为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

反木马技艺之通过建立的会话查看木马

2012-11-23 11:29| 投稿: security

摘要:   通过查看可疑会话可以确认是否中了木马。  某单位的服务器最近出现异常,网络管理员感觉有人在操作他的服务器,于是他怀疑服务器中了木马。他想查看一下服务器是否中了木马,如何确认呢?  只要你的计算机中...
  通过查看可疑会话可以确认是否中了木马。  某单位的服务器最近出现异常,网络管理员感觉有人在操作他的服务器,于是他怀疑服务器中了木马。他想查看一下服务器是否中了木马,如何确认呢?  只要你的计算机中了木马,木马程序会自动运行,或者作为你的计算机上的一个服务,或者是开机就自动运行,然后就在后台偷偷地和远程的客户端连接。攻 击者就可以看到哪些中了木马的计算机在运行,便可以操作中了木马的计算机。如果计算机中了木马,木马程序会自动和外网的客户端建立连接,我们可以通过查看 计算机的对外连接来确认是否中了木马。  这位网管可以如下这样做。  首先需要登录计算机,但不访问任何网络资源,并且保证Windows没有在后台更新系统,杀毒软件也没有更新病毒库(因为这些活动也会建立会话,干扰你查找木马)。  如图1所示,运行netstat -nob 查看有没有到Internet上的连接,可以看到源端口和目标端口,源地址和目标地址,以及建立会话的进程或程序。  图1 通过netstat -nob查看连接  之后主要查看与外网地址连接的会话,如果有连接,那可能就是木马程序,即可看到进程号和该进程号对应的程序。  补充知识  还有一种方法查找木马,就是使用微软自带的系统配置工具msconfig。木马一般会在操作的电脑上伪装成服务,或将自己放置在自动启动项,我们可以检查服务和自动启动项,查找可疑服务或程序。  (1)选择"开始"→"运行"命令,打开"运行"对话框,输入msconfig,单击"确定"按钮,打开"系统配置实用程序"对话框。  (2)如图2所示,切换到"服务"选项卡,选中"隐藏所有Microsoft服务"复选框,查看是否有可疑的服务。  图2 隐藏所有Microsoft服务  (3)如图3所示,切换到"启动"选项卡,查看有没有可疑的自动启动项。如果有可疑的启动项,则将其禁用。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部