computer 版 (精华区)

发信人: retry (虑澹物自轻 意惬理无违), 信区: network
标  题: 10
发信站: 听涛站 (2001年05月17日17:43:08 星期四), 站内信件

如何发现自己电脑中的木马
再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电
脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WIN
IPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览
器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏览器告诉你连接不上
，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排
英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。这是最简单最
直接的办法，但是需要你知道各种木马所开放的端口，已知下列端口是木马开放的：73
06、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉
了所有已知木马端口，也还是不能完全防范这些木马的，我们需要----
进一步查找木马
曾经做了一个试验：我知道netspy.exe开放的是7306端口，于是我用工具把它的端口修
改了，经过修改的木马开放的是7777端口了，你现在再用老办法是找不到netspy.exe木
马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析
这些开放的端口。
前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，
推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件
，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描
，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。
排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做
出什么样的反映，你可以根据情况再判断了。
扫描这么多端口是不是很累，需要半个多小时傻等了，现在好了，我汉化了一个线程监
视器，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口
开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得----
--
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]