如何查自己的木馬程序

① 木馬的檢測

木馬的檢測、清除與防範
來源：CNCERT/CC廣東分中心編寫

木馬程序不同於病毒程序，通常並不象病毒程序那樣感染文件。木馬一般是以尋找後門、
竊取密碼和重要文件為主，還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作，具有很強的隱蔽性、
突發性和攻擊性。由於木馬具有很強的隱蔽性，用戶往往是在自己的密碼被盜、
機密文件丟失的情況下才知道自己中了木馬。在這里將介紹如何檢測自己的機子是否中了木馬，
如何對木馬進行清除和防範。

木馬檢測

1、查看開放埠

當前最為常見的木馬通常是基於TCP/UDP協議進行Client端與Server端之間的通訊的，
這樣我們就可以通過查看在本機上開放的埠，看是否有可疑的程序打開了某個可疑的埠。
例如冰河使用的監聽埠是7626，Back Orifice 2000使用的監聽埠是54320等。
假如查看到有可疑的程序在利用可疑埠進行連接，則很有可能就是中了木馬。
查看埠的方法有幾種：

(1)使用Windows本身自帶的netstat命令

C:\>netstat -an
Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\software>Fport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
420 svchost -> 135 TCP E:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
768 MSTask -> 1025 TCP E:\WINNT\system32\MSTask.exe
8 System -> 1027 TCP
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
256 lsass -> 500 UDP E:\WINNT\system32\lsass.exe

(3)使用圖形化界面工具Active Ports

這個工具可以監視到電腦所有打開的TCP/IP/UDP埠，還可以顯示所有埠所對應的程序所在的路徑，
本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。這個工具適用於Windows NT/2000/XP平台。

2、查看win.ini和system.ini系統配置文件

查看win.ini和system.ini文件是否有被修改的地方。
例如有的木馬通過修改win.ini文件中windows節 的「load=file.exe ，run=file.exe」語句進行自動載入。
此外可以修改system.ini中的boot節，實現木馬載入。
例如 「妖之吻」 病毒，將「Shell=Explorer.exe」 （Windows系統的圖形界面命令解釋器）
修改成「Shell=yzw.exe」，在電腦每次啟動後就自動運行程序yzw.exe。
修改的方法是將「shell=yzw.exe」還原為「shell=explorer.exe」就可以了。

3、查看啟動程序

如果木馬自動載入的文件是直接通過在Windows菜單上自定義添加的，
一般都會放在主菜單的「開始->程序->啟動」處，
在Win98資源管理器里的位置是「C:\windows\start menu\programs\啟動」處。
通過這種方式使文件自動載入時，一般都會將其存放在注冊表中下述4個位置上：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。
在Win98系統下，還可以直接運行Msconfig命令查看啟動程序和system.ini、win.ini、autoexec.bat等
文件。

4、查看系統進程

木馬即使再狡猾，它也是一個應用程序，需要進程來執行。可以通過查看系統進程來推斷木馬是否存在。
在Windows NT/XP系統下，按下「CTL+ALT+DEL」，進入任務管理器，就可看到系統正在運行的全部進程。
在Win98下，可以通過Prcview和winproc工具來查看進程。查看進程中，要求你要對系統非常熟悉，
對每個系統運行的進程要知道它是做什麼用的，這樣，木馬運行時，
就很容易看出來哪個是木馬程序的活動進程了。

5、查看注冊表

木馬一旦被載入，一般都會對注冊表進行修改。一般來說，
木馬在注冊表中實現載入文件一般是在以下等處：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunServices
此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
「「%1」 %*」處，如果其中的「%1」被修改為木馬，那麼每次啟動一個該可執行文件時木馬就會啟動一次，
例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件，
每次打開記事本時就會自動啟動冰河木馬，做得非常隱蔽。
還有「廣外女生」木馬就是在HKEY_CLASSES_ROOT\exefile\shell\open
\command=「「%1」 %*」處將其默認鍵值改成"%1" %*"，
並在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices添加了名稱為"Diagnostic Configuration"的鍵值；

6、使用檢測軟體

上面介紹的是手工檢測木馬的方法，此外，我們還可以通過各種殺毒軟體、
防火牆軟體和各種木馬查殺工具等檢測木馬。各種殺毒軟體主要有：KV3000,Kill3000、瑞星等，
防火牆軟體主要有國外的Lockdown，國內的天網、金山網鏢等，各種木馬查殺工具主要有：The Cleaner、
木馬剋星、木馬終結者等。這里推薦一款工具防護工具McAfee VirusScan ，
它集合了入侵防衛及防火牆技術，為個人電腦和文件伺服器提供全面的病毒防護。

木馬清除
檢測到電腦中了木馬後，就要根據木馬的特徵來進行清除。查看是否有可疑的啟動程序、
可疑的進程存在，是否修改了win.ini、system.ini系統配置文件和注冊表。
如果存在可疑的程序和進程，就按照特定的方法進行清除。
主要的步驟都不外乎以下幾個：
（但並不是所有的木馬清除都能夠根據下列步驟刪除，這里只是介紹清除木馬的基本方法）

1、刪除可疑的啟動程序

查看系統啟動程序和注冊表是否存在可疑的程序後，判斷是否中了木馬，
如果存在木馬，則除了要查出木馬文件並刪除外，還要將木馬自動啟動程序刪除。
例如Hack.Rbot病毒、後門就會拷貝自身到一些固定的windows自啟動項中：
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
查看一下這些目錄，如果有可疑的啟動程序，則將之刪除。

2、恢復win.ini和system.ini系統配置文件的原始配置

許多病毒會將win.ini和system.ini系統配置文件修改，使之能在系統啟動時載入和運行木馬程序。
例如電腦中了「妖之吻」病毒後，病毒會將system.ini中的boot節的
「Shell=Explorer.exe」欄位修改成「Shell=yzw.exe」,清除木馬的方法是把system.ini給恢復原始配置，
即「Shell=yzw.exe」修改回「Shell=Explorer.exe」，再刪除掉病毒文件即可。
TROJ_BADTRANS.A病毒，也會更改win.ini以便在下一次重新開機時執行木馬程序。
主要是將win.ini中的windows節的「Run=」欄位修改成「Run= C:%WINDIR%INETD.EXE」欄位。
執行清除的步驟如下：

（1）打開win.ini文本文件，將欄位「RUN=C:%WINDIR%INETD.EXE」中 等號後面的字元刪除，
僅保留「RUN=」。
（2）將被TROJ_BADTRANS.A病毒感染的文件刪除。

3、停止可疑的系統進程

木馬程序在運行時都會在系統進程中留下痕跡。通過查看系統進程可以發現運行的木馬程序，
在對木馬進行清除時，當然首先要停掉木馬程序的系統進程。
例如Hack.Rbot病毒、後門除了將自身拷貝到一些固定的windows自啟動項中外，
還在進程中運行wuamgrd.exe程序，修改了注冊表，以便病毒可隨機自啟動。
在看到有木馬程序在進程中運行，則需要馬上殺掉進程，並進行下一步操作，修改注冊表和清除木馬文件。

4、修改注冊表

查看注冊表，將注冊表中木馬修改的部分還原。例如上面所提到的Hack.Rbot病毒、後門，
向注冊表的以下地方：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
添加了鍵值"Microsoft Update" = "wuamgrd.exe"，以便病毒可隨機自啟動。
這就需要我們進入注冊表，將這個鍵值給刪除。注意：可能有些木馬會不允許執行.exe文件，
這樣我們就需要先將regedit.exe改成系統能夠運行的，比如可以改成regedit.com。
這里就說說如何清除Hack.Rbot病毒、後門的。

（1）將進程中運行的wuamgrd.exe進程停止，這是一個木馬程序；
（2）將Hack.Rbot拷貝到windows啟動項中的啟動文件刪除；
（3）將Hack.Rbot添加到注冊表中的鍵值"Microsoft Update"=
"wuamgrd.exe"刪除；
（4）手工或用專殺工具刪除被Hack.Rbot病毒感染的文件。並全面檢查系統。

5、使用殺毒軟體和木馬查殺工具進行木馬查殺

常用的殺毒軟體包括KV3000、瑞星、諾頓等，這些軟體對木馬的查殺是比較有效的，
但是要注意時刻更新病毒庫，而且對於一些木馬查殺不徹底，在系統重新啟動後還會自動載入。
此外，你還可以使用The Cleaner、木馬剋星、木馬終結者等各種木馬轉殺工具對木馬進行查殺。
這里推薦一款工具Anti-Trojan Shield，這是一款享譽歐洲的專業木馬偵測、攔截及清除軟體。
可以在http://www.atshield.com網站下載。

木馬防範
隨著網路的普及，硬體和軟體的高速發展，網路安全顯得日益重要。對於網路中比較流行的木馬程序，
傳播時間比較快，影響比較嚴重，因此對於木馬的防範就更不能疏忽。
我們在檢測清除木馬的同時，還要注意對木馬的預防，做到防範於未然。

1、不要隨意打開來歷不明的郵件

現在許多木馬都是通過郵件來傳播的，當你收到來歷不明的郵件時，請不要打開，應盡快刪除。
並加強郵件監控系統，拒收垃圾郵件。

2、不要隨意下載來歷不明的軟體

最好是在一些知名的網站下載軟體，不要下載和運行那些來歷不明的軟體。
在安裝軟體的同時最好用殺毒軟體查看有沒有病毒，之後才進行安裝。

3、及時修補漏洞和關閉可疑的埠

一般木馬都是通過漏洞在系統上打開埠留下後門，以便上傳木馬文件和執行代碼，
在把漏洞修補上的同時，需要對埠進行檢查，把可疑的埠關閉。

4、盡量少用共享文件夾

如果必須使用共享文件夾，則最好設置帳號和密碼保護。注意千萬不要將系統目錄設置成共享，
最好將系統下默認共享的目錄關閉。Windows系統默認情況下將目錄設置成共享狀態，這是非常危險的。

5、運行實時監控程序

在上網時最好運行反木馬實時監控程序和個人防火牆，並定時對系統進行病毒檢查。

6、經常升級系統和更新病毒庫

經常關注廠商網站的安全公告，這些網站通常都會及時的將漏洞、木馬和更新公布出來，
並第一時間發布補丁和新的病毒庫等。

採用注冊表來管理系統配置，主要是為了提高系統的穩定性，平時操作系統出現的一些問題，
諸如系統無法啟動、應用程序無法運行、系統不穩定等情況，很多都是因為注冊表出現錯誤而造成的，
而通過修改相應的數據就能解決這些問題，所以，掌握如何正確備份、恢復注冊表的方法，
可以讓每一個用戶更加得心應手地使用自己的電腦。

一、利用注冊表編輯器手工備份注冊表

注冊表編輯器（Regedit）是操作系統自帶的一款注冊表工具，通過它就能對注冊表進行各種修改。
當然，"備份"與"恢復"注冊表自然是它的本能了。

（1）通過注冊表編輯器備份注冊表
由於修改注冊表有時會危及系統的安全，因此不管是WINDOWS 98還是WINDOWS 2000甚至WINDOWS XP，
都把注冊表編輯器"藏"在了一個非常隱蔽的地方，要想"請"它出山，必須通過特殊的手段才行。
點擊"開始"菜單，選擇菜單上的"運行"選項，在彈出的"運行"窗口中輸入"Regedit"後，點擊"確定"按鈕，
這樣就啟動了注冊表編輯器。

點擊注冊表編輯器的"注冊表"菜單，再點擊"導出注冊表文件"選項，
在彈出的對話框中輸入文件名"regedit"，將"保存類型"選為"注冊表文件"，再將"導出范圍"設置為"全部"，
接下來選擇文件存儲位置，最後點擊"保存"按鈕，就可將系統的注冊表保存到硬碟上。

完成上述步驟後，找到剛才保存備份文件的那個文件夾，就會發現備份好的文件已經放在文件夾中了。

（2）在DOS下備份注冊表

當注冊表損壞後，WINDOWS（包括"安全模式"）無法進入，此時該怎麼辦呢？
在純DOS環境下進行注冊表的備份、恢復是另外一種補救措施，下面來看看在DOS環境下，
怎樣來備份、恢復注冊表。

在純DOS下通過注冊表編輯器備份與恢復注冊表前面已經講解了利用注冊表編輯器在WINDOWS環境下備份、
恢復注冊表，其實"Regedit.exe"這個注冊表編輯器不僅能在WINDOWS環境中運行，也能在DOS下使用。

雖然在DOS環境中的注冊表編輯器的功能沒有在WINDOWS環境中那麼強大，但是也有它的獨到之處。
比如說通過注冊表編輯器在WINDOWS中備份了注冊表，可系統出了問題之後，無法進入WINDOWS，
此時就可以在純DOS下通過注冊表編輯器來恢復注冊表。

應該說在DOS環境中備份注冊表的情況還是不多見的，一般在WINDOWS中備份就行了，
不過在一些特殊的情況下，這種方式就顯得很實用了。

進入DOS後，再進入C盤的WINDOWS目錄，在該目錄的提示符下輸入"regedit"後按回車鍵，
便能查看"regedit"的使用參數。

通過"Regedit"備份注冊表仍然需要用到"system.dat"和"user.dat"這兩個文件，
而該程序的具體命令格式是這樣的：
Regedit /L:system /R:user /E filename.reg Regpath

參數含義：
/L：system指定System.dat文件所在的路徑。
/R：user指定User.dat文件所在的路徑。
/E：此參數指定注冊表編輯器要進行導出注冊表操作，在此參數後面空一格，輸入導出注冊表的文件名。
Regpath：用來指定要導出哪個注冊表的分支，如果不指定，則將導出全部注冊表分支。在這些參數中
，"/L：system"和"/R：user"參數是可選項，如果不使用這兩個參數，
注冊表編輯器則認為是對WINDOWS目錄下的"system.dat"和"user.dat"文件進行操作。
如果是通過從軟盤啟動並進入DOS，
那麼就必須使用"/L"和"/R"參數來指定"system.dat"和"user.dat"文件的具體路徑，
否則注冊表編輯器將無法找到它們。

比如說，如果通過啟動盤進入DOS，
則備份注冊表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",
該命令的意思是把整個注冊表備份到WINDOWS目錄下，其文件名為"regedit.reg"。
而如果輸入的是"regedit /E D:\regedit.reg"這條命令，
則是說把整個注冊表備份到D盤的根目錄下（省略了"/L"和"/R"參數），其文件名為"Regedit.reg"。
（ 3）用注冊表檢查器備份注冊表
在DOS環境下的注冊表檢查器Scanreg.exe可以用來備份注冊表。

命令格式為：
Scanreg /backup /restore /comment

參數解釋：
/backup用來立即備份注冊表
/restore按照備份的時間以及日期顯示所有的備份文件
/comment在/restore中顯示同備份文件有關的部分

注意：在顯示備份的注冊表文件時，壓縮備份的文件以 .CAB文件列出，
CAB文件的後面單詞是Started或者是NotStarted，Started表示這個文件能夠成功啟動Windows，
是一個完好的備份文件，NotStarted表示文件沒有被用來啟動Windows，
因此還不能夠知道是否是一個完好備份。

比如：如果我們要查看所有的備份文件及同備份有關的部分，命令如下：
Scanreg /restore /comment

注冊表恢復

注冊表中存放著計算機軟硬體的配置信息，病毒、網頁惡意代碼往往要修改注冊表，
平時安裝、操作軟體也會使注冊表內容發生變化。當計算機工作不正常時，
往往可以通過恢復注冊表來修復。所以，平時我們應經常備份注冊表(運行regedit，導出注冊表文件)。
這樣，需要時就可以導入過去某個備份，使電腦恢復正常。
如果平時沒有導出注冊表，則只好通過運行 scanreg /restore來恢復注冊表，
或運行scanreg
/fix來修復注冊表。不過該命令應該在DOS下執行。對於win98系統，開機時按F8，
選擇Command Prompt
Only進入DOS；對於WinMe系統，則可以運行Command進入DOS。當然，也可以用軟盤引導系統，
進入C:\windows\command子目錄，然後執行上述修復注冊表的命令。
目前網頁惡意代碼最可惡的破壞行為之一是在注冊表中禁止了程序運行。
此時因IE無法運行，不能使用在線自動修復；且「微機數據維護」等修復軟體也不能運行；
同樣也不能導入注冊表文件來修復注冊表。此時唯一的辦法就是在DOS下運行C:\windows
scanreg /restore來修復注冊表。

② 如何才能知道電腦有沒有中「木馬病毒」

具體如下:

一、CPU的利用率在電腦沒有處理任何任務的時候通常都是百分之零到百分之一的如果系統沒有運行任何程序和任務而且利用率超過10%那一定是有古怪的，這個時候就千萬要注意了。

二、進程，電腦在沒有任何處理任務和程序的時候一般進程都是很熟悉的，如果進程中有很多莫名其妙的點exe的進程那麼這個時候可要注意了。一般系統進程都是很標準的英文或者英文所限，例如alg.exe，如果實在無法判斷某一個進程是否為病毒木馬程序，可以把這個進程的名字記下來，網路一下馬上就會有答案了！

三、看網路流量及埠號

看網路流量這里以360防火牆為例吧