跟踪追击，打赢木马“围歼战”.docVIP

跟踪追击，打赢木马“围歼战” 　　病毒通常以破坏系统、摧毁数据为“乐趣”，经常以凶狠暴虐的形象出现。相比之下，木马则显得比较低调，通常以隐蔽状态活动。但是，木马却比病毒阴险许多，木马是黑客最大的帮凶，其主要目的不是大肆破坏系统，而是开启后门，让黑客获得目标主机的控制大权，进而执行盗窃重要数据、传播恶意程序、窥视隐私、非法获取经济利益等罪恶勾当。一般我们都是使用杀软等安全软件来对付木马，不过这并非万全之策，对于黑客精心“调教”出来的免杀型木马，常见的安全工具往往无法查杀。如何才能防范和查杀木马，让其不再在您的电脑中作恶呢？这里就从追踪木马活动踪迹、精准定位和删除木马文件，防御木马入侵等方面，全面介绍清除木马的通用方法，让您不惧木马侵袭，打赢打好木马歼灭战！ 　　兵法云，知己知彼，方可百战不殆。要想清除木马，首先必须发现其行踪，然后才能采用各种手段，对其进行围捕绞杀。木马要想发挥威力，必须采用开启后门端口、潜入启动项等方式，才可以顺利激活成为黑客的帮凶。接下来，我们就从清查网络连接、启动项人手，来寻觅木马的踪迹。 　　1.明辨端口，追寻木马踪迹 　　当木马侵入系统后，必须要做的事情之一就是非法开启秘密端口，为黑客遥控本机打开了大门。从编程原理上说，木马一般都是通过调用Winsock库中的Socket（）函数来建立套接字，从而实现网络通讯的。因此，只要查看本机的端口信息，就能够发现木马的踪迹。例如，我们一般都是在CMD窗口执行“netstart-ano”命令，不仅可以查看端口使用情况，还可以在“PID”列中显示使用该端口的进程标识符。在任务管理器打开“进程”面板，点击菜单“查看”-“选择列”项，在弹出窗口中选择“PID”项，就可以在进程列表中发现目标进程了。在CMD窗口中执行“wmic”命令，如果初次使用，会显示“正在安装WMIC，请稍后”。在随后的“wmic：root＼cli”栏中输入“Process”命令，就会显示进程和实际程序之间的关系列表。据此不难找到目标程序具体位置。 　　如果确认是木马，就可以使用专用的删除工具（例如Unlocker，IceSword，Syscheck等），将其直接清除掉。不过“netstat”命令对付基于TCP协议的端口很有效，但是应对基于UDP协议的木马就有些力不从心了，因此，还必须借助于专业的端口查看工具（例如TCPEye，Antiyports，Fport等）帮忙才行。例如运行TCPEye，在其主窗口（如图1）中显示当前所有的网络连接项目，包括相关进程的名称、本地地址和端口、远程地址和端口、连接状态、协议类型、远程地址所属国家、关联的程序路径、程序名称、开发者、文件描述信息、文件版本等信息。TCPEys可以动态刷新网络连接信息（默认周期为1秒），在“State”列中以不同的颜色表示目标网络连接所处的状态，例如绿色表示连接已经建立、黄色表示正在发送数据、浅红色表示正在等待连接、深红色表示连接请求等。 　　在工具栏上按下倒数第二个按钮，表示仅仅勇示打开了监听端口，还没有建立实际连接的“空连接”项目。在工具栏上按下倒数第一个按钮，可以打开网址解析功能，在本地地址和远程地址中就会显示对应主机的名称，用来替代实际的IP地址。如果您觉得连接列表看起来有些眼花缭乱的话，可以使用TCPEye提供的连接自动检测功能。在工具栏上按下第三个按钮，TCPEye即可对网络连接进行实时监控，当发现新的网络连接后，即可在屏幕右下角弹出提示面板，在其中显示目标连接的远程地址、端口、相关的进程名和所属国家等信息。如果在工具栏上按下第四个按钮，可以激活声音报警功能，当出现新的网络连接后，TCPEye就可以发出报警声提醒您的注意。 　　对于来历不明的网络连接，可以在其右键菜单上点击“Cechk Whit VirusTotal”项，TCPEye可以将相关程序上传到在线病毒检测网站上，进行全面检测分析，确定其是否存在危害性。对于确认是非法的网络连接，在其右键菜单上点击“Close Connection”项（或者按下“Ctrl+K”键），即可关闭该网络连接（前提是其处于该连接处于建立状态）。在上述菜单中点击“Properties”项，可以显示相关进程的详细信息，点击“End Process”项，可以直接中止相关进程的运行。当然，为了防止木马非法开启端口，最好的应对策略是开启防火墙来保护系统。不管是系统自带的防火墙，还是第三方的防火墙软件，都可以有效抗击木马侵入。 　　2.严查启动项，让木马现出原形 　　对于一般“平庸”的木马，使用上述方法可以轻松应对。但是，如果木马比较狡猾，采用了原始套接字通信技术，就大大增加了通过端口发现其行踪的难度。从编程原理上分析，常用的网络编程都是在应用层的报文收发操作，大多数开发者接触到都