黑客常用兵器之木马篇

核心提示： 木马都会很注意自己的端口，多达六万多中的端口很容易让我们迷失其中，黑客常用兵器之木马篇(6)，如果你留意的话就会发现，通常情况下木马端口一般都在1000以上，一个又像超级解霸，那么前辈我们把这两个文件删除掉，并朝着越来越大的趋势发展，这主要是因为1000以下的端口是常用端口

木马都会很注意自己的端口，多达六万多中的端口很容易让我们迷失其中，如果你留意的话就会发现，通常情况下木马端口一般都在1000以上，并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口，况且用时占用这些端口可能会造成系统不正常，木马也就会很容易暴露；此外使用大的端口也会让你比较难发现隐藏其中的木马，如果使用远程扫描端口的方式查找木马，端口数越大，需要扫描的时间也就越多，故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

四

“既然木马如此的阴险，那么前辈有何可知木马的方法啊？”

“现在的木马虽然阴险，但终究逃不过几个道理。平时出名的木马，杀毒软件就多数能够对付。但是现在木马种类繁多，有很多杀毒软件对付不了的。但是，只要我们谨记一下几个方法，就能够手到擒来。”

“首先，我们可以选择端口扫描来进行判断，因为木马在被植入计算机后会打开计算机的端口，我们可以根据端口列表对计算机的端口进行分析。此外，查看连接也是一种好办法，而且在本地机上通过netstat -a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，而且可以直观地发现与我们计算机连接的有哪些IP地址。当然，如果你对系统很熟悉的话，也可以通过检查注册表来进行木马的杀除，但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法，就拿冰河来说……”

“这个我知道前辈，木马冰河的特征文件一定是G_Server.exe。”

“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sysexlpr.exe。”

“太狠毒了，一个跟系统内核文件一样，一个又像超级解霸。那么前辈我们把这两个文件删除掉，这冰河岂不就消失了。”