随着网络时代进程的加快,黑客技术对网络安全形成了极大的威胁。黑客的主要攻击手段之一,就是使用木马,渗透到对方的主机系统里,实现对远程操作目标主机。从BO到国产“冰河”,从“广外女生”到“网络神偷”,无不是我们广大用户预防的对象。那么如何检测木马的存在呢?下面介绍三种检测木马的办法,来揭开它神秘的面纱。
1.“端口”检测法
要设置端口,必须明白什么是端口。服务器可以向外提供多种服务。比如,一台服务器可以是Web服务器,也可以是FTP服务器,同时,它还可以是邮件服务器。为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务。比如:Web采用80端口,FTP采用21端口等。这样,通过不同端口,计算机与外界进行互不干扰的通信。同样每个木马都有自己的端口,比如冰河的端口号是7626。
由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
2.进程检测法
木马即使再狡猾,它也是一个活动着的应用程序,一经运行,它就时刻驻留在电脑系统的内存中,通过查看系统进程可发现可疑进程,并以此来推断木马的存在。在Windows2000/XP中按下“Ctl+Alt+Del”键,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。而在Windows 98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用,如Prcview和Winproc,具体的使用很容易,这里不作详细介绍。
通过查看系统进程这种方法来检测木马非常简便易行,但是操作员对系统必须熟悉。因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要擦亮眼睛,不过大多数木马总是可以通过这种方法被检测出来的。
3.启动加载检测法
木马的隐蔽性非常强,在电脑开机的时候一般都会自动加载,大部分在启动之后还会更改文件名,因此从系统自动加载文件的方式入手来分析木马的存在并清除就很有意义。木马加载的条件,大致出现在下面八个地方。
(1)注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer-sion\下的Run和RunServices主键,在其中寻找可能是启动木马的键值。
(2)Win.ini:C:\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
(3)system.ini:C:\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh]、[mic]、[drivers32]中有命令行,在其中寻找木马的启动命令。
(4)Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务器端建立连接后,将已添加木马启动命令的同名文件上传到服务器端覆盖这两个文件才行。
(5)*.ini:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务器端覆盖这同名文件,这样就可以达到启动木马的目的了。
(6)注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,“冰河”就是修改了HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS LNOTEPAD.EXEl”改为“C:\WINDOWS\SYSTEM\SYSEXP-LR.EXEl”,这时双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不只是TXT文件,通过修改HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,
(7)捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。 (8)启动菜单:在“开始/程序/启动”选项下也可能有木马的加载条件。
