如何檢測和刪除係統中的木馬(doc 6頁)

如何檢測和刪除係統中的木馬內容提要：
一、木馬（Trojan Horse）介紹
　　木馬全稱為特洛伊木馬（Trojan Horse，英文則簡稱為Trojan）。此詞語來源於古希臘的神話故事，傳說希臘人圍攻特洛伊城，久久不能得手。後來想出了一個木馬計，讓士兵藏匿於巨大的木馬中。大部隊假裝撤退而將木馬擯棄於特洛伊城下，讓敵人將其作為戰利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放鬆警惕的時候從木馬中爬出來，與城外的部隊裏應外合而攻下了特洛伊城。
　　在計算機安全學中，特洛伊木馬是指一種計算機程序，表麵上或實際上有某種有用的功能，而含有隱藏的可以控製用戶計算機係統、危害係統安全的功能，可能造成用戶資料的泄漏、破壞或整個係統的崩潰。在一定程度上，木馬也可以稱為是計算機病毒。
　　由於很多用戶對計算機安全問題了解不多，所以並不知道自己的計算機是否中了木馬或者如何刪除木馬。雖然現在市麵上有很多新版殺毒軟件都稱可以自動清除木馬病毒，但它們並不能防範新出現的木馬病毒（哪怕宣傳上稱有查殺未知病毒的功能）。而且實際的使用效果也並不理想。比如用某些殺毒軟件卸載木馬後，係統不能正常工作，或根本發現不了經過特殊處理的木馬程序。本人就測試過一些經編程人員改裝過的著名木馬程序，新的查殺毒軟件是連檢查都檢測不到，更不用說要刪除它了（哪怕是使用的是的病毒庫）。因此最關鍵的還是要知道特洛伊木馬的工作原理，由其原理著手自己來檢測木馬和刪除木馬。用手工的方法極易發現係統中藏匿的特洛伊木馬，再根據其藏匿的方式對其進行刪除。
二、木馬工作的原理
　　在Windows係統中，木馬一般作為一個網絡服務程序在種了木馬的機器後台運行，監聽本機一些特定端口，這個端口號多數比較大（5000以上，但也有部分是5000以下的）。當該木馬相應的客戶端程序在此端口上請求連接時，它會與客戶程序建立一TCP連接，從而被客戶端遠程控製。
　　既然是木馬，當然不會那麼容易讓你看出破綻，對於程序設計人員來說，要隱藏自己所設計的窗口程序，主要途徑有：在任務欄中將窗口隱藏，這個隻要把 Form的Visible屬性調整為False，ShowInTaskBar也設為False。那麼程序運行時就不會出現在任務欄中了。如果要在任務管理器中隱身，隻要將程序調整為係統服務程序就可以了。
　　好了，現在我們對木馬的運行有了大體了解。讓我們從其運行原理著手來看看它藏在哪。既然要作為後台的網絡服務器運行，那麼它就要乘計算機剛開機的時候得到運行，進而常駐內存中。想一想，Windows係統剛啟動的時候會通過什麼項目裝入而運行一些程序呢？你可能會想到“開始->程序->啟動”中的項目！沒錯，這是Windows啟動時要運行的東西，但要是木馬服務器程序明顯地放在這就不叫木馬了。
..............................