WEB开发网
开发学院网络安全黑客技术 黑客常用兵器之木马篇 阅读

黑客常用兵器之木马篇

 2006-11-05 20:35:24 来源:WEB开发网   
核心提示: 木马都会很注意自己的端口,多达六万多中的端口很容易让我们迷失其中,黑客常用兵器之木马篇(6),如果你留意的话就会发现,通常情况下木马端口一般都在1000以上,一个又像超级解霸,那么前辈我们把这两个文件删除掉,并朝着越来越大的趋势发展,这主要是因为1000以下的端口是常用端口

木马都会很注意自己的端口,多达六万多中的端口很容易让我们迷失其中,如果你留意的话就会发现,通常情况下木马端口一般都在1000以上,并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口,况且用时占用这些端口可能会造成系统不正常,木马也就会很容易暴露;此外使用大的端口也会让你比较难发现隐藏其中的木马,如果使用远程扫描端口的方式查找木马,端口数越大,需要扫描的时间也就越多,故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

“既然木马如此的阴险,那么前辈有何可知木马的方法啊?”

“现在的木马虽然阴险,但终究逃不过几个道理。平时出名的木马,杀毒软件就多数能够对付。但是现在木马种类繁多,有很多杀毒软件对付不了的。但是,只要我们谨记一下几个方法,就能够手到擒来。”

“首先,我们可以选择端口扫描来进行判断,因为木马在被植入计算机后会打开计算机的端口,我们可以根据端口列表对计算机的端口进行分析。此外,查看连接也是一种好办法,而且在本地机上通过netstat -a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,而且可以直观地发现与我们计算机连接的有哪些IP地址。当然,如果你对系统很熟悉的话,也可以通过检查注册表来进行木马的杀除,但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法,就拿冰河来说……”

“这个我知道前辈,木马冰河的特征文件一定是G_Server.exe。”

“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sysexlpr.exe。”

“太狠毒了,一个跟系统内核文件一样,一个又像超级解霸。那么前辈我们把这两个文件删除掉,这冰河岂不就消失了。”

上一页  1 2 3 4 5 6 7 8 9  下一页

Tags:黑客 常用 兵器

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接