怎样防止木马入侵

核心提示：一个是TcpView，下载地点：http://www.sysinternals.com/files/tcpview.zip另一个是Active Port，怎样防止木马入侵，下载地点：http://www.webattack.com/dlnow/rdir.dll?id=100150以上两个都是软件所有者公司网页上的连接，

　　一个是TcpView。下载地点：http://www.sysinternals.com/files/tcpview.zip
另一个是Active Port。下载地点：http://www.webattack.com/dlnow/rdir.dll?id=100150
以上两个都是软件所有者公司网页上的连接。安全应无问题。但我不打保票，用前请仔细检查。两个软件功能相同，下载其中的任意一个即可。
这到底是什么礼物呢？我可以说有了这两个软件其中之一，再加上你有一些网络安全的知识，你可以不用再担心你是不是中了木马了。怎么样，两个软件的Size虽小，但作用可不小吧。真可谓礼轻意义重。
下面就给大家讲一下如何来判断你的机子是否中了木马。所谓木马，实际上是一种远程控制软件，一个服务器端，一个客户端。作客户端的是所谓的黑客，服务器端当然就是苦主了（最好别是你）。到目前为止，可以说木马基本上都是通过TCP/IP协议连接的。（也曾听说过有不是基于TCP/IP协议的木马，但还没见过，不知是真是假。）因此，木马的客户端和服务器端的连接是要通过TCP端口来完成的。当然过程中有的也会用到UDP。既然用到端口，那么如果中了木马后，相应的端口就会开放。所以有效的监控你的端口，是防止和监控木马的根本途径。以上这两款软件就是干这种工作的。它们弥补了Windows系统中没有网络实时监控软件的不足。当然，你还可以通过DOS Prompt的netstat命令再加上Fport这个软件来实现的。但因为都要在DOS下运行又是两个要一齐用，所以，还是TcpView或Active Port更好用。只要你的机子在网上，就请打开它，并时不时地看上几眼，看是否有什么异状。对于这两个软件的界面操作我不想说太多，因为实在是简单得不能再简单了。以Active Port为例，首先是进程，然后是进程ID，接下来是你的IP和你正在开放着的端口，对应的是远程连接的IP和端口，状态，使用的协议，最后是这个进程的文件在你机器上的位置即路径。OK，如果你发现，你的7626的端口是开着的。99.999%你是中了冰河，为一例外是你自己使用了这个端口。好了，现在你自己去搜集一下常用的木马和他们的默认端口信息吧。当然，如果木马没有使用默认的端口，问题会复杂一点。如果你发现你的某个端口是开放的，你又不清楚是什么程序在使用它，你就一定要搞清楚。举个例子，前几天我发现我的106端口开放了，以前没有。而且程序的名字是PSERVE.EXE（在Active Port该端口对应的进程栏中可找到），不熟悉。再找到该端口在路径栏对应的信息。发现该文件是在我的IMail Server的文件夹中，打开IMail的管理界面，发现在服务项目下有PSERVE。在IMail的管理界面中停止这项服务。回到Active Port再一看，106端口这一行变成红色然后消失，端口关闭了。到此好像想起前一天在装IMail Server时启动的服务中有一项是Password Server。疑团解开。（可以睡个好觉。其实我也没真的担心，只不过搞搞清楚比较好。）一旦无法很快搞清楚，或伴随有其他迹象。则应马上使用Active Port或TcpView中结束进程的功能。关闭这个运行的程序。然后，通过各种渠道搜寻与该程序有关的信息（包括搜寻，和到有关的论坛，新闻组及网站请教高人。最好使用别的电脑，或是多操作系统中的另一个）。同时使用一些杀毒软件和杀木马软件进行清理，并使用防火墙堵住有问题端口。如果觉得很像是中了木马，就需要马上断开与Internet的连接。当然这些都是临时应急的方法了。在基本上可以确定是木马后，大体上可以用以下方法拆除。如果知道为何种木马，可使用它的客户端进行拆除。另外还可使用杀毒软件和杀木马软件杀，或手工清理。并将木马对你的注册表和Win.ini和System.ini中的修改该回来（记得先备份呀）。当然，发现中了木马后最彻底的解决办法是重装系统（对于某些心比较重的朋友适用）。每种木马的清除方法大体相同，但具体手法可能有些不同。这个不是我要讲的，我今天只是要说，怎么监测到木马。真烦那，手也酸了，脖子也发紧。写东西可真不舒服。我现在都不愿意往下写了……
另外，在检测木马的时候，不得不提的是端口反弹型木马。像网络神偷就是这种木马。在此以前提到的木马都是设置了固定的端口（最常见），并Listening那个端口等待客户端来连接。这种木马的隐蔽性较差，而且可以用防火墙有效地堵住他，还有，对局域网内使用内网IP的用户则无效。然而，端口反弹型木马则不同，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端(苦主)主动连接客户端（黑客）（这不是倒霉催地吗）。木马的服务端软件就像你的Internet Explorer一样，使用动态分配端口去连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，像iexpiore.exe。如果你不仔细看，你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在Active Port或TcpView中看到：
iexpiore.exe　　　X.X.X.X(你的IP)：1025（你的端口）　　Y.Y.Y.Y（远程IP）：80（远程端口）
这当中是有问题的，是iexpiore.exe而不是iexplore.exe（你的Internet Explorer）建立的对外连接。当然，木马的名字可能是其他的，你的端口由于是动态分配的也可能是其他的。远程端口也可能不同。但情况是一样的，是你机器中的木马程序主动的对外的连接。
本来写到这里可以收笔了，但我要提醒大家一句。运用TcpView或Active Port加上你的分析，所能监控的是通常意义上的木马，即远程控制型和远程访问型木马软件（Backdoor.Trojan）。而对偷取密码型的木马（PWSteal.Trojan）和其他非Backdoor.Trojan，可能效果就没有那么好了。对付这些木马主要是靠杀毒软件（也不见得百分之百保险）。当然，安装多系统，使其中一个保持干净，用来做一些需要保密的工作不失为一个最好的办法。