防范三絕技-談木馬“查、堵、殺” 

編者按：
木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。

RFC1244(Request for Comments:1244)中是這樣描述木馬的：“木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼?！彪S著互聯(lián)網(wǎng)的迅速發(fā)展，木馬的攻擊、危害性越來越大。木馬實質(zhì)上是一個程序，必須運行后才能工作，所以會在進(jìn)程表、注冊表中留下蛛絲馬跡，我們可以通過“查、堵、殺”將它“緝拿歸案”。

查

1.檢查系統(tǒng)進(jìn)程

大部分木馬運行后會顯示在進(jìn)程管理器中，所以對系統(tǒng)進(jìn)程列表進(jìn)行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異常現(xiàn)象。

2.檢查注冊表、ini文件和服務(wù)

木馬為了能夠在開機后自動運行，往往在注冊表如下選項中添加注冊表項：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木馬亦可在Win.ini和System.ini的“run=”、“l(fā)oad=”、“shell=”后面加載，如果在這些選項后面加載程序是你不認(rèn)識的，就有可能是木馬。木馬最慣用的伎倆就是把“Explorer”變成自己的程序名，只需稍稍改“Explorer”的字母“l(fā)”改為數(shù)字“1”，或者把其中的“o”改為數(shù)字“0”，這些改變?nèi)绻蛔屑?xì)觀察是很難被發(fā)現(xiàn)。

在Windwos NT/2000中，木馬會將自己作為服務(wù)添加到系統(tǒng)中，甚至隨機替換系統(tǒng)沒有啟動的服務(wù)程序來實現(xiàn)自動加載，檢測時要對操作系統(tǒng)的常規(guī)服務(wù)有所了解。

3.檢查開放端口

遠(yuǎn)程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入Netstat na，可以清楚地看到系統(tǒng)打開的端口和連接。也可從www.foundstone.com下載Fport軟件，運行該軟件后，可以知道打開端口的進(jìn)程名，進(jìn)程號和程序的路徑，這樣為查找“木馬”提供了方便之門。

4.監(jiān)視網(wǎng)絡(luò)通訊

對于一些利用ICMP數(shù)據(jù)通訊的木馬，被控端沒有打開任何監(jiān)聽端口，無需反向連接，不會建立連接，采用第三種方法檢查開放端口的方法就行不通?？梢躁P(guān)閉所有網(wǎng)絡(luò)行為的進(jìn)程，然后打開Sniffer軟件進(jìn)行監(jiān)聽，如此時仍有大量的數(shù)據(jù)，則基本可以確定后臺正運行著木馬。

堵

1.堵住控制通路

如果你的網(wǎng)絡(luò)連接處于禁用狀態(tài)后或取消撥號連接，反復(fù)啟動、打開窗口等不正常現(xiàn)象消失，那么可以判斷你的電腦中了木馬。通過禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)線，就可以完全避免遠(yuǎn)端計算機通過網(wǎng)絡(luò)對你的控制。當(dāng)然，亦可以通過防火墻關(guān)閉或過濾UDP、TCP、ICMP端口。

2.殺掉可疑進(jìn)程

如通過Pslist查看可疑進(jìn)程，用Pskill殺掉可疑進(jìn)程后，如果計算機正常，說明這個可疑進(jìn)程通過網(wǎng)絡(luò)被遠(yuǎn)端控制，從而使計算機不正常。

殺

1.手工刪除

對于一些可疑文件，不能立即刪除，有可能由于誤刪系統(tǒng)文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件里面的明文字符對木馬有一個大致了解。當(dāng)然高手們還可以通過W32Dasm等專用反編譯軟件對可疑文件進(jìn)行靜態(tài)分析，查看文件的導(dǎo)入函數(shù)列表和數(shù)據(jù)段部分，初步了解程序的主要功能。最后，刪除木馬文件及注冊表中的鍵值。

2.軟件殺毒

由于木馬編寫技術(shù)的不斷進(jìn)步，很多木馬有了自我保護(hù)機制。普通用戶最好通過專業(yè)的殺毒軟件如瑞星、金山毒霸等軟件進(jìn)行殺毒，對于殺毒軟件，一定要及時更新，并通過病毒公告及時了解新木馬的預(yù)防和查殺絕技，或者通過下載專用的殺毒軟件進(jìn)行殺毒(如近期的沖擊波病毒各大公司都開發(fā)了查殺工具)。