把木马清楚干净：木马查杀防范秘技红宝书(8)

 

    二、使用进程查看工具

　　有些木马运行后，你在任务管理器中看不到它的进程，这时候你可以使用专门的进程查看工具，例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等，用它们来检查系统中的进程，看看有没有可疑的进程，如果发现可疑进程立刻封杀之，例如常见的木马进程如下:
　　

　　进程查看工具下载地址：

　　WinProcV1.32 http://ks.onlinedown.net/down/winproc1.32.zip

　　系统查看大师V1.0 http://xj-http.skycn.net:8080/down/xpprocess.exe

　　柳叶擦眼V4.0 http://www.skycn.com/soft/4507.html

　　IceSwordV1.04 http://download.pchome.net/php/dl.php?sid=18523

　　进程杀手V2.5 http://sc-down.downloadsky.com/down/prockiller_25.rar

　　三、用Tcpview观察连接情况

　　使用Tcpview （下载地址http://xj-http.skycn.net:8080/down/tcpview.zip）、Active Ports等软件，观察计算机的进程和端口。一旦发现可疑的进程，有可疑的端口打开了，就要立即关闭它。建议你经常用Tcpview检查连接情况（如下图9），这样就能随时发现哪个连接有可能是非法连接。 

　　例如图9中本机打开了TCP 135和2513两个端口，这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口，一般不要通过停止RPC服务来关闭，因为如果你把RPC服务停掉，虽然可以关闭135端口，但是计算机也关机了。冲击波病毒利用的就是135端口，为了防范黑客利用该端口攻击，建议你使用第三方防火墙，设置外界不能连接本机的135端口，这样来堵住135端口。

　　另外，图9中TCP 2513端口是灰鸽子（GrayPigeon.exe）打开的，这里有个常识请你记住，如果你发现TCP协议的linsten在1025端口以上，则可能是木马，你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听，采用主动连接方式（非反弹连接），等待远方电脑的连接，可以断定这是非法连接。

　　此时你应该右击该连接，选择连接属性，记录下执行文件GrayPigeon.exe的名称和位置，然后选择“End Process”结束连接，最后再删除对应的执行文件。

 

[上一页]　[1]　[2]　[3]　[4]　[5]　[6]　[7]　[8]　[9]　[10]
　[11]　[下一页]