木马专题.doc

木马程序不同于病毒程序，通常并不象病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主，还可以对电脑进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。由于木马具有很强的隐蔽性，用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马，如何对木马进行清除和防范。 木马检测　　 1、查看开放端口　　当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。例如冰河使用的监听端口是7626，Back?Orifice?2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是中了木马。查看端口的方法有几种： (1)使用Windows本身自带的netstat命令 　C:\netstat?-an?　　　Active?Connections Proto?Local?Address?　Foreign?Address?　　?State　　　TCP　　　:113?　　:0?　?　　LISTENING　　　TCP　　　:135?　?　:0?　　　LISTENING　　　TCP　　　:445?　?　:0　　?　LISTENING　　　TCP　　　:1025　　?:0?　　　LISTENING　　　TCP　　　:1026　?　:0　　?　LISTENING　　　TCP　　　:1033　?　:0　　　?LISTENING　　　TCP　　　:1230?　　:0　　?　LISTENING　　　　TCP　　　:1232?　　:0　?　　LISTENING　　　TCP　　　:1239?　　:0　?　　LISTENING　　　TCP　　　:1740?　　:0?　　　LISTENING　　　TCP　　　:5092?　:?　　?　LISTENING　　　TCP　　　:5092?　:1748　TIME_WAI　　　TCP　　　:6092?　:0?　　　LISTENING　　　UDP　　　:69?　　?　　　*:*　　　UDP　　　:445　　　?　　?*:*　　　UDP　　　:1703　　　　　*:*　　　UDP　　　:1704　　　　　*:*　　　UDP　　　:4000　　　　　*:*　　　UDP　　　:6000　　　　　*:*　　　UDP　　　:6001　　　　　*:*　　　UDP　　　:1034　　　*:*　　　UDP　　　:1321　　　*:*　　　UDP　　　:1551　　　*:* (2)使用windows2000下的命令行工具fport?　　　 E:\softwareFport.exe　　　FPort?v2.0?-?TCP/IP?Process?to?Port?Mapper　　　Copyright?2000?by?Foundstone,?Inc.　　　Pid?Process?　Port?Proto?Path　　　420?svchost?-?135?TCP?E:\WINNT\system32\svchost.exe　　　8?　System?-?139?TCP　　　8?　System?-?445?TCP　　　768?MSTask?-?1025?TCP?E:\WINNT\system32\MSTask.exe　　　8?　System?-?1027?TCP　　　8?　System?-?137?UDP　　　8?　System?-?138?UDP　　　8?　　System?-?445?UDP　　　256?lsass?-?500?UDP?E:\WINNT\system32\lsass.exe (3)使用图形化界面工具Active?Ports 这个工具可以监视到电脑所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows?NT/2000/XP平台。　　2、查看win.ini和system.ini系统配置文件 查看win.ini和system.ini文件是否有被修改的地方。例如有的木马通过修改win.ini文件中windows节?的“load=file.exe?，run=file.exe”语句进行自动加载。此外可以修改system.ini中的boot节，实现木马加载。例如?“妖之吻”?病毒，将“Shell=Explorer.exe”?（Windows系统的图形界面命令解释器）修改成“Shell=yzw.exe”，在电脑每次启动后就自动运行程序yzw.e