特洛伊木马过招

　　什么是特洛伊木马

　　特洛伊木马来自于希腊神话，这里指的是一种黑客程序，它一般有两个程序，一个是服务器端程序，一个是控制器端程序。如果你的电脑安装了服务器端程序，那么，黑客就可以使用控制器端程序进入你的电脑，通过命令服务器端程序达到控制你的电脑的目的。

　　对个人上网电脑威胁最大的就是病毒和特洛伊木马(以下简称木马)，不要以为你的电脑没有什么秘密的资料，你就不怕木马了。首先，中了木马的电脑什么安全性也没有了，拨号上网的密码、信箱密码、主页密码，甚至网络信用卡密码也会被偷走。其次，黑客要是有病毒，就可以通过木马传染到你的电脑上来，你平时再谨慎也没有用了。你的鼠标被人家控制，键盘被锁上了，屏幕被人家看见了，电脑还算是你的吗？

　　所以，你应当留神自己的电脑有没有木马，我在网络上看过很多关于安全的文章，涉及木马的比较少。另外有些文章对木马有错误的认识，比如某报的文章《注册表的妙用》中有句话：“不管是什么样的后门工具，也许在它运行后就会消失，但有它逃不过的地方，那就是你的Win.ini、启动组和注册表！”如果经常玩木马的人，就该知道，非自动方式启动的木马可以被捆绑到任何程序中，比如将木马捆绑到OICQ程序上，在注册表等启动组中均找不到痕迹，而你一旦启动OICQ，就会启动木马。在我们的电脑中，可执行程序（EXE、COM程序）有上千个是不希奇的，都可以成为捆绑的对象。

　　因为木马对个人电脑是个重大的威胁，所以我们应详细了解这种“网络杀手”。

　　特洛伊木马的基本知识

　　一般黑客要让你安装上木马的办法是写信给你，告诉你在附件中有一个很好的软件，你运行以后却没有什么反应，这时，木马已悄悄安装到你的电脑中了。

　　一般的程序需要我们点击该程序才会运行，那么木马是怎样启动的呢？

　　木马为了能在每次电脑开机的时候进入内存发挥作用，主要手法是加载到注册表的启动组中或者捆绑到其他程序中，这些被捆绑程序在电脑启动时，由Windows自动安装，或由用户自己需要运行该程序而启动的。

　　黑客通常是和你电脑中的木马程序联系，当木马程序在你的电脑中存在的时候，黑客就可以通过控制器端软件命令木马做事情了。这些命令是在网络上传递的，须要遵守TCP/IP协议。TCP/IP协议规定电脑的端口有256×256=65536个，从0到65535号端口，木马打开一个或者几个端口，黑客所使用的控制器端软件就是通过木马的端口进入你的电脑的。这些端口好像“后门”一样，所以，也有人把特洛伊木马叫做后门工具。

　　每个木马所打开的端口不同，根据端口号，可以识别不同的木马，比如NETSPY木马的端口是7306、SUB7的端口是1243。但是，有些木马的端口号是可以改变的，比如SUB7，黑客通过控制器端软件可以将端口改变成12345等号码。

　　特洛伊木马要能发挥作用必须具备三要素：①木马需要一种启动方式，一般在注册表启动组中；②木马需要在内存中才能发挥作用；③木马会打开特别的端口，以便黑客通过这个端口和木马联系。基于这三点，我们可以采用相关对策来删除木马，以防御黑客的攻击。

　　发现和删除木马

　　在删除木马之前，最最重要的一项工作是备份。你需备份注册表，防止系统崩溃；备份你认为是木马的文件，如果不是木马就可以恢复，如果是木马你就可以对木马进行分析。

　　删除木马最简单的方法是安装杀毒软件，现在很多杀毒软件都能删除网络最猖狂的木马，比如BO(Back Orifice)木马。当然手动删除是最重要的，因为很多木马是不会被杀毒软件删除的，黑客完全可以给你装上这样的木马。大部分木马会放在启动项中，最常见的是加载到注册表的启动组中，在这种情况下，木马会进入内存，打开端口，你只要使用TCPVIEW，看看自己有什么可疑的端口开放就行了。如果有可疑的端口开放，请按照以下步骤进行：先记下这个端口号，然后打开ATM软件看看内存中正在运行哪些软件，请把这些软件名称和硬盘位置用笔记到纸上，然后终止某个程序运行，如果端口还是开放着，那么被你终止运行的程序不是木马，然后继续终止下一个，直到端口不再开放，也就找到了木马。

　　木马程序的运行都是隐蔽的，你在屏幕上不可能看到木马窗口，因为木马程序在运行时是“隐含”的。在ATM中可以看到“标志”带“S”的程序是后台运行的，带“S”标志的一般有两种：一种是系统文件，另一种就是木马。终止系统文件的运行可能导致死机，所以，你应具备一定的Windows知识。

　　当你找到木马以后，你须要做的第一件事情就是备份木马样本，这是很重要的。一来可以仔细研究，二来你把系统弄崩溃了可以恢复。备份以后，需要验证一下是不是木马，新建一人目录，把木马移到这里，运行，看看端口打开吗？原目录中是不是又生成了这个文件？是的话可以确认为木马。

　　 接下来就是删除木马，你先终止该程序在内存中的运行，保证端口没有打开，注意，先不要在硬盘上删除该文件！首先到注册表中去查找包含该文件名的键值，如果在启动组中找到了就先用笔记下该键值，然后删除。在注册表的其他很多位置也会启动木马，不只是在电脑开机的时候，在某种特定的条件下也会启动。以冰河木马为例，该木马除了注册表启动组启动外，还在注册表的这个位置做了手脚：HKEY_CLASSES_ROOT\txtfile\shell\open\command，键值名：(默认)，键值：C:\WINDOWS\SYSTEM\SYSEXPLR.EXE ％1。我们打开文本文件有两种办法：一种是先打开记事本程序，然后打开文本文件；第二种是在硬盘上直接双击文本文件。如果是第二种的话，就惨了，电脑发现你点击的文件后缀是TXT，它就到注册表中去找对应的程序，原来应该找到的是C:\WINDOWS\NOTEPAD.EXE，现在变成了C:\WINDOWS\SYSTEM\SYSEXPLR.

　　EXE，你就中上木马了。

　　同样道理，你点击EXE也可能中木马，点HTM也可能中木马。这样的木马就麻烦多了，只有你先找到木马，然后再到注册表中去找了。所以，平时请多注意看看TCPVIEW，看看有没有端口打开着。

　　注册表的启动一般就这两种，启动组和非启动组。如果是修改其他的文件，那么也可以用同样的办法，到硬盘上去找包含该木马文件名的INI和EXE或者DLL文件。如果找到INI文件，先打开看看是在什么位置，比如是Foxmail.ini的话，启动Foxmail看看，木马是不是进入内存，端口有没有打开，如果是的话，那么是Foxmail.ini被修改了，它会帮助木马启动。请修改INI文件，就可以了。如果是其他的EXE文件启动，那么运行这个程序，木马是不是被装入内存，端口呢？是的话，说明要么是该文件启动木马程序的，要么是该文件捆绑了木马程序。

　　如果是Windows自带的程序，你可以到安装光盘上去释放一个出来，覆盖一下就行了。如果是你自己安装的程序，你看着办好了，可以到其他地方弄一个来，可以重新安装一下。如果是DLL文件，可以比照EXE文件的办法。另外，请注意后缀名是DL的文件。

　　还有一点，现在的硬盘很大，C盘上有1000M的文件是不希奇的，如果你找每个文件的话就累死了。你可以找小于4M或者3M的文件，理由是：我们的猫最快也不过是56K，如果黑客真的进入了我的电脑，把一个捆绑文件送到C盘上，其过程就等于我在下载文件，黑客不可能高速地往我的电脑中上传文件，因为会被我发现，黑客也不可能像网络蚂蚁一样多线程并且断点续传，所以要往我的电脑中上传3M的文件需要很长时间，而且这个黑客要有很大的耐心，至于10M左右的文件更是不可能了，所以，你只需要在硬盘上找3M或者4M以下的文件就可以了。

　　除了上面说的启动木马情况外，最常见的就是捆绑木马了。比如将木马捆绑到浏览器上，你开机检查没有端口开放，上网以后一打开浏览器，木马被附带启动了，木马端口打开，黑客可以进入了。捆绑有两种办法：一种是手动的；另一种是木马自带捆绑配置工具。两种情况都一样，按照捆绑的先后次序，可以分为主程序和次程序，一般将原程序作为主程序，将木马程序做次程序，不过将木马做主程序也是可以的。例如捆绑到IRC上后，你只要启动捆绑后的IRC程序，主程序不变，照样启动，同时会在系统的临时文件夹生成次程序并执行，默认的临时文件夹是C:\windows\temp。这样，办法就来了，你可以经常去看看临时文件夹，有什么程序没有？可能发现的是原程序，也可能是木马。删除的办法很简单，重新安装一次。因为木马是捆绑的，木马样本也很难备份。

　　经常不打扫TEMP目录的人，可能有上千个文件，也有可能有程序在，但不是木马，例如你运行WinZip压缩包中的程序，就会在TEMP目录中生成文件。

　　这仅仅是简单的查找方法，一来，如果你没有运行捆绑程序，你就不能发现；二来，这种查找办法不是很彻底。要想完全删除未知的木马捆绑程序是一件很困难的事情，对于已知的木马捆绑程序，可以用特征字符串查找一下，你可以在硬盘上找小于3M的可执行文件有没有包含这些特征字符串。

　　 对付特洛伊木马的工具

　　要想删除木马，你必须有几款上手的工具：

　　1.TCPVIEW

　　这是查看端口和线程的。只要木马在内存中运行，一定会打开某个端口，只要黑客进入你的电脑，就有新的线程，TCPVIEW虽然是静态表示端口和线程的，但是它方便，占用资源少。

　　2.ATM

　　木马在内存中运行，你想终止它运行，ATM是最好的工具。它已被汉化，而且不用安装，你可以在界面上清楚地看到什么软件在运行、软件的硬盘位置等，对查找木马很有帮助。

　　3.REGEDIT

　　这是Windows自带的，位置在：C:\windows\regedit.exe，它是注册表修改工具。大部分的木马是在注册表的启动组添加键值，以便在电脑启动时运行。你可以使用Regedit对注册表进行修改，但是，请千万小心，弄错了可能造成系统崩溃。

　　4.LockDown

　　被认为是最好的防御工具，虽然不像别人说的那么好，但是能删除很多木马，能监视注册表的变化，这就足够了。

　　5.NukeNabber

　　监视端口的工具，如果黑客扫描过这些端口的话，它就会报警，监视的端口可以自定。

　　防御工具LockDown?

　　 使用的LockDown的版本是4.0.1.6。在网络上很多人已经对网络安全有所重视，LockDown(简称LD)被认为是最好的动态防御工具。?

　　 LD能监视几个Windows的系统文件，如注册表和System.ini等。如果注册表发生改变，它会告诉你。当你不小心运行了某些包含木马的软件，它就会提醒你。它的好处在于，能随时监视注册表等文件的变化，你不用担心误操作，它会提醒你，并且对删除木马有帮助。不足之处是，如果你以前已经安装了木马，那么会被它认为是合法的，它只注意LD安装以后的变化。

　　 还有，大部分木马的启动方式是加载到系统程序上，并以单独文件存在，启动方式是由系统程序唤醒木马，然后运行的。有些木马并不是加载到注册表或者系统程序上，而是捆绑在某个文件上。这两种情况，LD可能会监测不到。

　　 LD已经取得了488个木马的特征，如果你中了这些木马，那么可以由它帮你删除，但是，它的木马列表也不是最全的，我所知道的几个木马LD就查不出来。

　　 LD监视黑客的非法入侵过程很复杂，监视必须要打开端口，LD打开以下端口进行监视：54320、53、12345、30029、4950、139、1243。比如12345端口是木马NetBus木马所开启的，当黑客想进入你的12345端口的时候，LD就会报警，并显示黑客的IP地址。

　　我们现在知道木马有很多种，开启的默认端口也有很多，为什么LD不监视所有的端口？因为内存不够，TCP/IP协议规定端口范围是1～65335之间，因为内存的原因，不可能打开所有端口监视，如果你中了某个木马，而木马所开启的端口不在LD监视范围内，那么LD是不会报警的。你可以做这样一个试验，先关闭LD，然后运行netspy.exe，让自己中木马，然后开启LD，这时候，你试试看进入自己的电脑，LD不会告诉你有人进入了你的电脑了。

　　 当然，LD会发现注册表的改变，但对不加载注册表的木马就无能为力。所以说LD也不能发现所有进入你电脑的黑客。

　　 另外，LD会神经过敏，当你打开LD监视的时候，再用扫描器扫描自己的端口，如果扫过12345就会告诉你NetBus木马入侵，如果扫过1243就会告诉你SUB7入侵你的电脑。你可以试验一下，在浏览器中输入http:∥自己的IP地址:1243/，那么LD马上告诉你有黑客使用SBU7攻击你，这个黑客的IP地址就是你的IP地址。

　　 LD还宣称可以防御炸弹，我用了一个最新的炸弹立马把自己炸死了，看来此功能言过其实。

　　不管怎么说，请LD出来帮你扫描你的硬盘还是防黑客的一个好工具。