你在網路上衝浪,別人和你聊天,你發電子郵件,必須要有共同的協議,這個協議就是TCP/IP協議,任何網路軟體的通訊都基於TCP/IP協議。如果把互 連網比作公路網,電腦就是路邊的房屋,房屋要有門你才可以進出,TCP/IP協議規定,電腦可以有256乘以256扇門,即從0到65535號 “門”,TCP/IP協議把它叫作“連接埠”。當你發電子郵件的時候,E-mail軟體把信件送到了郵件伺服器的25號連接埠,當你收信的時候,E-mail 軟體是從郵件伺服器的110號連接埠這扇門進去取信的,你現在看到的我寫的東西,是進入伺服器的80連接埠。新安裝好的個人電腦開啟的連接埠號碼是139連接埠,你 上網的時候,就是通過這個連接埠與外界聯
系的。駭客不是神仙,他也是--- 通過連接埠進入你的電腦
駭客是怎麼樣進入你的電腦的 呢?當然也是基於TCP/IP協議通過某個連接埠進入你的個人電腦的。如果你的電腦設定了共用目錄,那麼駭客就可以通過139連接埠進入你的電腦,注 意!WINDOWS有個缺陷,就算你的共用目錄設定了多少長的密碼,幾秒鐘時間就可以進入你的電腦,所以,你最好不要設定共用目錄,不允許別人瀏覽你的電 腦上的資料。除了139連接埠以外,如果沒有別的連接埠是開放的,駭客就不能入侵你的個人電腦。那麼駭客是怎麼樣才會進到你的電腦中來的呢?答案是通過特洛伊 木馬進入你的電腦。如果你不小心運行了特洛伊木馬,你的電腦的某個連接埠就會開放,駭客就通過這個連接埠進入你的電腦。舉個例子,有一種典型的木馬軟體,叫做 netspy.exe。如果你不小心運行netspy.exe,那麼它就會告訴WINDOWS,以後每次開電腦的時候都要運行它,然 後,netspy.exe又在你的電腦上開了一扇“門”,“門”的編號是7306連接埠,如果駭客知道你的7306連接埠是開放的話,就可以用軟體偷偷進入到 你的電腦中來了。特洛伊木馬本身就是為了入侵個人電腦而做的,藏在電腦中和工作的時候是很隱形,它的運行和駭客的入侵,不會在電腦的螢幕上顯示出任何痕 跡。WINDOWS本身沒有監視網路的軟體,所以不藉助軟體,是不知道特洛伊木馬的存在和駭客的入侵。接下來,奇奇就讓你利用軟體---- 如何發現自己電腦中的木馬
奇奇再以netspy.exe為例,現在知道netspy.exe開啟了電腦的7306連接埠,要想知道自己的 電腦是不是中netspy.exe,只要敲敲7306這扇“門”就可以了。你先開啟C:/WINDOWS/WINIPCFG.EXE程式,找到自己的IP 位址(比如你的IP地址是10.10.10.10),然後開啟瀏覽器,在瀏覽的地址欄中輸入 http://10.10.10.10:7306/, 如果瀏覽器告訴你串連不上,說明你的電腦的7306連接埠沒有開放,如果瀏覽器能串連上,並且在瀏覽器中跳出一排英文字,說的netspy.exe的版本, 那麼你的電腦中了netspy.exe木馬了。這是最簡單最直接的辦法,但是需要你知道各種木馬所開放的連接埠,奇奇已知下列連接埠是木馬開放的:7306、 7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木馬連接埠,也還是不能完 全防範這些木馬的,我們需要---- 進一步尋找木馬
奇奇曾經做了一個實驗:我知道netspy.exe開放的是7306連接埠,於是我 用工具把它的連接埠修改了,經過修改的木馬開放的是7777連接埠了,你現在再用老辦法是找不到netspy.exe木馬了。於是我們可以用掃描自己的電腦的 辦法看看電腦有多少連接埠開放著,並且再分析這些開放的連接埠。
前面講了電腦的連接埠是從0到65535為止,其中139連接埠是正常的,首先 找個連接埠掃描器,奇奇推薦“代理獵手”,你上網以後,找到自己的IP地址,現在請關閉正在啟動並執行網路軟體,因為可能開放的連接埠會被誤認為是木馬的連接埠,然 後讓代理獵手對0到65535連接埠掃描,如果除了139連接埠以外還有其他的連接埠開放,那麼很可能是木馬造成的。
排除了139連接埠以外的連接埠,你可以進一步分析了,用瀏覽器進入這個連接埠看看,它會做出什麼樣的反映,你可以根據情況再判斷了。
掃描這麼多連接埠是不是很累,需要半個多小時傻等了,現在好了,我漢化了一個線程監視器,Tcpview.exe可以看電腦有什麼連接埠是開放的,除了139連接埠以外,還有別的連接埠開放,你就可以分析了,如果判定自己的電腦中了木馬,那麼,你就得---- 在硬碟上刪除木馬
最簡單的辦法當然是用殺毒軟體刪除木馬了,Netvrv病毒防護牆可以幫你刪除netspy.exe和bo.exe木馬,但是不能刪除netbus木馬。
下面就netbus木馬為例講講刪除的經過。
簡單介紹一下netbus木馬,netbus木馬的用戶端有兩種,開放的都是12345連接埠,一種以M
ring.exe為代表(472,576位元組),一種以SysEdit.exe為代表(494,592位元組)。
Mring.exe一旦被運行以後,Mring.exe就告訴WINDOWS,每次啟動就將它運行,WINDOWS將它放在了註冊表中,你可以開啟C:/WINDOWS/REGEDIT.EXE進入HKEY_LOCAL_MACHINE/Softw
are/Microsoft /Windows/CurrentVersion/Run找到Mring.exe然後刪除這個健值,你再到WINDOWS中找到Mring.exe刪除。 注意了,Mring.exe可能會被駭客改變名字,位元組長度也被改變了,但是在註冊表中的位置不會改變,你可以到註冊表的這個位置去找。
另外,你可以找包含有“netbus”字元的可執行檔,再看位元組的長度,我查過了,WINDOWS和其他的一些應用軟體沒有包含“netbus”字元的,被你找到的檔案多半就是Mring.exe的變種。
SysEdit.exe 被運行以後,並不加到WINDOWS的註冊表中,也不會自動掛到其他程式中,於是有人認為這是傻瓜木馬,奇奇倒認為這是最最可惡、最最陰險的木馬。別的木 馬被加到了註冊表中,你就有痕迹可查了,就連專家們認為最最兇惡的BO木馬也可以輕而易舉地被我們從註冊表中刪除。
而 SysEdit.exe要是掛在其他的軟體中,只要你不碰這個軟體,SysEdit.exe也就不發作,一旦運行了被安裝SysEdit.exe的程式 SysEdit.exe也同時啟動了。奇奇在自己的電腦中做了這樣一個實驗,將SysEdit.exe和C:/WINDOWS/SYSTEM /Abcwin.exe捆綁起來,Abcwin.
exe是智能ABCIME,當我開啟電腦到上網,只要沒有開啟智能ABCIME打字聊 天,SysEdit.exe也就沒有被運行,你就不能進入我的12345連接埠,如果我什麼時候想打字了,一旦啟動智能ABCIME (Abcwin.exe),那麼捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了,我的12345連接埠被開啟,別人就可以黑到我的電 腦中來了。同樣道理,SysEdit.exe可以被捆綁到網路傳呼機、信箱工具等網路工具上,甚至可以捆綁到撥號工具上,電腦中的幾百的程式中,你知道會 在什麼地方發現它嗎?所以我說這是最最陰險的木馬,讓人防不勝防。
有的時候知道自己中了netbus木馬,特別是 SysEdit.exe,能發現12345連接埠被開放,並且可以用netbus用戶端軟體進入自己的電腦,卻不知道木馬在什麼地方。這時候,你可以檢視內 存,請開啟C:/WINDOWS/DRWATSON.EXE,然後對記憶體拍照,查看“進階視圖”中的“
任務”標籤,“程式”欄中列出的就是正在啟動並執行程式,要是發現可疑的程式,再看“路徑”欄,找到這個程式,分析它,你就知道是不是木馬了。SysEdit.exe雖然可以公開在其他的程式後面,但是在C:/WINDOWS/DRWATSON.EXE中還是暴露了。
好 了,來回顧一下,要知道自己的電腦中有沒有木馬,只要看看有沒有可疑連接埠被開放,用代理獵手、Tcpview.exe都可以知道。要尋找木馬,一是可以到 註冊表的指定位置去找,二是可以尋找包含相應的可執行程式,比如,被開放的連接埠是7306,就找包含“netspy”的可執行程式,三是檢視記憶體,看有沒 有可以的程式在記憶體中。
你的電腦上的木馬,來源有兩種,一種是你自己不小心,運行了包含有木馬的程式,另一種情況是,“網友”送給你“好玩”的程式。所以,你以後要小心了,要弄清楚了是什麼程式再運行,安裝容易排除難呀。