特洛伊木馬完全解析

[psac]

特洛伊木馬是一種非常危險的惡性程序，它無休止的竊取用戶的訊息，從而給用戶造成了巨大的損失。


本期專題我們從特洛伊木馬的原理、技術以及防禦與清除方面給大家進行全方位的介紹，讓大家瞭解特洛伊木馬，同時提高對特洛伊木馬的防範意識……


什麼是特洛伊木馬?

　　「特洛伊木馬」（trojan horse）簡稱「木馬」，據說這個名稱來源於希臘神話《木馬屠城記》。古希臘有大軍圍攻特洛伊城，久久無法攻下。

於是有人獻計製造一隻高二丈的大木馬，假裝作戰馬神，讓士兵藏匿於巨大的木馬中，大部隊假裝撤退而將木馬擯棄於特洛伊城下。城中得知解圍的消息後，遂將「木馬」作為奇異的戰利品拖入城內，全城飲酒狂歡。


到午夜時分，全城軍民盡入夢鄉，匿於木馬中的將士開秘門游繩而下，開啟城門及四處縱火，城外伏兵湧入，部隊裡應外合，焚屠特洛伊城。後世稱這隻大木馬為「特洛伊木馬」。

如今黑客程序借用其名，有「一經潛入，後患無窮」之意。


　　完整的木馬程序一般由兩個部份組成：一個是伺服器程序，一個是控制器程序。「中了木馬」就是指安裝了木馬的伺服器程序，若你的電腦被安裝了伺服器程序，則擁有控制器程序的人就可以通過網路控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。
　　木馬程序不能算是一種病毒，但越來越多的新版的殺毒軟體，已開始可以查殺一些木馬了，所以也有不少人稱木馬程序為黑客病毒。


詳解木馬原理

介紹特洛伊木馬程序的原理、特徵以及中了木馬後系統出現的情況……


特洛伊木馬是如何啟動的

作為一個優秀的木馬，自啟動功能是必不可少的，這樣可以保證木馬不會因為你的一次關機操作而徹底失去作用。正因為該項技術如此重要，所以，很多編程人員都在不停地研究和探索新的自啟動技術，並且時常有新的發現。一個典型的例子就是把木馬加入到用戶經常執行的程式 (例如explorer.exe)中，用戶執行該程序時，則木馬自動發生作用。當然，更加普遍的方法是通過修改Windows系統檔案和註冊表達到目的，現經常用的方法主要有以下幾種:

　　1.在Win.ini中啟動

　　在Win.ini的[windows]字段中有啟動指令"load＝"和"run＝"，在一般情況下 "＝"後面是空白的，如果有後跟程序，比方說是這個樣子：

　　run=c:\windows\file.exe
　　load=c:\windows\file.exe

　　要小心了，這個file.exe很可能是木馬哦。

　　2.在System.ini中啟動

　　System.ini位於Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏載入之所，木馬通常的做法是將該何變為這樣:shell=Explorer.exefile.exe。注意這裡的file.exe就是木馬服務端程序!

　　另外，在System.中的[386Enh]字段，要注意檢查在此段內的"driver＝路徑\程式名稱"這裡也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這3個字段，這些段也是起到載入驅動程式的作用，但也是增添木馬程序的好場所，現在你該知道也要注意這裡嘍。

　　3.利用註冊表載入執行

　　如下所顯示註冊表位置都是木馬喜好的藏身載入之所，趕快檢查一下，有什麼程序在其下。

　　4.在Autoexec.bat和Config.sys中載入執行

　　請大家注意，在C碟根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都需要控制端用戶與服務端建立連接後，將己增加木馬啟動指令的同名文件上傳到服務端覆蓋這兩個文件才行，而且採用這種方式不是很隱蔽。



容易被發現，所以在Autoexec.bat和Confings中載入木馬程序的並不多見，但也不能因此而掉以輕心。

　　5.在Winstart.bat中啟動

　　Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批次處理文件，也是一個能自動被Windows載入執行的文件。


它多數情況下為應用程式及Windows自動產生，在執行了Windows自動產生，在執行了Win.com並加截了多數驅動程式之後

　　開始執行 (這一點可通過啟動時按F8鍵再選項逐步跟蹤啟動程序的啟動方式可得知)。由於Autoexec.bat的功能可以由Witart.bat替代完成，因此木馬完全可以像在Autoexec.bat中那樣被載入執行，危險由此而來。

　　6.啟動組

　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐停留的。啟動組對應的資料夾為C:\Windows\start menu\programs\startup,在註冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

　　Folders Startup="c:\windows\start menu\programs\startup"。要注意經常檢查啟動組哦!

　　7.*.INI

　　即應用程式的啟動組態文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬啟動指令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。只啟動一次的方式:在winint.ini.中(用於安裝較多)。

　　8.修改文件關聯

　　修改文件關聯是木馬們常用手段 (主要是國產木馬，老外的木馬大都沒有這個功能)，比方說正常情況下TXT文件的開啟方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件開啟方式就會被修改為用木馬程序開啟，如著名的國產木馬冰河就是這樣幹的. "冰河"就是通過修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的鍵值，將「C:\WINDOWS\NOTEPAD.EXE本套用Notepad開啟，如著名的國產HKEY一CLASSES一ROOT\txt鬧e\shell\open\commandT的鍵值，將 "C:\WINDOWS\NOTEPAD.EXE%l"改為 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，這樣，一旦你雙按一個TXT文件，原本套用Notepad開啟該檔案，現在卻變成啟動木馬程序了，好狠毒哦!請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP.COM等都是木馬的目標，要小心摟。

　　對付這類木馬，只能經常檢查HKEY_C\shell\open\command主鍵，檢視其鍵值是否正常。

　　9.元件服務文件

　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具軟體將木馬文件和某一應用程式元件服務在一起，然後上傳到服務端覆蓋源文件，這樣即使木馬被移除了，只要執行元件服務了木馬的應用程式，木馬義會安裝上去。

[psac]

綁定到某一應用程式中，如綁定到系統檔案，那麼每一次Windows啟動均會啟動木馬。

　　10.反彈連接阜型木馬的主動連接方式

　　反彈連接阜型木馬我們已經在前面說過了，由於它與一般的木馬相反，其服務端 (被控制端)主動與客戶端 (控制端)建立連接，並且監聽連接阜一般開在80，所以如果沒有合適的工具、豐富的經驗真的很難防範。



這類木馬的典型代表就是網路神偷"。


由於這類木馬仍然要在註冊表中建立鍵值註冊表的變化就不難查到它們。同時，最新的天網防火牆(如我們在第三點中所講的那樣)，因此只要留意也可在網路神偷服務端進行主動連接時發現它。





木馬的隱藏方式

　　1.在工作管理欄裡隱藏

　　這是最基本的隱藏方式。如果在windows的工作管理欄裡出現一個莫名其妙的圖示，傻子都會明白是怎麼回事。要實現在工作管理欄中隱藏在編程時是很容易實現的。


我們以VB為例。在VB中，只要把from的Visible內容設定為False,ShowInTaskBar設為False程序就不會出現在工作管理欄裡了。

　　2.在工作管理器裡隱藏

　　檢視正在執行的行程最簡單的方法就是按下Ctrl+Alt+Del時出現的工作管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在執行，那麼這肯定不是什麼好木馬。所以，木馬會千方百計地偽裝自己，使自己不出現在工作管理器裡。木馬發現把自己設為 "系統服務「就可以輕鬆地騙過去。

　　因此，希望通過按Ctrl+Alt+Del發現木馬是不大現實的。

　　3.連接阜

　　一台機器有65536個連接阜，你會注意這麼多連接阜麼?而木馬就很注意你的連接阜。

如果你稍微留意一下，不難發現，大多數木馬使用的連接阜在1024以上，而且呈越來越大的趨勢;當然也有佔用1024以下連接阜的木馬，但這些連接阜是常用連接阜，佔用這些連接阜可能會造成系統不正常，這樣的話，木馬就會很容易暴露。也許你知道一些木馬佔用的連接阜，你或許會經常掃瞄這些連接阜，但現在的木馬都提供連接阜修改功能，你有時間掃瞄65536個連接阜麼?

　　4.隱藏通訊

　　隱藏通訊也是木馬經常採用的手段之一。任何木馬執行後都要和攻擊者進行通訊連接，或者通過即時連接，如攻擊者通過客戶端直接接人被植人木馬的主機;或者通過間接通訊。

[psac]

如通過電子郵件的方式，木馬把侵入主機的敏感訊息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高連接阜上駐停留;有一些木馬會選項一些常用的連接阜，如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP連接阜後，收到正常的HTTP請求仍然把它交與Web伺服器處理，只有收到一些特殊約定的資料包後，才使用木馬程序。

　　5.隱藏隱載入方式

　　木馬載入的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你執行木馬的服務端程序。如果木馬不做任何偽裝，就告訴你這是木馬，你會執行它才怪呢。


而隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，Java Script、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化。

　　6.最新隱身技術

　　在Win9x時代，簡單地註冊為系統行程就可以從工作管理欄中消失，可是在Windows2000盛行的今天。


這種方法遭到了慘敗。註冊為系統行程不僅僅能在工作管理欄中看到，而且可以直接在Services中直接控制停止。執行(太搞笑了，木馬被客戶端控制)。使用隱藏表單或控制台的方法也不能欺騙無所不見的Admlin大人(要知道，在NT下，Administrator是可以看見所有行程的)。在研究了其他軟體的長處之後，木馬發現，Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。

　　這是一種更新、更隱蔽的方法。通過修改虛擬設備驅動程式(VXD)或修改動態遵掇庫 (DLL)來載入木馬。這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監聽連接阜，而採用替代系統功能的方法(改寫vxd或DLL文件)，木馬會將修改後的DLL取代系統已知的DLL，並對所有的函數使用進行過濾。


對於常用的使用，使用函數轉發器直接轉發給被取代的系統DLL，對於一些相應的操作。實際上。這樣的事先約定好的特種情況，DLL會執行一般只是使用DLL進行監聽，一旦發現控制端的請求就啟動自身，綁在一個行程上進行正常的木馬操作。


這樣做的好處是沒有增加新的文件，不需要開啟新的連接阜，沒有新的行程，使用一般的方法監測不到它。在往常執行時，木馬幾乎沒有任何癱狀，且木馬的控制端向被控制端發出特定的訊息後，隱藏的程序就立即開始運作。




特洛伊木馬具有的特性

　　1.包含干正常程序中，當用戶執行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性

　　由於木馬所從事的是 "地下工作"，因此它必須隱藏起來，它會想盡一切辦法不讓你發現它。很多人對木馬和遠端控制軟體有點分不清，還是讓我們舉個例子來說吧。我們進行區域網路間通訊的常用軟體PCanywhere大家一定不陌生吧?我們都知道它是一款遠端控制軟體。


PCanywhere比在伺服器端執行時，客戶端與伺服器端連接成功後，客戶端機上會出現很醒目的提示標誌;而木馬類的軟體的伺服器端在執行的時候套用各種手段隱藏自己，不可能出現任何明顯的標誌。木馬開發者早就想到了可能暴露木馬蹤跡的問題，把它們隱藏起來了。例如大家所熟悉木馬修改註冊表和而文件以便機器在下一次啟動後仍能載入木馬程式，它不是自己產生一個啟動程序，而是依附在其他程序之中。

有些木馬把伺服器端和正常程序綁定成一個程序的軟體，叫做exe-binder綁定程序，可以讓人在使用綁定的程序時，木馬也入侵了系統。甚至有個別木馬程序能把它自身的exe文件和服務端的圖片文件綁定，在你看圖片的時候，木馬便侵人了你的系統。它的隱蔽性主要體現在以下兩個方面:

　　(1)不產生圖示

　　木馬雖然在你系統啟動時會自動執行，但它不會在 "工作管理欄"中產生一個圖示，這是容易理解的，不然的話，你看到工作管理欄中出現一個來歷不明的圖示，你不起疑心才怪呢!

　　(2)木馬程序自動在工作管理器中隱藏，並以"系統服務"的方式欺騙操作系統。

　　2.具有自動執行性。

　　木馬為了控制服務端。它必須在系統啟動時即跟隨啟動，所以它必須潛人在你的啟動組態文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。

　　3.包含具有未公開並且可能產生危險後果的功能的程序。

　　4.具備自動恢復功能。

　　現在很多的木馬程序中的功能模組巴不再由單一的文件組成，而是具有多重制作備份，可以相互恢復。當你移除了其中的一個，以為萬事大吉又執行了其他程序的時候，誰知它又悄然出現。像幽靈一樣，防不勝防。

　　5.能自動開啟特別的連接阜。

　　木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統，而是為了獲取你的系統中有用的訊息，當你上網時能與遠端客戶進行通訊，這樣木馬程序就會用伺服器客戶端的通訊手段把訊息告訴黑客們，以便黑客們控制你的機器，或實施進一步的人侵企圖。你知道你的電腦有多少個連接阜?不知道吧?告訴你別嚇著:根據TCP/IP傳輸協定，每台電腦可以有256乘以256個連接阜，也即從0到65535號 "門"，但我們常用的只有少數幾個，木馬經常利用我們不大用的這些連接阜進行連接，大開方便之 "門"。

　　6、功能的特殊性。

　　通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜尋cache中的密碼、設定密碼、掃瞄目標機器人的IP位址、進行鍵盤記錄、遠端註冊表的操作以及鎖定滑鼠等功能。上面所講的遠端控制軟體當然不會有這些功能，畢竟遠端控制軟體是用來控制遠端機器，方便自己操作而已，而不是用來黑對方的機器的。

[psac]

木馬採用的偽裝方法

　　 1.修改圖示

　　木馬服務端所用的圖示也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖示，這樣很容易誘惑你把它開啟。看看，木馬是不是很狡猾?

　　2.元件服務文件

　　這種偽裝手段是將木馬元件服務到一個安裝程序上，當安裝程序執行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被元件服務的文件一般是可執行文件 (即EXE、COM一類的文件)。

　　3.出現錯誤顯示

　　有一定木馬知識的人部知道，如果開啟一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出現錯誤顯示的功能。


當服務端用戶開啟木馬程序時，會彈出一個錯誤提示項 (這當然是假的)，錯誤內容可自由定義，大多會設定成一些諸如 "文件已破壞，無法開啟!"之類的訊息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統。

　　4.自我銷毀

　　這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶開啟含有木馬的文件後，木馬會將自己拷貝到Windows的系統檔案夾中(C;\wmdows或C:\windows\system目錄下),一般來說，源木馬文件和系統檔案夾中的木馬文件的大小是一樣的 (元件服務文件的木馬除外)，那麼，中了木馬的朋友只要在近來收到的郵件和下載的軟體中找到源木馬文件，然後根據源木馬的大小去系統檔案夾找相同大小的文件，判斷一下哪個是木馬就行了。


而木馬的自我銷毀功能是指安裝完木馬後，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具說明 下。就很難移除木馬了。

　　5.木馬更名

　　木馬服務端程序的命名也有很大的學問。


如果不做任何修改，就使用原來的名字，誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪，不過大多是改為和系統檔案名差不多的名字，如果你對系統檔案不夠瞭解，那可就危險了。例如有的木馬把名字改為window.exe，如果不告訴你這是木馬的話，你敢移除嗎?還有的就是更改一些後面名，比如把dll改為dl等，不仔細看的，你會發現嗎?




木馬的種類

　　1、破壞型

　　惟一的功能就是破壞並且移除文件，可以自動的移除電腦上的DLL、INI、EXE文件。

　　2、密碼傳送型

　　可以找到隱藏密碼並把它們傳送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在電腦中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。


許多黑客軟體可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟體長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。

　　在這裡提醒一下，不要認為自己在我的文件中加了密碼而把重要的保密文件存在公用電腦中，那你就大錯特錯了。


別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWS API函數EnumWindows和EnumChildWindows對當前執行的所有程式的所有視窗（包括控件）進行遍歷，通過視窗標題搜尋密碼輸入和出驗證重新輸入視窗，通過按鈕標題搜尋我們應該按下的按鈕，通過ES_PASSWORD搜尋我們需要按鍵輸入的密碼視窗。



向密碼輸入視窗傳送WM_SETTEXT消息模擬輸入密碼，向按鈕視窗傳送WM_COMMAND消息模擬按下。在破解程序中，把密碼儲存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止。



此類程序在黑客網站上唾手可得，精通程序設計的人，完全可以自編一個。

　　3、遠端訪問型

　　最廣泛的是特洛伊馬，只需有人執行了服務端程序，如果客戶知道了服務端的IP位址，就可以實現遠端控制。以下的程序可以實現觀察"受害者"正在幹什麼，當然這個程序完全可以用在正道上的，比如監視學生機的操作。

　　程序中用的UDP（User Datagram Protocol，用戶報文傳輸協定）是英特網上廣泛採用的通信傳輸協定之一。與TCP傳輸協定不同，它是一種非連接的傳輸傳輸協定，沒有驗證機制，可靠性不如TCP，但它的效率卻比TCP高，用於遠端螢幕監視還是比較適合的。


它不區分伺服器端和客戶端，只區分傳送端和接收端，編程上較為簡單，故選用了UDP傳輸協定。本程序中用了DELPHI提供的TNMUDP控件。

　　4.鍵盤記錄木馬

　　這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊並且在LOG文件裡搜尋密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。

[psac]

也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用訊息，甚至是你的信用卡帳號哦!當然，對於這種檔案類型的木馬，郵件傳送功能也是必不可少的。

　　5.DoS攻擊木馬

　　隨著DoS攻擊越來越廣泛的套用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器，給他種上DoS攻擊木馬，那麼日後這台電腦就成為你DoS攻擊的最得力助手了。你控制的目標物數量越多，你發動DoS攻擊取得成功的機率就越大。


所以，這種木馬的危害不是體現在被感染電腦上，而是體現在攻擊者可以利用它來攻擊一台又一台電腦，給網路造成很大的傷害和帶來損失。

　　還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機產生各種各樣主題的郵件，對特定的郵信箱不停地傳送郵件，一直到對方癱瘓、不能接受郵件為止。

　　6.代理木馬

　　黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的目標物種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的工作。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。

　　7.FTP木馬

　　這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是開啟21連接阜，等待用戶連接。現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方電腦。

　　8.程序殺手木馬

　　上面的木馬功能雖然形形色色，不過到了對方電腦上要發揮自己的作用，還要過防木馬軟體這一關才行。一般的防木馬軟體有ZoneAlarm,Norton Anti-Virus等。程序殺手木馬的功能就是關閉對方電腦上執行的這類程序，讓其他的木馬更好地發揮作用。

　　9.反彈連接阜型木馬

　　木馬是木馬開發者在分析了防火牆的特性後發現:防火牆對於連入的連接往往會進行非常嚴格的過濾，但是對於連出的連接卻疏於防範。


於是，與一般的木馬相反，反彈連接阜型木馬的服務端 (被控制端)使用主動連接阜，客戶端 (控制端)使用被動連接阜。


木馬定時監測控制端的存在，發現控制端上線立即彈出連接阜主動連結控制端開啟的主動連接阜;為了隱蔽起見，控制端的被動連接阜一般開在80，即使用戶使用掃瞄軟體檢查自己的連接阜，發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在瀏覽網頁。




中木馬後出現的狀況

　　對於一些一般的木馬，如SUB7、BO2000、冰河等等，它們都是採用開啟TCP連接阜監聽和寫人註冊表啟動等方式，使用木馬剋星之類的軟體可以檢測到這些木馬，這些檢測木馬的軟體大多都是利用檢測TCP連結、註冊表等訊息來判斷是否有木馬人侵，因此我們也可以通過手動式來偵測木馬。

　　也許你會對硬碟空間莫名其妙減少500M感到習以為常，這的確算不了什麼，天知道Windows的臨時文件和那些烏七八糟的遊戲吞噬了自己多少硬碟空間。


可是，還是有一些現象會讓你感到警覺，一旦你覺得你自己的電腦感染了木馬，你應該馬上用殺毒軟體檢查一下自己的電腦，然後不管結果如何，就算是Norton告訴你，你的機器沒有木馬，你也應該再親自作一次更深人的調查，確保自己機器安全。經常關注新的和出名的木馬的特性報告，這將對你診斷自己的電腦問題很有說明 。

　　(1)當你瀏覽一個網站，彈出來一些廣告視窗是很正常的事情，可是如果你根本沒有開啟瀏覽器，而覽瀏器突然自己開啟，並且進入某個網站，那麼，你要小心。

　　(2)你正在操作電腦，突然一個警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。

　　(3)你的Windows系統組態老是自動莫名其妙地被更改。比如螢幕保護程式顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動執行組態。

　　(4)硬碟老沒緣由地讀磁碟，軟式磁碟機燈經常自己亮起，網路連接及滑鼠螢幕出現異常現象。

　　這時，最簡單的方法就是使用netstat-a指令檢視。你可以通過這個指令發現所有網路連接，如果這時有攻擊者通過木馬連接，你可以通過這些訊息發現異常。


通過連接阜掃瞄的方法也可以發現一些弱智的木馬，特別是一些早期的木馬，它們元件服務的連接阜不能更改，通過掃瞄這些固定的連接阜也可以發現木馬是否被植入。

　　當然，沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的電腦純粹是為了好玩。對於純粹處於好玩目的的攻擊者，你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深，


並且想把你的機器變成一台他可以長期使用的目標物的黑客們，你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度，而這些能力，都是在平常的電腦使用程序日積月累而成的。

　　我們還可以通過軟體來檢查系統行程來發現木馬。如利用行程管理軟體來檢視行程，如果發現可疑行程就殺死它。那麼，如何知道哪個行程是可疑的呢?教你一個笨方法，有以下行程絕對是正常的：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果開啟了IE)，而出現了其他的、你沒有執行的程序的行程就很可疑了。一句話，具體情況具體分析。

[psac]

被感染後的緊急措施

　　如果不幸你的電腦已經被木馬光臨過了，你的系統檔案被黑客改得一塌糊塗，硬碟上稀裡糊塗得多出來一大堆亂七八糟的文件，很多重要的資料也可能被黑客竊取。這裡給你提供3條建議，希望可以說明 你:

　　(1)所有的帳號和密碼都要馬上更改，例如撥號連接，ICQ,mIRC,FTP，你
的個人站點，免費郵信箱等等，凡是需要密碼的地方，你都要把密碼儘快改過來。

　　(2)刪掉所有你硬碟上原來沒有的東西。

　　(4)檢查一次硬碟上是否有病毒存在 。
木馬技術篇

這裡就不介紹木馬是如何寫成的了,畢竟大多數網友不會去編寫什麼木馬,也沒有足夠的知識和能力來編寫,包括我自己



黑客是如何騙取你執行木馬的

1、冒充為圖像文件

　　首先，黑客最常使用騙別人執行木馬的方法，就是將特洛伊木馬說成為圖像文件，比如說是照片等，應該說這是一個最不合邏輯的方法，但卻是最多人中招的方法，有效而又實用 。

　　只要入侵者扮成美眉及更改伺服器程序的檔案名(例如 sam.exe )為「類似」圖像文件的名稱 ，再假裝傳送照片給受害者，受害者就會立刻執行它。為甚麼說這是一個不合邏輯的方法呢？
圖像文件的副檔名根本就不可能是 exe，而木馬程序的副檔名基本上又必定是 exe ，明眼人一看就會知道有問題，多數人在接收時一看見是exe文件，便不會接收了，那有什麼方法呢? 其實方法很簡單，他只要把檔案名改變，例如把「sam.exe」 更改為「sam.jpg」 ，那麼在傳送時，對方只會看見sam.jpg 了，而到達對方電腦時，因為windows 預設值是不顯示副檔名的，所以很多人都不會注意到副檔名這個問題，而恰好你的電腦又是設定為隱藏副檔名的話，那麼你看到的只是sam.jpg 了，受騙也就在所難免了!

還有一個問題就是，木馬本身是沒有圖示的，而在電腦中它會顯示一個windows 預設的圖示，別人一看便會知道了！但入侵者還是有辦法的，這就是給文件換個「馬甲」，即修改文件圖示。

　　修改文件圖示的方法如下:

　　（1）比如到http://www.mydown.com 下載一個名為IconForge 的軟體，再進去行安裝。

　　（2）執行程序，按下File > Open

　　（3）在File Type 選項exe 類

　　（4）在File > Open 中載入預先製作好的圖示( 可以用繪圖軟體或專門製作icon 的軟體製作，也可以在網上找找) 。
　　（5）然後按下File > Save 便可以了。

　　如此這般最後得出的，便是看似jpg 或其他圖片格式的木馬了，很多人就會不經意間執行了它。

2、合併程序欺騙

　　通常有經驗的用戶，是不會將圖像文件和可執行文件混淆的，所以很多入侵者一不做二不休，乾脆將木馬程序說成是應用程式：反正都是以 exe 作為副檔名的。


然後再變著花樣欺騙受害者，例如說成是新出爐的遊戲，無所不能的黑客程序等等，目地是讓受害者立刻執行它。


而木馬程序執行後一般是沒有任何反應的，於是在悄無聲息中，很多受害者便以為是傳送時文件損壞了而不再理會它。

　　如果有更小心的用戶，上面的方法有可能會使他們的產生壞疑，所以就衍生了一些合拼程序。合拼程序是可以將兩個或以上的可執行文件(exe文件) 結合為一個文件，以後祇需執行這個合拼文件，兩個可執行文件就會同時執行。



如果入侵者將一個正常的可執行文件(一些小遊戲如 wrap.exe) 和一個木馬程序合拼，由於執行合拼文件時 wrap.exe會正常執行，受害者在不知情中，背地裡木馬程序也同時執行了。


而這其中最常用到的軟體就是joiner，由於它具有更大的欺騙性，使得安裝特洛伊木馬的一舉一動了無痕跡，是一件相當危險的黑客工具。讓我們來看一下它是如何運作的:

以往有不少可以把兩個程序合拼的軟體為黑客所使用，但其中大多都已被各大防毒軟體列作病毒了，而且它們有兩個突出的問題存在，這問題就是：

　　（1）合拼後的文件體積過大
　　（2）只能合拼兩個執行文件

　　正因為如此，黑客們紛紛棄之轉而使用一個更簡單而功能更強的軟體，那就是Joiner 了。

此軟體不但把軟體合拼後的體積減少，而且可以待使用者執行後立刻就能收到一個icq 的訊息，告訴你對方已中招及對方的IP ，更重要的是這個軟體可以把圖像文件、音瀕文件與可執行文件合拼，用起來相當方便。

　　首先把Joiner 解壓，然後執行Joiner ，在程序的畫面裡，有「First executable : 」及「 Second File : 」兩項，這兩行的右方都有一個資料夾圖示，分別各自選項想合拼的文件。

　　下面還有一個Enable ICQ notification 的空格，如果選取後，當對方執行了文件時，便會收到對方的一個ICQ Web Messgaer ，裡面會有對方的ip ，當然要在下面的ICQ number 填上欲收取訊息的icq 號碼。但開啟這個功能後，合拼後的文件會比較大。

　　最後便按下「Join」 ，在Joiner 的資料夾裡，便會出現一個Result.exe 的文件，文件可更改名稱，因而這種「混合體」的隱蔽性是不言而喻的。

3、以Z-file 偽裝加密程序

　　Z-file 偽裝加密檔案是台灣華順科技的產品，其經過將文件壓縮加密之後，再以 bmp圖像文件格式顯示出來(副檔名是 bmp，執行後是一幅普通的圖像)。

當初設計這個軟體的本意只是用來加密資料，用以就算電腦被入侵或被非法使使用時，也不容易洩漏你的機密資料所在。不過如果到了黑客手中，卻可以變成一個入侵他人的幫兇。


使用者會將木馬程序和小遊戲合拼，再用 Z-file 加密及將 此「混合體」發給受害者，由於看上去是圖像文件，受害者往往都不以為然，開啟後又只是一般的圖片，最可怕的地方還在於就連殺毒軟體也檢測不出它內藏特洛伊木馬，甚至病毒！當打消了受害者警惕性後，再讓他用WinZip 解壓縮及執行 「偽裝體 (比方說還有一份小禮物要送給他)，這樣就可以成功地安裝了木馬程序。


如果入侵者有機會能使用受害者的電腦(比如上門維修電腦)，只要事先已經發出了「混合體，則可以直接用 Winzip 對其進行解壓及安裝。



由於上門維修是赤著手使用其電腦，受害者根本不會懷疑有什麼植入他的電腦中，而且時間並不長，30秒時間已經足夠。就算是「明晃晃」地在受害者面前操作，他也不見得會看出這一雙黑手正在幹什麼。特別值得一提的是，由於 「混合體」 可以躲過反病毒程序的檢測，如果其中內含的是一觸即發的病毒，那麼一經結開壓縮，後果將是不堪設想。

4、偽裝成應用程式增強元件

　　此類屬於最難識別的特洛伊木馬。黑客們通常將木馬程序寫成為任何檔案類型的文件 (例如 dll、ocx等) 然後掛在一個十分出名的軟體中，例如 OICQ 。由於OICQ本身已有一定的知名度，沒有人會懷疑它的安全性，更不會有人檢查它的文件多是否多了。而當受害者開啟OICQ時，這個有問題的文件即會同時執行。



此種方式相比起用合拼程序有一個更大的好處，那就是不用更改被入侵者的登入文件，以後每當其開啟OICQ時木馬程序就會同步執行 ，相較一般特洛伊木馬可說是「踏雪無痕」。更要命的是，此類入侵者大多也是特洛伊木馬編寫者，只要稍加改動，就會派生出一支新木馬來，所以即使殺是毒軟體也拿它沒有絲毫辦法。

[psac]

IP安全原則 VS 特洛伊木馬

當木馬悄悄開啟某扇「方便之門」（連接阜）時，不速之客就會神不知鬼不覺地侵入你的電腦。如果被種下木馬其實也不必擔心，首先我們要切斷它們與外界的聯係（就是 堵住可疑連接阜）。

　　在Win 2000/XP/2003系統中，Microsoft管理控制台（MMC）已將系統的組態功能彙集成組態模組，大大方便我們進行特殊的設定（以Telnet利用的23連接阜為例，筆者的操作系統為Win XP）。

　　操作步驟

　　首先按下「執行」在項中輸入「mmc」後Enter鍵，會彈出「控制台1」的視窗。我們依次選項「文件→增加/移除管理單元→在獨立標籤欄中點擊『增加』→IP安全原則管理」，最後按提示完成操作。這時，我們已把「IP安全原則，在本機電腦」（以下簡稱「IP安全原則」）增加到「控制台根節點」下。

　　現在雙按「IP安全原則」就可以新增一個管理規則了。右擊「IP安全原則」，在彈出的快捷表單中選項「新增IP安全原則」，開啟IP安全原則嚮導，點擊「下一步→名稱預設為『新IP安全原則』→下一步→不必選項『啟動預設回應規則』」（注意：在點擊「下一步的同時，需要驗證此時「編輯內容」被選），然後選項「完成→在「新IP安全原則內容→增加→不必選項『使用增加嚮導』」。

　　在尋址欄的源位址應選項「任何IP位址」，目標位址選項「我的IP位址」（不必選項映射）。在傳輸協定標籤欄中，注意檔案類型應為TCP，並設定IP傳輸協定連接阜從任意連接阜到此連接阜23，最後點擊「確定」即可。




這時在「IP篩選器列表」中會出現一個「新IP篩選器」，選它，切換到「篩選器操作」標籤欄，依次點擊「增加→名稱預設為『新篩選器操作』→增加→阻止→完成」。

　　新原則需要被啟動才能起作用，具體方法是：在「新IP安全原則」上點右鍵，「指派」剛才制定的原則。

　　效果

　　現在，當我們從另一台電腦Telnet到設防的這一台時，系統會報告登入失敗；用掃瞄工具掃瞄這台電腦，會發現23連接阜仍然在提供服務。以同樣的方法，大家可以把其它任何可疑的連接阜都封殺掉，讓不速之客們大叫「不妙」去吧!

防禦與清除

介紹防禦和清除特洛伊木馬程序的技巧以及一些針對木馬程序的軟體……



被感染後的緊急措施

　　如果不幸你的電腦已經被木馬光臨過了，你的系統檔案被黑客改得一塌糊塗，硬碟上稀裡糊塗得多出來一大堆亂七八糟的文件，很多重要的資料也可能被黑客竊取。這裡給你提供3條建議，希望可以說明 你:

　　(1)所有的帳號和密碼都要馬上更改，例如撥號連接，ICQ,mIRC,FTP，你的個人站點，免費郵信箱等等，凡是需要密碼的地方，你都要把密碼儘快改過來。

　　(2)刪掉所有你硬碟上原來沒有的東西。

　　(4)檢查一次硬碟上是否有病毒存在 。





用木馬剋星保護系統安全

　　木馬剋星（IParmor）是國人開發的一款防殺木馬的軟體，並專門針對國產木馬而最佳化。該軟體是動態監視網路與靜態特徵字掃瞄的結合，對查殺最近非常流行的網路神偷、網咖殺手、鍵盤幽靈以及元件服務在圖片文件中的木馬非常有效。

　　木馬剋星最新版中內裝了木馬防火牆，任何黑客試圖與本地機可疑連接阜建立連接，都需要IPArmor驗證。這裡所用到的郵件監視技術，讓包含密碼的郵件必須經過IPArmor驗證才能傳送，最大程度保證了用戶密碼的安全。

　　木馬剋星的安裝與使用相當簡單，你只要將軟體下載下來，並執行傳統的安裝程序就可以了。


該軟體在啟動後首先會掃瞄記憶體，並直觀地顯示當前記憶體中有沒有木馬（如圖）。假如你想清除硬碟上的木馬，則可以選項「掃瞄硬碟」功能；同時你還可以選項是否在Windows啟動的時候自動啟動，是否使用木馬防火牆（該防火牆主要針對蠕蟲和連接阜進行監視）等。



　　當你收到帶有蠕蟲的E-mail時，它會立刻報警；當有黑客試圖與你建立連接，它也會報警。由於網際網路上的病毒和木馬出現很快，建議大家每隔5天就更新一次病毒庫。

　　高水準的用戶可具有更大的操作權限，比如「系統行程」，在此頁面可以看到系統中都有哪些行程在執行，用滑鼠左鍵點取後，再用鍵碟上的「Delete」鍵即可移除行程；而「網路狀態」裡，則可以看到目前的網路情況，如果存在TCP傳輸協定下的Linsten狀態，大家就要警惕了；在「檢視共享」裡我們可以看到硬碟是否在網路中公開；而在「啟動項目」裡則可以看到有哪些程序隨Windows一起執行。





教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬

　　現在上網的朋友越來越多了，其中有一點不可避免的就是如何防範和查殺病毒和惡意攻擊程序了。但是，如果不小心中了病毒而身邊又沒有殺毒軟體怎麼辦?沒有關係，今天我就來教大家怎樣輕鬆地手動式清除藏在電腦裡的病毒和木馬。

　　檢查註冊表

　　註冊表一直都是很多木馬和病毒「青睞」的寄生場所，注意在檢查註冊表之前要先給註冊表制作備份。

　　1、 檢查註冊表中HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Run和HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Runserveice，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名一般為EXE，然後記住木馬程序的檔案名，再在整個註冊表中搜尋，凡是看到了一樣的檔案名的鍵值就要移除，接著到電腦中找到木馬文件的藏身地將其徹底移除?
比如「愛蟲」病毒會修改上面所提的第一項，BO2000木馬會修改上面所提的第二項)。

　　2、 檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER@SOFTWARE@Microsoft@Internet Explorer@Main中的幾項(如Local Page)，如果發現鍵值被修改了，只要根據你的判斷改回去就行了。惡意程式碼(如「萬花谷」)就經常修改這幾項。

　　3、檢查HKEY_CLASSES_ROOT@inifile @shell@open@command和HKEY_CLASSES_ROOT @txtfile@shell@open@command等等幾個常用檔案類型的預設開啟程序是否被更改。這個一定要改回來，很多病毒就是通過修改.txt、.ini等的預設開啟程序而清除不了的。


例如「羅密歐與朱麗葉」?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的預設開啟程序。

[psac]

檢查你的系統組態文件

　　其實檢查系統組態文件最好的方法是開啟Windows「系統組態實用程序」(從開始選單執行msconfig.exe)，在裡面你可以組態Config.sys、Autoexec.bat、system.ini和win.ini，並且可以選項啟動系統的時間。

　　1、檢查win.ini文件(在C?@windows@下)，開啟後，在?WINDOWS?下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。

在一般情況下，在它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案，你的電腦就可能中上「木馬」了。比如攻擊QQ的「GOP木馬」就會在這裡留下痕跡。

　　2、檢查system.ini文件(在C:@windows@下)，在BOOT下面有個「shell=檔案名」。


正確的檔案名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名稱」，那麼後面跟著的那個程序就是「木馬」程序，然後你就要在硬碟找到這個程序並將其移除了。這類的病毒很多，比如「尼姆達」病毒就會把該項修改為「shell=explorer.exe load.exe -dontrunold」。





檢視文件內容幫你清除木馬

　　近日，筆者用BT下載了一個格鬥遊戲，執行安裝程序後沒有任何反應。


起初，筆者以為是安裝程序已經損壞就順手給刪掉了，沒有特別留意。但第二天開機時，金山毒霸突然無法載入。由於以前也有過類似的經歷，所以筆者感覺昨天下載的那個格鬥遊戲多半元件服務了木馬。

　　為了安全起見，筆者立刻斷掉了網路連 接，然後開啟「Windows工作管理器」，經過排除找到了名為「sprite.exe」的可疑行程。


結束該行程後金山毒霸就可以正常執行了，但仍然無法查出木馬的所在。利用Windows原有的的搜尋功能搜尋「sprite.exe」，選項包括隱藏文件，也只搜到文件「sprite.exe」。



正要移除時，筆者突發奇想：
木馬通常進駐記憶體時都會自動產生一些輔助文件，何不利用Windows原有的的檢視文件內容功能達到一勞永逸的目的?
說幹就幹，找到文件「sprite.exe」用右鍵點擊，在彈出的對話視窗中選項 「內容」，電腦顯示該檔案新增於2003年10月9日18:08:19。點擊「開始→進階搜尋」，將文件新增日期設定為10月9日，搜尋……在搜尋結果中找到兩個新增時間為2003年10月9日18:08:19的文件:「Hiddukel.exe」和「Hiddukel.dll」(大小分別為71KB和15KB)，一併移除，大功告成。

　　後來筆者從網上瞭解到這種木馬叫做「妖精」。最新版本的殺毒軟體和防火牆均不能清除這種木馬。以下是手動式清除此木馬的方法:

　　1.開啟註冊表編輯器，找到「HKEY_ CLASSES_ROOT\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值和「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值後，將它們移除；
　　2.開啟C:\Windows\System目錄，找到Hiddukel.exe（71KB）和Hiddukel.dll（15KB）兩個文件後，將它們移除；
　　3.搜尋你的電腦裡是否有Sprite.exe（132KB）或者crawler.exe（131KB），如果有的話也要徹底將它們移除。

　　現在的木馬多數都會在進駐記憶體時自動產生一些動態連接文件。

筆者介紹的這種利用檢視文件新增時間進行文件搜尋的方法，有些時候是很好用的，感興趣的朋友不妨試試（對於經常安裝遊戲和軟體的玩家可能不適用）。

[psac]

檢視開放連接阜判斷木馬的方法

　　當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的，既然利用到這兩個傳輸協定，就不可避免要在server端（就是被種了木馬的機器了）開啟監聽連接阜來等待連接。


例如鼎鼎大名的冰河使用的監聽連接阜是7626，Back Orifice 2000則是使用54320等等。那麼，我們可以利用檢視本機機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹。

　　1． Windows本身原有的的netstat指令

　　關於netstat指令，我們先來看看windows求助文件中的介紹：

Netstat

　　顯示傳輸協定統計和現用的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。

　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　參數

　　-a

　　顯示所有連接和偵聽連接阜。服務器連接通常不顯示。

　　-e

　　顯示乙太網統計。該參數可以與 -s 選項結合使用。

　　-n

　　以數位格式顯示位址和連接阜號（而不是嘗試搜尋名稱）。

-s

　　顯示每個傳輸協定的統計。預設情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。

　　-p protocol

　　顯示由 protocol 指定的傳輸協定的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計，protocol 可以是 tcp、udp、icmp 或 ip。

　　-r

　　顯示路由表的內容。

　　interval

　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次現用的組態資訊。

　　好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。

現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：

　　C:\>netstat -an

　　Active Connections

　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0

　　解釋一下，Active Connections是指當前本機機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本地機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。


看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。

　　2．工作在windows2000下的指令行工具fport

　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本機機開放連接阜與行程的對應關係。

　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應套用程式的完整路徑、PID標幟、行程名稱等訊息的軟體。在指令行下使用，請看例子：

　　D:\>fport.exe
　　FPort v1.33 - TCP/IP Process to Port Mapper
　　Copyright 2000 by Foundstone, Inc.
　　http://www.foundstone.com

　　Pid Process Port Proto Path
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

　　是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！

　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

　　3.與Fport功能類似的圖形化界面工具Active Ports

　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本地機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖：

　　是不是很直觀？
更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

　　其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與行程的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與行程的對應來。

　　上面介紹了幾種檢視本機機開放連接阜，以及連接阜和行程對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明 。


但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接程式庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。


所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。


從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵。

[psac]

教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬



　　現在上網的朋友越來越多了，其中有一點不可避免的就是如何防範和查殺病毒和惡意攻擊程序了。但是，如果不小心中了病毒而身邊又沒有殺毒軟體怎麼辦?沒有關係，今天我就來教大家怎樣輕鬆地手動式清除藏在電腦裡的病毒和木馬。
　　檢查註冊表
　註冊表一直都是很多木馬和病毒「青睞」的寄生場所，注意在檢查註冊表之前要先給註冊表制作備份。

　　1、 檢查註冊表中HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Run和HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Runserveice，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名一般為EXE，然後記住木馬程序的檔案名，再在整個註冊表中搜尋，凡是看到了一樣的檔案名的鍵值就要移除，接著到電腦中找到木馬文件的藏身地將其徹底移除?比如「愛蟲」病毒會修改上面所提的第一項，BO2000木馬會修改上面所提的第二項)。

　　2、 檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER@SOFTWARE@Microsoft@Internet Explorer@Main中的幾項(如Local Page)，如果發現鍵值被修改了，只要根據你的判斷改回去就行了。惡意程式碼(如「萬花谷」)就經常修改這幾項。

　　3、檢查HKEY_CLASSES_ROOT@inifile @shell@open@command和HKEY_CLASSES_ROOT @txtfile@shell@open@command等等幾個常用檔案類型的預設開啟程序是否被更改。這個一定要改回來，很多病毒就是通過修改.txt、.ini等的預設開啟程序而清除不了的。例如「羅密歐與朱麗葉」?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的預設開啟程序。

　　檢查你的系統組態文件

　　其實檢查系統組態文件最好的方法是開啟Windows「系統組態實用程序」(從開始選單執行msconfig.exe)，在裡面你可以組態Config.sys、Autoexec.bat、system.ini和win.ini，並且可以選項啟動系統的時間。

　　1、檢查win.ini文件(在C?@windows@下)，開啟後，在?WINDOWS?下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。在一般情況下，在它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案，你的電腦就可能中上「木馬」了。比如攻擊QQ的「GOP木馬」就會在這裡留下痕跡。

　　2、檢查system.ini文件(在C:@windows@下)，在BOOT下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名稱」，那麼後面跟著的那個程序就是「木馬」程序，然後你就要在硬碟找到這個程序並將其移除了。這類的病毒很多，比如「尼姆達」病毒就會把該項修改為「shell=explorer.exe load.exe -dontrunold」。
檢視文件內容幫你清除木馬

　　近日，筆者用BT下載了一個格鬥遊戲，執行安裝程序後沒有任何反應。起初，筆者以為是安裝程序已經損壞就順手給刪掉了，沒有特別留意。但第二天開機時，金山毒霸突然無法載入。由於以前也有過類似的經歷，所以筆者感覺昨天下載的那個格鬥遊戲多半元件服務了木馬。

　　為了安全起見，筆者立刻斷掉了網路連 接，然後開啟「Windows工作管理器」，經過排除找到了名為「sprite.exe」的可疑工作。結束該工作後金山毒霸就可以正常執行了，但仍然無法查出木馬的所在。利用Windows原有的的搜尋功能搜尋「sprite.exe」，選項包括隱藏文件，也只搜到文件「sprite.exe」。正要移除時，筆者突發奇想：木馬通常進駐記憶體時都會自動產生一些輔助文件，何不利用Windows原有的的檢視文件內容功能達到一勞永逸的目的?說幹就幹，找到文件「sprite.exe」用右鍵點擊，在彈出的對話視窗中選項 「內容」，電腦顯示該檔案新增於2003年10月9日18:08:19。點擊「開始→進階搜尋」，將文件新增日期設定為10月9日，搜尋……在搜尋結果中找到兩個新增時間為2003年10月9日18:08:19的文件:「Hiddukel.exe」和「Hiddukel.dll」(大小分別為71KB和15KB)，一併移除，大功告成。

　　後來筆者從網上瞭解到這種木馬叫做「妖精」。最新版本的殺毒軟體和防火牆均不能清除這種木馬。以下是手動式清除此木馬的方法:

　　1.開啟註冊表編輯器，找到「HKEY_ CLASSES_ROOT\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值和「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值後，將它們移除；
　　2.開啟C:\Windows\System目錄，找到Hiddukel.exe（71KB）和Hiddukel.dll（15KB）兩個文件後，將它們移除；
　　3.搜尋你的電腦裡是否有Sprite.exe（132KB）或者crawler.exe（131KB），如果有的話也要徹底將它們移除。

　　現在的木馬多數都會在進駐記憶體時自動產生一些動態連接文件。筆者介紹的這種利用檢視文件新增時間進行文件搜尋的方法，有些時候是很好用的，感興趣的朋友不妨試試（對於經常安裝遊戲和軟體的玩家可能不適用）。
檢視開放連接阜判斷木馬的方法

　　當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的，既然利用到這兩個傳輸協定，就不可避免要在server端（就是被種了木馬的機器了）開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626，Back Orifice 2000則是使用54320等等。那麼，我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹。

　　1． Windows本身原有的的netstat指令

　　關於netstat指令，我們先來看看windows求助文件中的介紹：

Netstat

　　顯示傳輸協定統計和現用的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。

　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　參數

　　-a

　　顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。

　　-e

　　顯示乙太網統計。該參數可以與 -s 選項結合使用。

　　-n

　　以數位格式顯示位址和連接阜號（而不是嘗試搜尋名稱）。

-s

　　顯示每個傳輸協定的統計。預設情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。

　　-p protocol

　　顯示由 protocol 指定的傳輸協定的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計，protocol 可以是 tcp、udp、icmp 或 ip。

　　-r

　　顯示路由表的內容。

[psac]

　　interval

　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次現用的配置資訊。

　　好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：

　　C:\>netstat -an

　　Active Connections

　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0

　　解釋一下，Active Connections是指當前本地機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。

　　2．工作在windows2000下的指令行工具fport

　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本地機開放連接阜與工作的對應關係。

　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應應用程式的完整路徑、PID標幟、工作名稱等訊息的軟體。在指令行下使用，請看例子：

　　D:\>fport.exe
　　FPort v1.33 - TCP/IP Process to Port Mapper
　　Copyright 2000 by Foundstone, Inc.
　　http://www.foundstone.com

　　Pid Process Port Proto Path
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

　　是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！

　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

　　3.與Fport功能類似的圖形化界面工具Active Ports

　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖：

　　是不是很直觀？更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

　　其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與工作的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與工作的對應來。

　　上面介紹了幾種檢視本地機開放連接阜，以及連接阜和工作對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明 。但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵。