第5章 特洛伊木马.pptVIP

计算机病毒及其防范技术 · 特洛伊木马 进程 和 端口 联系在一起的方法很常见。因此，需要隐藏进程来达到隐藏木马的目的。 实现进程隐藏有两种思路： 第一是让系统管理员看不见（或者视而不见）你的进程； 第二是不使用进程。 DLL——动态链接库 NT进程的隐藏 计算机病毒及其防范技术 · 特洛伊木马 四、木马的检测、清除、防范 发现以下异常，应当检查计算机是否感染了木马。 计算机有时死机，有时又重新启动； 当浏览一个网站时，弹出来一些广告窗口是很正常的事情，可是如果用户根本没有打开浏览器，而浏览器突然自己打开，并且进入某个网站，那么，就要怀疑是否中了木马 计算机病毒及其防范技术 · 特洛伊木马 正在操作计算机，突然一个警告框或者是询问框弹出来，问一些用户从来没有在计算机上接触过的问题 没有运行大的程序，而系统的速度却越来越慢，系统资源占用很多； Windows系统配置经常被莫名其妙地自动更改； 总是无缘无故地读硬盘，网络连接及鼠标屏幕出现异常现象； 计算机意外地打开了某个端口，用嗅探器发现存在异常的网络数据传输 拨号上网用户离线操作计算机时，突然弹出拨号对话框。 计算机病毒及其防范技术 · 特洛伊木马 （1）检查网络连接情况 由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”-“运行”-“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。 手工方法： 计算机病毒及其防范技术 · 特洛伊木马 木马名称 端口 木马名称 端口 BO jammerkillahV 121 Remote Grab 7000 NukeNabber 139 NetMonitor 7300 Hackers Paradise 456 NetMonitor 1.x 7301 Stealth Spy 555 NetMonitor 2.x 7306 Phase0 555 NetMonitor 3.x 7307 NeTadmin 555 NetMonitor 4.x 7308 Satanz Backdoor 666 Qaz 7597 Attack FTP 666 ICQKiller 7789 AIMSpy 777 InCommand 9400 已知木马的端口列表（简略） 计算机病毒及其防范技术 · 特洛伊木马 （2）查看目前运行的服务 服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”-“运行”-“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。 计算机病毒及其防范技术 · 特洛伊木马 （3）检查系统启动项 　　由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”-“运行”-“regedit”，然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值； HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。 　　Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！ 计算机病毒及其防范技术 · 特洛伊木马 （4）检查系统帐户 　　恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。 　　点击“开始”-“运行”-“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再