【正文】 清華大學(xué)出版社。Donald 著 朱崇高 譯。267~317頁?！逗诳凸Ψ缹Σ摺?。2003年3月。慶出版社。參考文獻：劉強。防范木馬襲擊也只是提高計算機安全性的一個方面。雖然ICMP協(xié)議的數(shù)據(jù)報文能完成的事情相對較少，但是對于一般的命令控制，它已經(jīng)足夠了……Internet上每天都有新的木馬冒出來，所采取的隱蔽措施也是五花八門。 最后要說的是，雖然木馬的危害如此之大，我們平常使用計算機的時候注意防范，多多注意，還是可以保護自己，不受木馬攻擊的。 　　建議在安裝完Windows后，點擊“開始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”，在打開的“系統(tǒng)信息”窗口中再點擊“軟件環(huán)境→正在運行任務(wù)”(在此進程列表中，可看到更詳細(xì)的屬性，其中程序路徑是非常重要的信息)，接著點擊“操作→另存成文本文件”，以后系統(tǒng)出現(xiàn)異常時則對照進行分析。 3.“配角”進程 　　這些系統(tǒng)進程雖然不是系統(tǒng)運行必須的，但也經(jīng)常在進程列表中拋頭露面。不過，正因為如此，它也成為了病毒利用的對象，以前的“藍色代碼”病毒就是一例。 　　Windows 2000/XP：、(可以同時存在多個)、System Idle Process； 2. 　　它位于系統(tǒng)目錄的System32文件夾，是從動態(tài)鏈接庫(DLL)運行服務(wù)的一般性宿主進程。在Windows 2000/XP中，Ctrl＋Shift＋Esc組合鍵能快速調(diào)出任務(wù)管理器，而Windows 9X為Ctrl＋Alt＋Del組合鍵。當(dāng)發(fā)現(xiàn)上述可疑跡象后，你所能做的就是立即斷線，然后對硬盤有無特洛伊木馬進行認(rèn)真的檢查。盡管造成上網(wǎng)速度突然變慢的原因有很多，但有理由懷疑由特洛伊木馬造成的也是有根據(jù)的:當(dāng)入侵者使用特洛伊的客戶端程序訪問你的機器時，會與你的正常訪問搶占帶寬。那么你也要對你的計算機分外小心。 (11)注意上網(wǎng)時腦所用端口，對1024端口以上的不連續(xù)端口要密切注意 (可以通過鍵入netstara命令來查看輸出列表中的 LocalAddress項，看看有什么端口是開啟的。 (9)、config等文件。助于你發(fā)現(xiàn)木馬，還可以幫助你學(xué) (6)從不知名的小站下載軟件使用是非常危險的，切忌! (7)一些共享軟件和免費軟件也有含有惡意代碼的可能，請留意各大網(wǎng)站的通報。很多軟件都有自動檢查版本更新的選項，只要打上一個勾，每次執(zhí)行該程序，都會自動檢查有無更新版本發(fā)布，非常方便。 (2)雙擊文件之前，搞清楚文件的類型、? (3)堅持每天升級你的反病毒軟件和反木馬軟件程序。第三章、木馬的防御篇上面說了一些殺木馬的方法，但這畢竟是很無奈的事，學(xué)會怎樣防范木馬的入侵，這才是關(guān)鍵防范木馬的幾點建議：(1)絕對不要輕易相信從任何地方得來的任何文件，就算是以你最好的朋友的名義給你的文件也不例外。但是也因為這樣的特性導(dǎo)致木馬被查殺后，系統(tǒng)的某些命令無法傳遞到本該執(zhí)行操作的程序中，反而讓系統(tǒng)出錯了。木馬先把系統(tǒng)原來的文件改名成只有它們自己知道的一個偏僻文件名，再把自己改名成那個被替換的文件，這樣就完成了隱藏極深的感染工作，從此只要系統(tǒng)需要調(diào)用那個被替換的程序進行工作，木馬就能繼續(xù)駐留內(nèi)存了。　　偷梁換柱——追回被盜的系統(tǒng)文件　　除了添加自己到啟動項、路徑欺騙和更改文件并聯(lián)以外，一般的木馬還有一種計倆可以使用，那就是替換系統(tǒng)文件?！　「@種木馬的最簡單方法只需要查看EXE文件的打開方式被指向了什么程序，立即停止這個程序的進程，如果它還產(chǎn)生了其他木馬文件的話，也一起停止，然后在保持注冊表編輯器開啟著的情況下（否則你的所有程序都會打不開了）刪除掉所有木馬文件，把exefile的“打開方式”項（HKEY_CLASSES_ROOT\exefile\shell\open\mand）改回原來的“”%1“ %*”即可。因為木馬程序被作為所有EXE文件的調(diào)用程序，使得它可以長期駐留內(nèi)存，每次都能恢復(fù)自身文件，所以在一般用戶看來，這個木馬就做到了“永生不死”。而應(yīng)用程序自身也被視為一個文件，它也屬于一種文件類型，同樣可以用其他方式開啟，只不過Windows設(shè)置它的調(diào)用程序為“%1 %*”，讓系統(tǒng)內(nèi)核理解為“可執(zhí)行請求”，它就會為使用這種打開方式的文件創(chuàng)建進程，最終文件就被加載執(zhí)行了，如果有另外的程序更改了這個鍵值，Windows就會調(diào)用那個指定的文件來開啟它。這時候，如果用戶對計算機技術(shù)的了解僅限于使用殺毒軟件，那可只能哭哭啼啼的重裝系統(tǒng)了！　　為什么會這樣？難道這種木馬還惡意修改了系統(tǒng)核心？其實答案很簡單，因為這種木馬修改了應(yīng)用程序（EXE文件）的并聯(lián)方式。收到后，運行，沒有任何反應(yīng)（廢話?。。┤缓?，我查看進程，先把exelinks進程殺掉，然后運行regedit找不到這個文件?。?！難道是exe文件被關(guān)聯(lián)無法打開了？查找，居然是這個文件丟了（朋友那里沒丟，看來不具備共性），呵呵發(fā)現(xiàn)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面多了一個網(wǎng)絡(luò)服務(wù) 啟動程序名字為 ，這個當(dāng)然是他了，刪除，呵呵這個時候，我重起系統(tǒng)，運行regedt32，發(fā)現(xiàn)run里又有了他，殺進程，刪除文件既然又有，說明還有啟動的來源，來源是什么？對了，我不是運行了regedt32嗎？這個可是exe文件啊。然后，切換到純DOS下執(zhí)行：C:\CD \WINDOWS\SYSTEM （進入木馬所在目錄）C:\ATTRIB H R S *.* （因為木馬一般是隱藏、只讀屬性，利用該命令去掉其屬性。而很多“低級木馬”，更是一眼就能識別！它們在這個信息框里只顯示“程序”和“路徑”，其他信息全是空白，相信聰明的你一眼就能看出問題：）另外，對那些摸棱兩可，難以判斷的程序，可以用“對比”比較法：即同時用幾臺電腦的信息進行比較，一般可以判斷出哪個是系統(tǒng)程序，哪個是應(yīng)用程序，直到發(fā)現(xiàn)木馬！如果您周圍只有一臺電腦，您可以象本文一樣把這個信息框“抓”下來，然后貼在這里，讓大家?guī)湍惴治觯瑫r間久了，自己也就會分析了~~！好了，罪魁禍?zhǔn)渍业搅?！下面就看看如何處置它了！首先，打開注冊表編輯器REGEDIT，然后利用其查找功能，查找有木馬名字（ ）的鍵值，刪掉（可一定要找對了，別把系統(tǒng)本身的文件給喀嚓掉了呀~~?。?！然后按F3，繼續(xù)，直到查找并刪除完畢。而且在本例中，受感染的電腦啟動起來后，無法正常注銷、關(guān)閉系統(tǒng)。這里面顯示的正是您電腦上當(dāng)時正運行的所有程序（當(dāng)然也包括那可惡的木馬后臺了~~！）。首先打開“開始”欄上的“運行”命令，輸入“MSINFO32”回車或者依次點：開始程序附件系統(tǒng)工具系統(tǒng)信息，啟動系統(tǒng)自帶的分析程序，好了，出來了，看見左面框里的“軟件環(huán)境”了吧？對，點它左面的加號“+”，然后點擊“正在運行的任務(wù)”，聰明的您一定發(fā)現(xiàn)右面窗口發(fā)生了變化，出現(xiàn)了一系列信息？我們要判斷自己中木馬否正是利用這個窗口！仔細(xì)觀察，發(fā)現(xiàn)該窗口有許多條目：“程序”“版本”“廠商”“說明”“路徑”等等。這個一定要改回來。檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(如Local Page)，如果被修改了，改回來就可以。刪除上述可疑鍵在硬盤中的執(zhí)行文件。運行任務(wù)管理器，殺掉木馬進程?！　↑c擊“開始”“運行”“cmd”，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net user 用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。打開這個文件看看，在該文件的[boot]字段中，是不是有shell= ，如有這樣的內(nèi)容，!　　檢查系統(tǒng)帳戶　　惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。“run”開頭的鍵值。檢查注冊表啟動項的方法如下:點擊“開始”“運行”“regedit”，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。我們可以通過點擊“開始”“運行”“cmd”，然后輸入“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。下面有顯示其路徑、名稱和版本，便于我們追查和刪除。這里我們推薦用防火墻觀察是哪些應(yīng)用程序產(chǎn)生了端口并與外界有了聯(lián)系，用天網(wǎng)防火墻為例：我們可以隨時完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。下面我們來看看怎樣手工來查殺木馬，這需要相對的一些專業(yè)知識。但同時他們還有很多不完善的地方，如：其中有些工具，如果想使用全部功能，需要付一定的費用，使得盜版、破解軟件興旺。所有的東西都有它存在的價值。當(dāng)然殺毒軟件也有殺毒軟件的優(yōu)勢。還有些殺木馬的工具他們可以先于系統(tǒng)啟動，以達到殺出內(nèi)核級木馬的目的。比如他們會帶有監(jiān)視注冊表的功能，一旦發(fā)現(xiàn)有注冊表改動就會以明文方式通知用戶進行確認(rèn)。木馬查殺工具和殺毒軟件雖然都可以殺除木馬，但畢竟他們還是有一定區(qū)別的。殺毒軟件大家都很熟悉，有：金山毒霸，瑞星，卡巴斯基，麥咖啡，江民等一些優(yōu)秀的殺毒軟件。那么擺在我們面前的有兩條路：一是請殺毒軟件或一些木馬專殺工具來幫忙；二是靠自己手工來清除。萬一操作失誤引起的損失可能難以預(yù)料。如果沒有上過有關(guān)網(wǎng)站就可以不用改了。二、中木馬后的應(yīng)急措施在你確信中木馬之后，首先也是最重要的先把你的網(wǎng)線拔掉，以免造成更大的損失！注意：是物理斷開，而不是軟件上系統(tǒng)上的斷開！木馬不能和外界聯(lián)系也就失去了存在的意義。還有一種情況也是可以確信的，那就是在上網(wǎng)的時候，突然機器速度變慢，然后有塊黑色的窗口一閃而過（），之后機器又回復(fù)正常，那么這也說明機器中了木馬。 如果你的電腦有以上的種種跡象，那就要懷疑自己的機器是不是被別人開了后門種上木馬了！那么怎么確定是否是中了木馬呢！這里我介紹個小技巧：關(guān)閉所有應(yīng)用程序，然后突然拔掉網(wǎng)線，然后看網(wǎng)卡的小燈是否還在拼命的閃爍，硬盤是否還在拼命的轉(zhuǎn)。那么，如何知道哪個進程是可疑的呢?教你一個笨方法，有以下進程絕對是正常的：、(如果打開了IE)，而出現(xiàn)了其他的、你沒有運