通过建立的会话查看木马 通过查看可疑会话可以确认是否中了木马。 某单位的服务器最近出现异常,网络管理员感觉有人在操作他的服务器,于是他怀疑服务器中了木马。他想查看一下服务器是否中了木马,如何确认呢? 只要你的计算机中了木马,木马程序会自动运行,或者作为你的计算机上的一个服务,或者是开机就自动运行,然后就在后台偷偷地和远程的客户端连接。攻击者就可以看到哪些中了木马的计算机在运行,便可以操作中了木马的计算机。如果计算机中了木马,木马程序会自动和外网的客户端建立连接,我们可以通过查看计算机的对外连接来确认是否中了木马。 这位网管可以如下这样做。 首先需要登录计算机,但不访问任何网络资源,并且保证Windows没有在后台更新系统,杀毒软件也没有更新病毒库(因为这些活动也会建立会话,干扰你查找木马)。 如图1-24所示,运行netstat –nob 查看有没有到Internet上的连接,可以看到源端口和目标端口,源地址和目标地址,以及建立会话的进程或程序。 ▲图1-24 通过netstat –nob查看连接 之后主要查看与外网地址连接的会话,如果有连接,那可能就是木马程序,即可看到进程号和该进程号对应的程序。 补充知识 还有一种方法查找木马,就是使用微软自带的系统配置工具msconfig。木马一般会在操作的电脑上伪装成服务,或将自己放置在自动启动项,我们可以检查服务和自动启动项,查找可疑服务或程序。 (1)选择“开始”→“运行”命令,打开“运行”对话框,输入msconfig,单击“确定”按钮,打开“系统配置实用程序”对话框。 (2)如图1-25所示,切换到“服务”选项卡,选中“隐藏所有Microsoft服务”复选框,查看是否有可疑的服务。 ▲图1-25 隐藏所有Microsoft服务 (3)如图1-26所示,切换到“启动”选项卡,查看有没有可疑的自动启动项。如果有可疑的启动项,则将其禁用。 ▲图1-26 查看启动项
|