木马病毒名字的起源
你好!木马(Trojan)这个名字来源于古希腊传说,它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
我想知道什么是木马 木马都是病毒么 具体一些 谢谢
木马实际上是一种远程控制软件,国外叫特洛依,名字的来源是由于古代攻城的时候,由埋伏在城里的“特洛依”,国外的叫法,应该是伪装的起来的兵士,接应城外的军队攻克城堡。所以“木马”一词应该含有“隐蔽”和“接应”的意思。
国外比较有名的木马是前几年流行的“冰河”,这是一个比较优秀的国产木马。现在木马有很多种,象“广外幽灵”,“蓝色火焰”,“网络神偷”等,最近又新出一个比较优秀的国产木马程序-“灰鸽子”。
木马的神奇之处在于其隐蔽性和强大的网络通讯功能。在现在,很多木马已经变成了病毒的一种,成为各种杀毒软件追杀的对象。不过这只限于那些知道的木马,又很多未知或新出的木马程序一时还查杀不了。
木马是一种运行在计算机中的程序,一个木马程序通常由两部分组成:客户端和服务端。服务端是运行在被控制计算机上的程序,通常做得很小而且很隐蔽,以病毒的形式存在,开机的时候可以自动随计算机启动,没有专门的查杀软件或者不经过细致的分析很难查杀。而客户端则是安装在控制方使用机器上的一个程序,通常都做成图形界面,这样,在安装了客户端的机器上就可以操纵安装了服务端的机器(或者称中了木马病毒的机器),象查看对方的屏幕,窃取对方的密码,让对方死机等等,总之,凡是程序可以达到的功能,木马都可以做到,这就是所谓的远程控制,即用一台机器控制另外一台机器,只要这两台机器可以互相访问。
木马的传输协议一般采用TCP/IP通讯协议,象常用的QQ通讯软件,也是采用该协议,还有采用UDP协议的。
木马一般都是很隐蔽的,现在的木马功能越来越强,而且不容易发现,中了木马的机器是很危险的,因为你很有可能已经被另外一个人操纵了你的机器,这样你的密码等机密就可能泄漏。
对付木马比较有效的办法是安装防火墙,但防火墙也不安全,因为有些木马已经有针对性地破坏防火墙的某些功能,可以穿过防火墙和外界发生连接。
很多电脑初学者被人装了木马程序也不知道,所以,安全问题是最重要的,除了用杀毒软件查杀外,还要平时留心一点,这样能更有效的保护你的信息不致泄漏。
它可以远程控制,可以匿名控制远程计算机,窃取数据
例如"神速木马"( Trojan.Mumu )它可以盗取“奇迹”和“传奇”账号的密码的木马病毒。
该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解(带有一个简单密码字典)
当发现有破解出的密码后,病毒将自己复制到对方的系统利用psexec并启动。病毒还将盗取到的账
号密码发送到.com上指定的信箱。
手动清除方法:
先用任务管理器杀死last.exe进程和mumu.exe进程。
注册表清除:
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Folder Service
键值为:qjinfo.exe
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kernel
键值为:%winDir%bboy.exe
文件清除:
%windir%bboy.exe
%systemdir%last.exe
%systemdir%bboy.dll hook函数(盗密码)
%systemdir%mumu.exe
%systemdir%qjinfo.ini 记录下的游戏账号密码
瑞星建议
1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报, 这样才能真正保障计算机的安全
还有"QQ木马"( Trojan.Pwd.Oicq.c )这是一个盗窃oicq密码的木马。病毒将自己拷贝到系统目录,命名为SCANREGW.EXE,并登记为自启动,随windows启动而运行。挂结钩子,不停的取得窗口标题,如果和oicq相关,记录oicq密码。还会提示用户:http://18x.net.tf去看看我的照片。
也有比较常见的特洛伊木马 (Zelu特洛伊木马)Zelu特洛伊木马是以一个名为Y2K.EXE的可执行文件进入计算机系统。病毒发作后,它会遍历所有驱动器记录的文
件,并用以下信息覆盖所有文件:
" This file is sick! It was contaminated by the radiation liberated...
by the explosion of the atomic bomb... "。
随着受破坏的文件被覆盖,这些文件的内容将不能再恢复且永远丢失。
现象:
当此特洛伊木马执行后,它将显示如下字符:"ChipTec Y2K - Freeware Version",同时屏幕中心显示如下状态信息:
- Timer
- Device Drivers
- File System
- BIOS
屏幕底部显示以下内容:
Y2K Copyright (C) 1999 - 2002 ChipTec
All Rights Reserved
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
答案 就是一个隐藏在你电脑里监视你电脑的软件,也可以说是病毒
木马就是一种程序。黑客利用此程序达到控制你电脑的目的。盗各种帐号。恶意破坏之类
病毒木马来自于哪里?
识别电脑的病毒: 1、系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。 3、木马病毒、黑客病毒 木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。 4、脚本病毒 脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 5、宏病毒 其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。 6、后门病毒 后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 8.破坏性程序病毒 破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 9.玩笑病毒 玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。 10.捆绑机病毒 捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。
木马病毒是什么/
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
木马病毒的来源
木马病毒是一种人为的程序,木马的作用是赤裸裸的偷监视别人和盗窃别人密码,数据等,是指通过特定的程序(木马程序)来控制另一台计算机。木马这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。
随着网络的发展和使用,木马的泛滥也表现在:1在线游戏,网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。利用木马病毒盗取网游帐号、密码。2网银交易,编写木马病毒,目的是盗取用户的卡号、密码,甚至安全证书。
什么是木马病毒?
什么是木马- -
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。