防范三绝技-谈木马“查、堵、杀”

goodluck

<div><font size="2">　　</font></div><div><font size="2">　　</font></div><div><font size="2">　　木</font><font size="2">马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。</font></div><p><font size="2">　　RFC1244(Request for Comments：1244)中是这样描述木马的：“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展，木马的攻击、危害性越来越大。木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，我们可以通过“查、堵、杀”将它“缉拿归案”。</font></p><p><font size="2">　　<strong>查</strong></font></p><p><font size="2">　　<strong>1.检查系统进程</strong></font></p><p><font size="2">　　大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。</font></p><p><font size="2">　　<strong>2.检查注册表、ini文件和服务</strong></font></p><p><font size="2">　　木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：</font></p><div><font size="2">　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\</font></div><div><font size="2">　　CurrentVersion\</font><font size="2">Run</font></div><div><font size="2">　　</font></div><div><font size="2">　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\</font></div><div><font size="2">　　CurrentVersion\</font><font size="2">RunOnce</font></div><div><font size="2">　　</font></div><div><font size="2">　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\</font></div><div><font size="2">　　CurrentVersion\RunOnceEx</font></div><div><font size="2">　　</font></div><div><font size="2">　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\</font></div><div><font size="2">　　CurrentVersion\RunServices</font></div><div><font size="2">　　</font></div><div><font size="2">　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\</font></div><div><font size="2">　　CurrentVersion\RunServicesOnce</font></div><p><font size="2">　　木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。</font></p><p><font size="2">　　在Windwos NT/2000中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。</font></p><p><font size="2">　<strong>　3.检查开放端口</strong></font></p><p><font size="2">　　远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。</font></p><p><font size="2">　　<strong>4.监视网络通讯</strong></font></p><p><font size="2">　　对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。</font></p><p><font size="2">　　<strong>堵</strong></font></p><p><font size="2"><strong>　　1.堵住控制通路</strong></font></p><p><font size="2">　　如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。</font></p><p><font size="2">　　<strong>2.杀掉可疑进程</strong></font></p><p><font size="2">　　如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。</font></p><p><font size="2">　<strong>　杀</strong></font></p><p><font size="2"><strong>　　1.手工删除</strong></font></p><p><font size="2">　　对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接