怎样防止木马入侵
2007-11-11 06:48:14 来源:WEB开发网核心提示:一个是TcpView,下载地点:http://www.sysinternals.com/files/tcpview.zip另一个是Active Port,怎样防止木马入侵,下载地点:http://www.webattack.com/dlnow/rdir.dll?id=100150以上两个都是软件所有者公司网页上的连接,
一个是TcpView。下载地点:http://www.sysinternals.com/files/tcpview.zip
另一个是Active Port。下载地点:http://www.webattack.com/dlnow/rdir.dll?id=100150
以上两个都是软件所有者公司网页上的连接。安全应无问题。但我不打保票,用前请仔细检查。两个软件功能相同,下载其中的任意一个即可。
这到底是什么礼物呢?我可以说有了这两个软件其中之一,再加上你有一些网络安全的知识,你可以不用再担心你是不是中了木马了。怎么样,两个软件的Size虽小,但作用可不小吧。真可谓礼轻意义重。
下面就给大家讲一下如何来判断你的机子是否中了木马。所谓木马,实际上是一种远程控制软件,一个服务器端,一个客户端。作客户端的是所谓的黑客,服务器端当然就是苦主了(最好别是你)。到目前为止,可以说木马基本上都是通过TCP/IP协议连接的。(也曾听说过有不是基于TCP/IP协议的木马,但还没见过,不知是真是假。)因此,木马的客户端和服务器端的连接是要通过TCP端口来完成的。当然过程中有的也会用到UDP。既然用到端口,那么如果中了木马后,相应的端口就会开放。所以有效的监控你的端口,是防止和监控木马的根本途径。以上这两款软件就是干这种工作的。它们弥补了Windows系统中没有网络实时监控软件的不足。当然,你还可以通过DOS Prompt的netstat命令再加上Fport这个软件来实现的。但因为都要在DOS下运行又是两个要一齐用,所以,还是TcpView或Active Port更好用。只要你的机子在网上,就请打开它,并时不时地看上几眼,看是否有什么异状。对于这两个软件的界面操作我不想说太多,因为实在是简单得不能再简单了。以Active Port为例,首先是进程,然后是进程ID,接下来是你的IP和你正在开放着的端口,对应的是远程连接的IP和端口,状态,使用的协议,最后是这个进程的文件在你机器上的位置即路径。OK,如果你发现,你的7626的端口是开着的。99.999%你是中了冰河,为一例外是你自己使用了这个端口。好了,现在你自己去搜集一下常用的木马和他们的默认端口信息吧。当然,如果木马没有使用默认的端口,问题会复杂一点。如果你发现你的某个端口是开放的,你又不清楚是什么程序在使用它,你就一定要搞清楚。举个例子,前几天我发现我的106端口开放了,以前没有。而且程序的名字是PSERVE.EXE(在Active Port该端口对应的进程栏中可找到),不熟悉。再找到该端口在路径栏对应的信息。发现该文件是在我的IMail Server的文件夹中,打开IMail的管理界面,发现在服务项目下有PSERVE。在IMail的管理界面中停止这项服务。回到Active Port再一看,106端口这一行变成红色然后消失,端口关闭了。到此好像想起前一天在装IMail Server时启动的服务中有一项是Password Server。疑团解开。(可以睡个好觉。其实我也没真的担心,只不过搞搞清楚比较好。)一旦无法很快搞清楚,或伴随有其他迹象。则应马上使用Active Port或TcpView中结束进程的功能。关闭这个运行的程序。然后,通过各种渠道搜寻与该程序有关的信息(包括搜寻,和到有关的论坛,新闻组及网站请教高人。最好使用别的电脑,或是多操作系统中的另一个)。同时使用一些杀毒软件和杀木马软件进行清理,并使用防火墙堵住有问题端口。如果觉得很像是中了木马,就需要马上断开与Internet的连接。当然这些都是临时应急的方法了。在基本上可以确定是木马后,大体上可以用以下方法拆除。如果知道为何种木马,可使用它的客户端进行拆除。另外还可使用杀毒软件和杀木马软件杀,或手工清理。并将木马对你的注册表和Win.ini和System.ini中的修改该回来(记得先备份呀)。当然,发现中了木马后最彻底的解决办法是重装系统(对于某些心比较重的朋友适用)。每种木马的清除方法大体相同,但具体手法可能有些不同。这个不是我要讲的,我今天只是要说,怎么监测到木马。真烦那,手也酸了,脖子也发紧。写东西可真不舒服。我现在都不愿意往下写了……
另外,在检测木马的时候,不得不提的是端口反弹型木马。像网络神偷就是这种木马。在此以前提到的木马都是设置了固定的端口(最常见),并Listening那个端口等待客户端来连接。这种木马的隐蔽性较差,而且可以用防火墙有效地堵住他,还有,对局域网内使用内网IP的用户则无效。然而,端口反弹型木马则不同,它可以有效的穿透防火墙,而且即使你使用的是内网IP,他一样也能访问你的计算机。这种木马的原理是服务端(苦主)主动连接客户端(黑客)(这不是倒霉催地吗)。木马的服务端软件就像你的Internet Explorer一样,使用动态分配端口去连接客户端的某一端口,通常是常用端口,像端口80。而且会使用隐避性较强的文件名,像iexpiore.exe。如果你不仔细看,你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在Active Port或TcpView中看到:
iexpiore.exe X.X.X.X(你的IP):1025(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)
这当中是有问题的,是iexpiore.exe而不是iexplore.exe(你的Internet Explorer)建立的对外连接。当然,木马的名字可能是其他的,你的端口由于是动态分配的也可能是其他的。远程端口也可能不同。但情况是一样的,是你机器中的木马程序主动的对外的连接。
本来写到这里可以收笔了,但我要提醒大家一句。运用TcpView或Active Port加上你的分析,所能监控的是通常意义上的木马,即远程控制型和远程访问型木马软件(Backdoor.Trojan)。而对偷取密码型的木马(PWSteal.Trojan)和其他非Backdoor.Trojan,可能效果就没有那么好了。对付这些木马主要是靠杀毒软件(也不见得百分之百保险)。当然,安装多系统,使其中一个保持干净,用来做一些需要保密的工作不失为一个最好的办法。
更多精彩
赞助商链接