某個程序的頻率，并且通過加載那些經(jīng)常使用的程序來整理優(yōu)化硬盤。 tcpsvcs or TCP/IP Services TCP/IP Services Application 支持透過 TCP/IP連接局域網(wǎng)和 Inter。 spoolsv or Printer Spooler Service Windows打印 任務 spool32 or Printer Spooler Windows打印任務控制程序，用以打印機就緒。 snmp or Microsoft SNMP Agent Windows簡單的網(wǎng)絡協(xié)議代理（ SNMP）用于監(jiān)聽和發(fā)送請求到適當?shù)木W(wǎng)絡部分。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 28 smss or Session Manager Subsystem 該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量 。 services or xe Windows Service Controller 管理 Windows 服務。包含很多系統(tǒng)服務 winlogon or xe Windows Logon Process Windows NT 管理用戶登陸程序。 mstask or Windows計劃任務 Windows 計劃任務用于設定繼承在什么時間或者什么日期備份或者運行 Prexe or Windows Multiple Provider Router—— 【 Windows路由進程】 Windows 路由進程包括向適當?shù)木W(wǎng)絡部分發(fā)出網(wǎng)絡請求 日志管理： 使用“日志審計員”賬戶登錄 ， 點擊“查看日志”，進入日志管理界面， 支持系統(tǒng)操作 日志 查看、清除和導出 。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 29 單 擊“刷新” 選項 ， 可 實時顯示系統(tǒng)操作日志。 查詢實時、歷史日志數(shù)據(jù)。 ? 選中所要清除的日志，單擊“清除選擇” 選項 ，可對指定日志進行清除。 ? 單擊“清除 所有” 選項 ，可清除歷史日志數(shù)據(jù)。 ? 單擊“導出日志” 選項 ，可對日志進行 txt文檔導出。 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 30 TrojanChecker 用戶快速使用手冊 Copyright169。2020 北京智恒聯(lián)盟科技有限公司 31 第六章 附表 常見端口 應 用 0 無效端口 ,通常用于分析操作系統(tǒng) 1 傳輸控制協(xié)議端口服務多路開關選擇器 2 管理實用程序 3 壓縮進程 5 遠程作業(yè)登錄 7 回顯 9 丟棄 11 在線用戶 13 時間 17 每日引用 18 消息發(fā)送協(xié)議 19 字符發(fā)生器