安裝第三方防火牆和防毒軟體 駭客是基於TCP/IP協議透過某個埠進入你的個人電腦的。如果你的電腦設定了共享目錄,那麼駭客就可以透過139埠進入你的電腦,注意!WINDOWS有個缺陷,就算你的共享目錄設定了多少長的密碼,幾秒鐘時間就可以進入你的電腦,所以,你最好不要設定共享目錄,不允許別人瀏覽你的電腦上的資料。除了139埠以外,如果沒有別的埠是開放的,駭客就不能入侵你的個人電腦。那麼駭客是怎麼樣才會進到你的電腦中來的呢?答案是透過特洛伊木馬進入你的電腦。如果你不小心運行了特洛伊木馬,你的電腦的某個埠就會開放,駭客就透過這個埠進入你的電腦。舉個例子,有一種典型的木馬軟體,叫做netspy.exe。如果你不小心運行了netspy.exe,那麼它就會告訴WINDOWS,以後每次開電腦的時候都要執行它,然後,netspy.exe又在你的電腦上開了一扇“門”,“門”的編號是7306埠,如果駭客知道你的7306埠是開放的話,就可以用軟體偷偷進入到你的電腦中來了。特洛伊木馬本身就是為了入侵個人電腦而做的,藏在電腦中和工作的時候是很隱蔽的,它的執行和駭客的入侵,不會在電腦的螢幕上顯示出任何痕跡。WINDOWS本身沒有監視網路的軟體,所以不借助軟體,是不知道特洛伊木馬的存在和駭客的入侵。接下來,就來說利用軟體如何發現自己電腦中的木馬.如何發現自己電腦中的木馬再以netspy.exe為例,現在知道netspy.exe打開了電腦的7306埠,要想知道自己的電腦是不是中netspy.exe,只要敲敲7306這扇“門”就可以了。你先開啟C:\WINDOWS\WINIPCFG.EXE程式,找到自己的IP地址(比如你的IP地址是10.10.10.10),然後開啟瀏覽器,在瀏覽器的位址列中輸入
http://10.10.10.10:7306/
安裝第三方防火牆和防毒軟體 駭客是基於TCP/IP協議透過某個埠進入你的個人電腦的。如果你的電腦設定了共享目錄,那麼駭客就可以透過139埠進入你的電腦,注意!WINDOWS有個缺陷,就算你的共享目錄設定了多少長的密碼,幾秒鐘時間就可以進入你的電腦,所以,你最好不要設定共享目錄,不允許別人瀏覽你的電腦上的資料。除了139埠以外,如果沒有別的埠是開放的,駭客就不能入侵你的個人電腦。那麼駭客是怎麼樣才會進到你的電腦中來的呢?答案是透過特洛伊木馬進入你的電腦。如果你不小心運行了特洛伊木馬,你的電腦的某個埠就會開放,駭客就透過這個埠進入你的電腦。舉個例子,有一種典型的木馬軟體,叫做netspy.exe。如果你不小心運行了netspy.exe,那麼它就會告訴WINDOWS,以後每次開電腦的時候都要執行它,然後,netspy.exe又在你的電腦上開了一扇“門”,“門”的編號是7306埠,如果駭客知道你的7306埠是開放的話,就可以用軟體偷偷進入到你的電腦中來了。特洛伊木馬本身就是為了入侵個人電腦而做的,藏在電腦中和工作的時候是很隱蔽的,它的執行和駭客的入侵,不會在電腦的螢幕上顯示出任何痕跡。WINDOWS本身沒有監視網路的軟體,所以不借助軟體,是不知道特洛伊木馬的存在和駭客的入侵。接下來,就來說利用軟體如何發現自己電腦中的木馬.如何發現自己電腦中的木馬再以netspy.exe為例,現在知道netspy.exe打開了電腦的7306埠,要想知道自己的電腦是不是中netspy.exe,只要敲敲7306這扇“門”就可以了。你先開啟C:\WINDOWS\WINIPCFG.EXE程式,找到自己的IP地址(比如你的IP地址是10.10.10.10),然後開啟瀏覽器,在瀏覽器的位址列中輸入
http://10.10.10.10:7306/
,如果瀏...��查詢木馬.進一步查詢木馬讓我們做一個試驗:netspy.exe開放的是7306埠,用工具把它的埠修改了,經過修改的木馬開放的是7777埠了,現在再用老辦法是找不到netspy.exe木馬了。我們可以用掃描自己的電腦的辦法看看電腦有多少埠開放著,並且再分析這些開放的埠。 前面講了電腦的埠是從0到65535為止,其中139埠是正常的,首先找個埠掃描器,推薦“代理獵手”,你上網以後,找到自己的IP地址,現在請關閉正在執行的網路軟體,因為可能開放的埠會被誤認為是木馬的埠,然後讓代理獵手對0到65535埠掃描,如果除了139埠以外還有其他的埠開放,那麼很可能是木馬造成的。 排除了139埠以外的埠,你可以進一步分析了,用瀏覽器進入這個埠看看,它會做出什麼樣的反映,你可以根據情況再判斷了。 掃描這麼多埠是不是很累,需要半個多小時,Tcpview.exe可以看電腦有什麼埠是開放的,除了139埠以外,還有別的埠開放,你就可以分析了,如果判定自己的電腦中了木馬,那麼,你就得在硬碟上刪除木馬.在硬碟上刪除木馬最簡單的辦法當然是用防毒軟體刪除木馬了,Netvrv病毒防護牆可以幫你刪除netspy.exe和bo.exe木馬,但是不能刪除netbus木馬。 下面就netbus木馬為例講講刪除的經過。 簡單介紹一下netbus木馬,netbus木馬的客戶端有兩種,開放的都是12345埠,一種以Mring.exe為代表(472,576位元組),一種以SysEdit.exe為代表(494,592位元組)。 Mring.exe一旦被執行以後,Mring.exe就告訴WINDOWS,每次啟動就將它執行,WINDOWS將它放在了登錄檔中,你可以開啟C:\WINDOWS\REGEDIT.EXE進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然後刪除這個健值,你再到WINDOWS中找到Mring.exe刪除。注意了,Mring.exe可能會被駭客改變名字,位元組長度也被改變了,但是在登錄檔 中的位置不會改變,你可以到登錄檔的這個位置去找。 另外,你可以找包含有“netbus”字元的可執行檔案,再看位元組的長度,我查過了,WINDOWS和其他的一些應用軟體沒有包含“netbus”字元的,被你找到的檔案多半就是Mring.exe的變種。 SysEdit.exe被執行以後,並不加到WINDOWS的登錄檔中,也不會自動掛到其他程式中,於是有人認為這是無害的木馬,其實這是最可惡、最陰險的木馬。別的木馬被加到了登錄檔中,你就有痕跡可查了,就連專家們認為最兇惡的BO木馬也可以輕而易舉地被我們從登錄檔中刪除。 而SysEdit.exe要是掛在其他的軟體中,只要你不碰這個軟體,SysEdit.exe也就不發作,一旦運行了被安裝SysEdit.exe的程式,SysEdit.exe也同時啟動了。我們再來作做這樣一個實驗,將SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆綁起來,Abcwin.exe是智慧ABC輸入法,當我開啟電腦到上網,只要沒有開啟智慧ABC輸入法打字聊天,SysEdit.exe也就沒有被執行,你就不能進入我的12345埠,如果我什麼時候想打字了,一旦啟動智慧ABC輸入法(Abcwin.exe),那麼捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了,我的12345埠被開啟,別人就可以黑到我的電腦中來了。同樣道理,SysEdit.exe可以被捆綁到網路傳呼機、信箱工具等網路工具上,甚至可以捆綁到撥號工具上,電腦中的幾百的程式中,你知道會在什麼地方發現它嗎?所以我說這是最最陰險的木馬,讓人防不勝防。 有的時候知道自己中了netbus木馬,特別是SysEdit.exe,能發現12345埠被開放,並且可以用netbus客戶端軟體進入自己的電腦,卻不知道木馬在什麼地方。這時候,你可以檢視記憶體,請開啟C:\WINDOWS\DRWATSON.EXE,然後對記憶體拍照,檢視“高階檢視”中的“任務”標籤,“程式”欄中列出的就是正在執行的程式,要是發現可疑的程式,再看“路徑”欄,找到這個程式,分析它,你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程式後面,但是在C:\WINDOWS\DRWATSON.EXE中還是暴露了。 好了,來回顧一下,要知道自己的電腦中有沒有木馬,只要看看有沒有可疑埠被開放,用代理獵手、Tcpview.exe都可以知道。要查詢木馬,一是可以到登錄檔的指定位置去找,二是可以查詢包含相應的可執行程式,比如,被開放的埠是7306,就找包含“netspy”的可執行程式,三是檢視記憶體,看有沒有可以的程式在記憶體中。 你的電腦上的木馬,來源有兩種,一種是你自己不小心,運行了包含有木馬的程式,另一種情況是,“網友”送給你“好玩”的程式。所以,你以後要小心了,要弄清楚了是什麼程式再執行,安裝容易排除難呀。?nbsp; 排除了木馬以後,你就可以監視埠,---- 悄悄等待駭客的來臨.