📄 木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.htm
字号:
href="http://www.cnpaf.net/forum/profile-uid-21390.html">资料</A> <A
href="http://www.cnpaf.net/forum/blog.php?uid=21390"
target=_blank>文集</A> <A
href="http://www.cnpaf.net/forum/pm.php?action=send&uid=21390"
target=_blank>短消息</A> </DIV></DIV></TD></TR>
<TR>
<TD class=line style="PADDING-TOP: 10px" vAlign=top height="100%"><A
title="评分 0"
href="http://www.cnpaf.net/forum/misc.php?action=viewratings&tid=6230&pid=46458"
name=pid46458></A>
<DIV
style="FONT-SIZE: 12px"> 如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务*作,那么在监听该端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。<BR><BR> 注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何网络冲浪软件,也没有进行过任何网络*作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。</DIV><BR><BR><IMG
class=absmiddle alt=""
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/image.gif" border=0><A
title=查看积分策略说明
href="http://www.cnpaf.net/forum/member.php?action=credits&view=getattach"
target=_blank>图片附件</A>: <A class=bold
href="http://www.cnpaf.net/forum/attachment.php?aid=2281"
target=_blank>7.jpg</A> (2006-4-26 19:20, 15.25 K)<BR><BR><IMG
onmousewheel="return imgzoom(this);"
onmouseover="if(this.resized) this.style.cursor='hand';"
onclick="if(!this.resized) {return false;} else {window.open('attachment.php?aid=2281');}"
alt="" src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/7.jpg"
onload="if(this.width >screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}"
border=0> </TD></TR>
<TR>
<TD align=right> <A
href="http://www.cnpaf.net/forum/post.php?action=reply&fid=4&tid=6230&repquote=46458&extra=page%3D1">引用</A>
<A
href="http://www.cnpaf.net/forum/misc.php?action=report&fid=4&tid=6230&pid=46458&page=1">报告</A>
<A onclick="fastreply('回复 #9 anrui 的帖子')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">回复</A> <A
onclick=scroll(0,0)
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###"><IMG
alt=顶部 src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/top.gif"
border=0></A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></DIV>
<DIV class=spaceborder style="MARGIN-BOTTOM: 4px; WIDTH: 98%">
<TABLE class=t_row cellSpacing=0 cellPadding=4 width="100%" align=center>
<TBODY>
<TR style="HEIGHT: 100%">
<TD class=t_user vAlign=top width="18%"><A class=bold
href="http://www.cnpaf.net/forum/profile-uid-21390.html"
target=_blank>anrui</A> <BR>
<DIV class=smalltxt>进士<BR><IMG alt="Rank: 4"
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/star_level3.gif"><BR><BR><BR><BR>UID
21390<BR>精华 <A
href="http://www.cnpaf.net/forum/digest.php?authorid=21390">4</A> <BR>积分
9270<BR>帖子 194<BR>威望 1091 点<BR>金钱 3310 元<BR>阅读权限 100<BR>注册
2006-4-4<BR></DIV></TD>
<TD
style="PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; PADDING-TOP: 0px"
vAlign=top width="82%">
<TABLE class=t_msg cellSpacing=0 cellPadding=4 border=0>
<TBODY>
<TR>
<TD>
<DIV>
<DIV class="right t_number"><A class=bold
onclick="window.clipboardData.setData('text','http://www.cnpaf.net/forum/viewthread.php?tid=6230&page=1#pid46461')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">#10</A></DIV>
<DIV style="PADDING-TOP: 4px">发表于 2006-4-26 19:22 <A
href="http://www.cnpaf.net/forum/profile-uid-21390.html">资料</A> <A
href="http://www.cnpaf.net/forum/blog.php?uid=21390"
target=_blank>文集</A> <A
href="http://www.cnpaf.net/forum/pm.php?action=send&uid=21390"
target=_blank>短消息</A> </DIV></DIV></TD></TR>
<TR>
<TD class=line style="PADDING-TOP: 10px" vAlign=top height="100%"><A
title="评分 0"
href="http://www.cnpaf.net/forum/misc.php?action=viewratings&tid=6230&pid=46461"
name=pid46461></A>
<DIV
style="FONT-SIZE: 12px">反木马软件<BR> 这里列出的是全世界最知名的反木马软件的介绍和它们的网站,我强烈建议大家去这些网站看看,从中选择出一套最适合你自己的反木马软件。<BR><BR> 1.木马克星<BR> 木马克星是国人开发的一款查杀木马软件,可以查杀5021种国际木马,112种电子邮件木马,保证查杀冰河类文件关联木马,QQ类寄生木马,ICMP类幽灵木马,网络神偷类反弹木马。内置木马防火墙,任何黑客试图与本机建立连接,都需要木马克星确认。不仅可以查杀木马,更可以查黑客。该软件是动态监视网络与静态特征字扫描的完美结合,可以查杀的木马种类非常多,尤为难得的是对国产木马的查杀效果非常好,对新木马的反映速度非常快,并且占用系统资源也不多,强烈推荐下载地址!<A
href="http://gt.onlinedown.net/down/iparmor.exe"
target=_blank>http://gt.onlinedown.net/down/iparmor.exe</A>。<BR> <BR> 2.TDS-3<BR> TDS全称为Trojan
Defence
Suite(木马防卫系统)。从名字上就可以知道这是一套对信息安全有要求的电脑用户必备的安全软件。它拥有许多其他反木马软件所不具备的特色功能。由于它功能齐全,选项繁多,如果你是新手的话,你将要花一些时间阅读使用说明,从而熟悉它的强大功能和使用方法。<BR> 网址:<A
href="http://tds.diamondcs.com.au/"
target=_blank>http://tds.diamondcs.com.au/</A><BR><BR> 3.LockDown2000<BR> 这是一套非常优秀的反木马软件包,不仅拥有数量庞大的木马资料库,而且对于很多知名黑客工具的检测也独具特色;它还可以帮助你实时监测你的系统文件变化,运行进程资料以及注册表的修改。更加详细的介绍,可以从它的网站<A
href="http://www.lockdown2000.com/"
target=_blank>http://www.lockdown2000.com/</A>获得。<BR><BR> 4.TFAK5<BR> 全称为Trojans
First Aid
Kit,只是一个由SnakByte开发的木马检测软件,拥有许多非常有特色的功能。最出名的一项是它本身可以当作很多知名木马的客户端使用。<BR> 下载地址:<A
href="http://www.snake-basket.de/tfak/TFAK5.zip"
target=_blank>http://www.snake-basket.de/tfak/TFAK5.zip</A><BR><BR> 5.Trojan
Remover<BR> rojan
Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具,能够检查系统登录文件、扫描WIN.INI、SYSTEM.INI和系统登录文件,且扫描完成后会产生Log信息文件,并帮你自动清除特洛伊木马和修复系统文件。下载地址为<A
href="http://gwbn.onlinedown.net/down/trjsetup.exe."
target=_blank>http://gwbn.onlinedown.net/down/trjsetup.exe.</A><BR> <BR> 6.PestPatrol<BR> 此软件不光可以检测数量众多的木马。对于很多黑客软件和间谍软件的检测能力也是一流。<BR> 网址:<A
href="http://www.saferstite.com/"
target=_blank>http://www.saferstite.com/</A><BR><BR> 7.Tauscan<BR> Tauscan必备软件之一,其最大特色是可以检测其木马库中没有收录的未知木马,官方主页<A
href="http://www.agnitum.com/roducts/tauscan"
target=_blank>http://www.agnitum.com/roducts/tauscan</A> 8.The
Cleaner<BR><BR> 8.The
Cleaner<BR> 这可能是目前最好的反木马工具,也是目前查木马数量最多的工具软件。The
Cleaner可在目前主要的Windows平台如Windows
9x/NT/2000/XP中应用。它最招人喜爱的地方是可以随时自动升级,只要轻点UPDATE按钮即可,不像LOCKDOWN还要查你的密码,绝对是查木马工具的首选。它的实时监控程序TCA可即时显示当前所有运行程序并有详细的描述信息,是你了解系统的好帮手。可到<A
href="http://newhua.ruyi.com/down/clear3.exe"
target=_blank>http://newhua.ruyi.com/down/clear3.exe</A>下载。界面如图7-1-5所示。<BR> 9.PC
Door Guard <BR> 是一款木马检测软件,并且允许你监控特定文件和文件夹的读写*作。相关站点:<A
href="http://www.trojanclinic.com/pdg.html"
target=_blank>http://www.trojanclinic.com/pdg.html</A><BR><BR> 10.TrojanHunter<BR> 是一款非常小巧,易于上手的木马检测软件,地址:http//www.mischel.dhs.org/tojanhunter.jsp<BR><BR> 11.LogMonitor<BR> LogMonitor是非常专业的文件和目录实时监控软件,对你制定的任何文件和目录,都会忠实详尽地记录所有的读写*作。更加难得的是,尽管它功能如此强大,使用却异常简单,任何人都能轻松上手。<BR> 主页:<A
href="http://logmon.bitrix.ru/logmon/eng/"
target=_blank>http://logmon.bitrix.ru/logmon/eng/</A><BR><BR> 12.PrcView<BR> 这是一款专业而强大的进程管理工具,可以非常详细地显示当前系统运行的各个进程的各种信息,包括非常详细的进程初始化数据,进程建立时间,进程版本,所使用的DU名,创建的所有线程的信息,进程的堆和内存分配情况。PrcView还允许你结束一个指定的进程,为特定的线程配上特定的Debug程序等。可以在Win95/Win98/WinNT平台上顺利运行,并且有GUI和命令行两种版本,功能非常强大,强烈推荐使用。<BR> 下载地址:<A
href="http://sq.onlinedown.net/down/HAF-PrcView3538-Ronnier.zip"
target=_blank>http://Sq.onlinedown.net/down/HAF-PrcView3538-Ronnier.zip</A><BR><BR> 13.XNetStat<BR> GUI界面的Windows程序。帮助你监控你机器上所有打开的端口。从该地址可以得到该软件:<BR> http//packetstormsecurity.org/win/netstat.zip<BR><BR> 14.ConSeal
PC
FIREWALL 如果你对于TCP/IP等常用网络协议有一定的了解,那么这个防火墙将非常适合你。通过合理的配置,它将非常忠实地把你的计算机置于强大的保护力量之下,详细信息,可以访问:<BR> <A
href="http://www.consealfirewall.com/"
target=_blank>http://www.consealfirewall.com/</A><BR><BR> 15.Filemon<BR> Filemon是文件监视工具。可监视系统中指定文件运行状况,如指定文件打开了哪个文件,关闭了哪个文件,对哪个文件进行了数据读取等。通过它,你指定监控的文件有任何读、写、打开其他文件的*作那能被它监视下来,并提供完整的报告信息。你可以利用Filemon监控文件系统,以便窥视木马的一举一动。界面如图7-1-6所示。<BR> 下载地址:<A
href="http://newhua.ruyi.com/down/FILEMON.ZIP"
target=_blank>http://newhua.ruyi.com/down/FILEMON.ZIP</A><BR><BR> 16.注册表监视工具Regmon等<BR> 注册表监视工具主要有RegShot,Regmon或RegSnap等。在微软*作系统中,众多的设置都存放在注册表中,注册表是Windows的核心数据库,表中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的正常运行。在应用软件安装时,有可能将一些必要的信息放进去,如安装时间、使用次数、注册码等,其中也有我们感兴趣的服务端所建键值等信息。RegShot、Regmon或RegSnap就是监视注册表变化的工具,通过它可以了解、监视应用程序在注册表中的动作,我们可以利用它们来监视可疑程序
(很可能是木马服务端程序哦)在注册表中的变化,界面如图7-1-7所示。Regmon下载地址:<A
href="http://www.newhua.com.cn/down/regmnmtor.exe"
target=_blank>http://www.newhua.com.cn/down/regmnmtor.exe</A></DIV></TD></TR>
<TR>
<TD align=right> <A
href="http://www.cnpaf.net/forum/post.php?action=reply&fid=4&tid=6230&repquote=46461&extra=page%3D1">引用</A>
<A
href="http://www.cnpaf.net/forum/misc.php?action=report&fid=4&tid=6230&pid=46461&page=1">报告</A>
<A onclick="fastreply('回复 #10 anrui 的帖子')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">回复</A> <A
onclick=scroll(0,0)
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###"><IMG
alt=顶部 src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/top.gif"
border=0></A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></DIV>
<DIV class=spaceborder style="MARGIN-BOTTOM: 4px; WIDTH: 98%">
<TABLE class=t_row cellSpacing=0 cellPadding=4 width="100%" align=center>
<TBODY>
<TR style="HEIGHT: 100%">
<TD class=t_user vAlign=top width="18%"><A class=bold
href="http://www.cnpaf.net/forum/profile-uid-21390.html"
target=_blank>anrui</A> <BR>
<DIV class=smalltxt>进士<BR><IMG alt="Rank: 4"
src="木马工作的原理与检测及删除~ - 网络安全 - 网络协议分析论坛.files/star_level3.gif"><BR><BR><BR><BR>UID
21390<BR>精华 <A
href="http://www.cnpaf.net/forum/digest.php?authorid=21390">4</A> <BR>积分
9270<BR>帖子 194<BR>威望 1091 点<BR>金钱 3310 元<BR>阅读权限 100<BR>注册
2006-4-4<BR></DIV></TD>
<TD
style="PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; PADDING-TOP: 0px"
vAlign=top width="82%">
<TABLE class=t_msg cellSpacing=0 cellPadding=4 border=0>
<TBODY>
<TR>
<TD>
<DIV>
<DIV class="right t_number"><A class=bold
onclick="window.clipboardData.setData('text','http://www.cnpaf.net/forum/viewthread.php?tid=6230&page=1#pid46462')"
href="http://www.cnpaf.net/forum/thread-6230-1-1.html###">#11</A></DIV>
<DIV style="PADDING-TOP: 4px">发表于 2006-4-26 19:23 <A
href="http://www.cnpaf.net/forum/profile-uid-21390.html">资料</A> <A
href="http://www.cnpaf.net/forum/blog.php?uid=21390"
target=_blank>文集</A> <A
href="http://www.cnpaf.net/forum/pm.php?action=send&uid=21390"
target=_blank>短消息</A> </DIV></DIV></TD></TR>
<TR>
<TD class=line style="PADDING-TOP: 10px" vAlign=top height="100%"><A
title="评分 0"
href="http://www.cnpaf.net/forum/misc.php?action=viewratings&tid=6230⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -