把木马清楚干净:木马查杀防范秘技红宝书(8) |
---|
http://www.sina.com.cn 2005年11月23日 16:17 eNet硅谷动力 |
二、使用进程查看工具
有些木马运行后,你在任务管理器中看不到它的进程,这时候你可以使用专门的进程查看工具,例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,例如常见的木马进程如下: 使用进程查看工具 进程查看工具下载地址: WinProcV1.32 http://ks.onlinedown.net/down/winproc1.32.zip 系统查看大师V1.0 http://xj-http.skycn.net:8080/down/xpprocess.exe 柳叶擦眼V4.0 http://www.skycn.com/soft/4507.html IceSwordV1.04 http://download.pchome.net/php/dl.php?sid=18523 进程杀手V2.5 http://sc-down.downloadsky.com/down/prockiller_25.rar 三、用Tcpview观察连接情况 使用Tcpview (下载地址http://xj-http.skycn.net:8080/down/tcpview.zip)、Active Ports等软件,观察计算机的进程和端口。一旦发现可疑的进程,有可疑的端口打开了,就要立即关闭它。建议你经常用Tcpview检查连接情况(如下图9),这样就能随时发现哪个连接有可能是非法连接。 用Tcpview观察连接情况 例如图9中本机打开了TCP 135和2513两个端口,这两个端口正在监听、等待外界的连接。其中TCP 135端口是RPC服务打开的端口,一般不要通过停止RPC服务来关闭,因为如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也关机了。冲击波病毒利用的就是135端口,为了防范黑客利用该端口攻击,建议你使用第三方防火墙,设置外界不能连接本机的135端口,这样来堵住135端口。 另外,图9中TCP 2513端口是灰鸽子(GrayPigeon.exe)打开的,这里有个常识请你记住,如果你发现TCP协议的linsten在1025端口以上,则可能是木马,你就要警惕了。图中GrayPigeon.exe打开了本机的TCP 2513端口监听,采用主动连接方式(非反弹连接),等待远方电脑的连接,可以断定这是非法连接。 此时你应该右击该连接,选择连接属性,记录下执行文件GrayPigeon.exe的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。 |