检测木马.docVIP

检测木马 1、查看端口 由于木马是基于远程控制的程序，通常是基于TCP/UDP协议进行client端与server端之间的通讯，因此中木马的机器会开有特定的端口来等待连接。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027......，QQ会打开4000、4001......等端口。 在DOS命令行下用netstat -na命令可以看到本机所有打开的端口，如果发现除了以上所说的端口外，还有其他端口被占用，您可一定要小心了。例如冰河所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口，Back Orifice 2000则是使用54320。 进入到命令行下，使用netstat命令查看。键入： 　　C:\netstat -an 　　Active Connections 　　Proto Local Address Foreign Address State 　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING 　　UDP 0.0.0.0:445 0.0.0.0:0 　　UDP 0.0.0.0:1046 0.0.0.0:0 　　UDP 0.0.0.0:1047 0.0.0.0:0 Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，您可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。本例中机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！ 2、查看系统配置文件 查看System.ini，由“开始”→“运行”，输入msconfig,运行Windows自带的“系统配置实用程序”。选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”，否则，就可能中木马了。这类的病毒很多，比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold” 查看win.ini文件，选中win.ini标签，展开[windows]目录项，查看“run=”和“load=行”，等号后面正常为空。比如攻击QQ的“GOP木马”就会在这里留下痕迹。 3、查看启动组中的启动项目 看看启动标签中的启动项目，如果有netbus、netspy、bo等关键字出现，那么极有可能中木马了。 4、查看注册表。 由“开始→运行”，输入regedit,运行注册表编辑器，展开至HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run目录下，查看键值中有无自己不熟悉的自启动项目，比如netbus、netspy、bo等单词，比如Acid Battery木马，它会在注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows-CurrentVersion\Run下加入Explorer=“C:\windows\expiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别！ 然后通过类似的方法检查下列各个主键的值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce， HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnceEx， HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices， HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce， HKEY_LOCAL_MACHINE\ Software\SAM。 当然在注册表中还有很多地方可以隐藏木马程序，上面这些主键只是木马比较常用的隐身之处，最好的办法就是在HKEY_LOCAL_MACHINESoftwa