冰河木马专杀方法
你是怎样看待黑客及黑客现象的?崇拜?不齿?还是畏惧?本系列将向你介绍常用的黑客工具及其防御方法。这些黑客工具对我们普通用户的杀伤力是非常大的,因此有必要介绍一下它们的特点及防御方法。www.sq120.com推荐文章
本系列列出了几种有代表性的黑客工具,我们真正要掌握的当然不是如何使用这些黑客工具,而是通过它们了解黑客攻击手段,掌握防范黑客攻击的方法,堵住可能出现的各种漏洞。
冰河
冰河是常见的国产木马程序之一。说句心里话,如果这个软件做成规规矩矩的商业用远程控制软件,绝对不会逊于那个体积庞大、操作复杂的PCanywhere,但可惜的是,它最终变成了黑客常用的工具。
冰河的服务器端(被控端)和客户端(控制端)都是一个可执行文件,客户端的图标是一把瑞士军刀,服务器端则看起来是个没什么大不了的微不足道的程序,但就是这个程序,足以让你的电脑成为别人的掌中之物。某台电脑执行了服务器端软件后,该电脑的7626端口(默认)就对外开放了,如果在客户端输入这台电脑的IP地址,就能完全控制这台电脑。
由于个人电脑每次上网的IP地址都是随机分配的,所以客户端软件有一个“自动搜索”功能,可以自动扫描某个IP段受感染的电脑,一旦找到,这台电脑就尽在黑客的掌握之中了。由于冰河程序传播比较广泛,所以一般情况下,几分钟之内就能找到一个感染了冰河的受害者。Www.itCOmpuTeR.cOm.cN
防御措施
首先不要轻易运行来历不明的软件,只要服务器端不被运行,冰河再厉害也是有力使不出,这一点非常重要。其次由于冰河的广泛流行,使得大多数杀毒软件可以查杀冰河,因此在运行一个新软件之前用杀毒软件查查是很必要的。
但由于该软件变种很多,杀毒软件如果不及时升级,难免会有遗漏,因此要保证你使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以。安装并运行防火墙,如此则能相对安全一些。
中冰河木马怎么办 网速明显下降,有时候甚至连网页都无法打开。接着是自己并没有对系统进行任何的操作,但是硬盘灯却闪个不停。甚至还有更夸张的,比如突然鼠标自己动起来,并且有规律地移动;桌面打开的窗口也不时地突然最大化、最小化、或关闭窗口;甚至有人突然给你发送一些莫名其妙的信息。
虽然通过系统的NET SEND命令可以发送信息,但我早已经将系统的Messenger服务停止了,所以不可能接受到使用这种方式传送的信息。升级杀毒软件的病毒库,以求查杀这个木马。可令我失望的是,一个病毒也没有查到。
查找木马线索
既然怀疑是木马捣鬼,我开始查找可能的蛛丝马迹。首先打开命令提示符,输入命令netstat -ano后查看结果,结果发现系统开放了一个4466的TCP可疑端口。为了了解是什么程序开放的这个端口,我马上上网通过搜索引擎进行查找,结果一无所获。于是怀疑可能是某种全新的木马程序,因为现在的木马程序很多都包括自定义端口的选项。
我从刚才的结果中得知,开放这个端口进程的PID是1844。于是马上调出Windows 任务管理器,从进程列表中找到PID为1844的进程,进程名称是svch0st.exe。表面上看svch0st.exe和常见的系统进程svchost.exe差不多,但入侵者利用普通用户对系统进程的不了解,利用阿拉伯数字1和0,来代替英文字母I和O,使我差点误认为svch0st.exe是系统进程。
本系列列出了几种有代表性的黑客工具,我们真正要掌握的当然不是如何使用这些黑客工具,而是通过它们了解黑客攻击手段,掌握防范黑客攻击的方法,堵住可能出现的各种漏洞。
冰河
冰河是常见的国产木马程序之一。说句心里话,如果这个软件做成规规矩矩的商业用远程控制软件,绝对不会逊于那个体积庞大、操作复杂的PCanywhere,但可惜的是,它最终变成了黑客常用的工具。
冰河的服务器端(被控端)和客户端(控制端)都是一个可执行文件,客户端的图标是一把瑞士军刀,服务器端则看起来是个没什么大不了的微不足道的程序,但就是这个程序,足以让你的电脑成为别人的掌中之物。某台电脑执行了服务器端软件后,该电脑的7626端口(默认)就对外开放了,如果在客户端输入这台电脑的IP地址,就能完全控制这台电脑。
由于个人电脑每次上网的IP地址都是随机分配的,所以客户端软件有一个“自动搜索”功能,可以自动扫描某个IP段受感染的电脑,一旦找到,这台电脑就尽在黑客的掌握之中了。由于冰河程序传播比较广泛,所以一般情况下,几分钟之内就能找到一个感染了冰河的受害者。Www.itCOmpuTeR.cOm.cN
防御措施
首先不要轻易运行来历不明的软件,只要服务器端不被运行,冰河再厉害也是有力使不出,这一点非常重要。其次由于冰河的广泛流行,使得大多数杀毒软件可以查杀冰河,因此在运行一个新软件之前用杀毒软件查查是很必要的。
但由于该软件变种很多,杀毒软件如果不及时升级,难免会有遗漏,因此要保证你使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以。安装并运行防火墙,如此则能相对安全一些。
中冰河木马怎么办 网速明显下降,有时候甚至连网页都无法打开。接着是自己并没有对系统进行任何的操作,但是硬盘灯却闪个不停。甚至还有更夸张的,比如突然鼠标自己动起来,并且有规律地移动;桌面打开的窗口也不时地突然最大化、最小化、或关闭窗口;甚至有人突然给你发送一些莫名其妙的信息。
虽然通过系统的NET SEND命令可以发送信息,但我早已经将系统的Messenger服务停止了,所以不可能接受到使用这种方式传送的信息。升级杀毒软件的病毒库,以求查杀这个木马。可令我失望的是,一个病毒也没有查到。
查找木马线索
既然怀疑是木马捣鬼,我开始查找可能的蛛丝马迹。首先打开命令提示符,输入命令netstat -ano后查看结果,结果发现系统开放了一个4466的TCP可疑端口。为了了解是什么程序开放的这个端口,我马上上网通过搜索引擎进行查找,结果一无所获。于是怀疑可能是某种全新的木马程序,因为现在的木马程序很多都包括自定义端口的选项。
我从刚才的结果中得知,开放这个端口进程的PID是1844。于是马上调出Windows 任务管理器,从进程列表中找到PID为1844的进程,进程名称是svch0st.exe。表面上看svch0st.exe和常见的系统进程svchost.exe差不多,但入侵者利用普通用户对系统进程的不了解,利用阿拉伯数字1和0,来代替英文字母I和O,使我差点误认为svch0st.exe是系统进程。