在猴岛也有一段时间。。。小白也当过几次,也被中招过。。。
不过还好,一般的测试我都是在影子系统里面做的,受到的伤害不大。。。
下面介绍一下怎么识别自己电脑中是否中了木马
大家在运行里面打CMD 然后输入netstat -ano 回车就会出现如上的图
这个怎么看?什么意思?
大家不要管LOCAL ADDRESS下面的,这个是本机的通信地址,如上图我的机器会出现127.0.0.1
192.168.0.77 122.136.55.89 这几个IP分别是我本机的巡回地址 本机内网IP地址 本机外网IP
由于我是用我世界上网所以会有1028 1029 两个端口在通信
(想知道本机IP的 可以打ipconfig /all查看,不过看不到外网IP ,可以到IP网上查询)
然后看后面的FOREIGN ADDRESS这个下面所出现的IP就是通信到本机的IP 说白了也就对方地址
如果这下面出现了异样的IP 那么就要注意了,首先看下自己都有什么东西在运行 打开进程管理器
(大家都知道隐藏进程了吧 那你可以在CMD里输入 tasklist来查看进程 这个能看到隐藏进程,或者用冰刃也行)关掉每一个运行的程序,查看通信会不会中断,如果关掉所有程序还有通信在进行 那你就看他后面的PID 然后到进程里面找相应的程序,
发现可疑的非系统进程后,那就说名你中招了,说句实话,对于一些高手做的马甲,做个能过360,瑞星这样杀毒软件的壳还是可以的。。。
建议用一些国外的杀毒软件,这样效果会比较明显的。。。
想看有没有DNF的盗号木马,大家可以在开DNF之前看下端口,然后开DNF,进入游戏以后再查看下端口,这样可以看到有DNF的通信端口,如果有其他程序或者端口被同时打开,那么就是有木马在运做了,建议大家速度更改自己的密码帐号重做系统 杀毒
关于注册表其实也有很多东西,那个我就不说了。。。毕竟有些东西说太多了也吸收不了。
我说了 这只是初级鉴定是否存在木马的方法,有技术是可以反弹这个端口查看的,但是这种高级毒还是比较少的。。。
希望能给猴岛的朋友一点小小的帮助。。。。
LISTENING 监听 ESTABLISHED 连接
比较危险的端口 TCP 23 135 139 1433 3389 8000(8000我记得以前黑洞用这端口 前不久我中马也见此端口被开放,不知现在黑洞又被利用起来了?)鸽子现在比较少了,大家注意下上兴吧,那个现在用的蛮多的
回来修正一点。。。关于tasklist 看隐藏进程的那个不成立 但是冰刃是可以看到的 以前没注意 PMH这个命令好强大。。。。
[ 此贴被woshiwy在2008-10-02 00:45重新编辑 ]
