荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: gordonlot (要学习啦), 信区: Virus
标 题: 木马防御原理
发信站: 荔园晨风BBS站 (Tue Jan 8 12:05:16 2002), 转信
特洛伊木马防御原理
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫
描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定
的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不
起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat -a(或
某个第三方程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,但同样是
无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。
3.检查注册表
上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在
大部分的木马都是通过注册表启动的,至少也把注册表作为一个自我保护的方式)
,那么,我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。
4.查找文件
查找木马特定的文件也是一个常用的方法,木马的一个特征文件是kernl32.
exe,另一个是sysexlpr.exe,只要删除了这两个文件,木马就已经不起作用了。如
果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你
的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟
notepad关联上。
另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的
"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工
具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完
整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩
已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们
的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的
系统安全和稳定。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店