死与生的较量:最新反弹型木马攻防实战(7) | |
---|---|
http://www.sina.com.cn 2005年02月04日 10:17 天极yesky | |
文/李红 四、使用第三方防火墙 Win XP自带的放火墙和ADSL猫的NAT方式,只能防止从外到内的连接,不能阻挡从内到外的连接,因此这类防火墙不能阻挡反弹型木马。 五、在线安全检测 按照上面的方法查杀木马后,如果你还不放心,可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试: 诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。 著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。 可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。 免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。 蓝盾安全实验室研制、开发的在线安全检测系统,可以检查你的系统中是否有漏洞,可扫描你的端口,检查你的电脑中是否有木马和信息泄漏。 六、经常用Tcpview观察连接情况 为了防范未知的反弹型木马,你可以经常使用Tcpview检查连接情况(如下图7),这样就能随时发现哪个连接有可能是非法连接。
例如上图中本机的TCP 135端口正在监听,众所周知,135端口是RPC服务打开的端口,如果你把RPC服务停掉,虽然可以关闭135端口,但是计算机也就关机了。冲击波病毒利用的就是135端口,建议你使用第三方防火墙,设置外界不能连接本机的135端口。 注意:如果tcp协议的linsten在1025端口以上,则可能是木马,大家就要警惕了。例如上图灰鸽子打开了本机的TCP 2513端口进行监听,这是主动连接方式(非反弹连接),你可以断定这是非法连接。此时你应该右击该连接,选择连接属性,记录下执行文件的名称和位置,然后选择“End Process”结束连接,最后再删除对应的执行文件。
[上一页] [1] [2] [3] [4] [5] [6] [7]
|