系统安全:高手进阶 巧用系统命令追杀隐蔽的木马【转贴】
来源:IT168 时间:2007-05-22 10:05:17
在Internet网络中尽情冲浪时,一次不经意间的鼠标点击操作,可能会将网络木马引狼入室;一旦计算机系统遭受到木马攻击后,轻则导致系统运行不正常,严重的话自己的隐私操作会受到木马的密切监控,甚至可能会给自己带来重大的经济损失。
为了让计算机系统远离木马攻击,我们有必要想办法及时找到隐藏在系统暗角处的木马程序,并采取有效措施将它们从系统中清除出去。我们只要发挥出自己的聪明才智,巧妙地利用计算机系统自带的一些命令,就能将隐藏在系统暗处的木马程序“揪”出来了。现在本文就从系统自带的网络命令出发,来为各位贡献几则寻找木马攻击痕迹的技巧!
善用net user,寻找木马帐号
许多木马程序在对计算机系统尝试攻击操作时,往往喜欢通过帐号克隆的方法来远程控制和监视本地计算机系统,这种类型的木马程序一般会尝试将系统中的一个缺省登录帐号激活,并且这个被激活的缺省登录帐号往往很少被人使用到,之后木马会通过专业程序将该缺省帐号的操作权限提高到系统管理员权限级别。如果我们不仔细观察的话,还认为该缺省帐号和以前一样呢,事实上木马就是使用这个具有超级管理权限的克隆帐号来对本地计算机系统实施攻击的,因此这个经过伪装过的缺省登录帐号才是计算机系统最大的安全隐患,木马能够通过该帐号对本地计算机进行任意的恶意操作。为了及时从计算机系统中“揪”出这种类型的木马,我们可以巧妙地使用Windows系统自带的net user命令,来对本地的系统帐号进行快速检测,下面就是具体的检测步骤:
首先以系统管理员身份登录进本地计算机系统,并在该系统桌面中依次单击“开始”/“运行”命令,从弹出的系统运行对话框中输入字符串命令“cmd”,单击回车键后,将系统工作状态切换到MS-DOS命令行模式;
其次在DOS命令行中输入字符串命令“net user”,单击回车键后,我们就能看到本地计算机中所有的用户登录帐号。之后在DOS命令行中再执行字符串命令“net user xxx”(其中“xxx”为具体的用户帐号名称),来依次查看每一个用户帐号究竟隶属于哪一个权限组,例如要查看“111”帐号是否属于administrator组时,只需要在DOS命令行中执行“net user 111”命令,在随后弹出的结果界面中我们从“本地组成员”中就能看到“111”帐号是否属于administrator组了。
正常情况下,administrator组成员往往只包含Administrator用户帐号,其他用户帐号一般都不属于administrator组。倘若我们看到其中一个用户帐号属于administrator组成员的话,那么这个用户帐号多半已经被木马克隆过了,此时我们不妨在DOS命令行中执行字符串命令“net user xxx /del”,来将这个伪装的木马帐号删除掉,那样一来木马就无法通过那个克隆帐号继续对本地计算机进行恶意监视或控制了。
善用net start,寻找木马服务
在操作计算机系统的过程中,我们有时会遇到这样一则奇怪现象,那就是计算机系统一直运行很正常,可是在某一时刻系统运行速度突然变得奇慢无比,或者在我们没有对计算机系统进行任何操作的情况下,计算机的硬盘信号灯却在不停地闪动,在这种情形下,我们无论对系统怎样设置或优化,甚至使用杀毒软件查杀病毒也找不出任何故障。如果真是这样的话,那此时此刻我们的计算机系统多半正受到木马程序的攻击,这种木马程序在入侵到本地计算机系统中后,一般会自动启用系统中的某个特殊服务,比方说启用系统中的IIS服务等,如此一来即使我们使用杀毒软件也无法发现任何意外情况。
不过遇到上述不正常的情况时,我们可以尝试使用Windows系统自带的net start命令,来检查一下当前时刻计算机系统中是否开启了什么陌生的系统服务,一旦发现有陌生的系统服务或者不是自己手工开启的系统服务时,那么我们就有必要对该来历不明的系统服务进行禁止运行了。在检查系统当前运行了哪些服务时,我们只要按照前面的操作步骤将系统工作状态切换到MS-DOS命令行模式,并在DOS命令行中输入字符串命令“net start”,单击回车键后,我们就能从图2所示的结果界面中看到系统当前运行的所有系统服务了。一旦看到某个服务来历不明时,我们可以在DOS命令行中执行字符串命令“net stop xxx”(其中“xxx”为具体的某个服务名称),这样就能及时地将木马程序开启的服务停止运行了。
善用net stat,寻找木马连接
当我们发现自己的计算机系统突然运行不正常时,那很有可能是计算机系统被感染了网络病毒,或者计算机系统被黑客植入了木马程序,在排除了病毒程序作祟后,我们肯定会怀疑系统突然运行不正常的现象是由木马引起的。在手头没有专业的木马检测程序的情况下,我们可以借助Windows系统自带的net stat命令,来确认一下系统是否真的遭受到木马程序的非法连接。在检测计算机系统是否存在非法连接时,我们可以按照如下步骤来进行:
首先用鼠标逐一单击本地计算机系统桌面中的“开始”/“运行”命令,从弹出的系统运行对话框中输入字符串命令“cmd”,单击回车键后,将系统工作状态切换到MS-DOS命令行模式;
其次在DOS命令行中,输入字符串命令“net stat -an”,单击回车键后,我们就能从其后的结果界面中看到所有和本地计算机系统创建连接的对方主机的IP地址,具体包含的连接信息有本地连接地址、远程主机地址、当前端口工作状态、当前连接方式等,通过这些信息我们往往很容易就能识别出哪个连接属于非法连接了。
