木马辅助查找器,通过TCP连接查找木马

通过TCP连接查找木马 - 电脑安全 - 电脑教程网

通过TCP连接查找木马

日期:2007-04-26   荐:

  编者按:杀毒软件,你有;网络防火墙,你也有;各种防范措施,你都略知一二。然而,面对各种不安定因素,你能保证自己永不中招?千万别在出现异常情况时六神无主,自检,它能帮你找出安全隐患、制定防守战略。从容应对安全问题,得从自检开始。自本期开始,我们将为大家带来自检三部曲,指导大家学会自检。今天,将介绍的就是针对TCP连接的自检。

  病毒和木马对个人电脑的威胁越来越大,它们不但破坏本地电脑的安宁,甚至完全摧毁电脑,而且它们还会利用网络技术,开启多个TCP连接感染网络中的其他电脑,使病毒或木马的破坏力大大增强。俗话说“打蛇要打七寸”,如何将这些来自于网络的威胁降到最低点,非常重要的一个防范措施就是管好电脑中的TCP连接,经常自检尤为重要。

  电脑中的TCP连接分为两种,一种是本机中危险进程开启的由内到外的TCP连接,另一种是来自外部恶意攻击的外部TCP连接。对于这两种TCP连接,需要采用不同的自检和处理方法,今天我们就会为大家介绍这两种方法。

  小知识:当用户使用某些危险的网络服务,或某些病毒、黑客控制系统的时候,就会先使用TCP协议建立端对端的连接,然后进行下一步的操作,这就是所谓的恶意TCP连接。

  细心:检测由内向外的TCP连接

  安全警报:报警!报警!网内突发传播性极强的攻击性事件,它不但感染本地系统,造成计算机异常,而且它还通过网络扩散,开启大量的TCP连接,感染网络中的其他机器。此时,对于这种还未探明具体成因的恶意事件,可对由内向外的TCP连接进行自检,找出并关闭异常或恶意的网络进程。

  如果你的电脑不幸中了某些病毒或木马(如震荡波、冲击波等),它们在感染本地Windows系统的同时,还会开启很多由内到外的TCP连接以攻击网络中的其他电脑,此时如果杀毒软件不能进行查杀,那么你就会在无形中充当病毒的帮凶。

  岂能轻易当帮凶?虽然此时不能彻底清除病毒,但我们完全可以减缓病毒的危害性,阻止病毒、木马创建由内向外的TCP连接,防止它们进一步扩散。

  1.请来Tcpview

  虽然用Windows系统自带的“NETSTAT”命令可以检测本机的TCP连接情况,但该命令毕竟是基于命令行方式的,使用起来非常不方便,而且TCP连接情况不能实时更新。因此笔者建议大家使用“Tcpview”这款工具

  在Tcpview的网络连接显示框中,会显示出所有进程的网络连接情况,包括病毒建立的由内到外的TCP连接。这些连接信息还是实时动态变化的,能够显示出详细的TCP连接参数信息,如进程名、进程ID、连接使用的协议、本地地址和端口号。现在,通过Tcpview程序,就可以很容易地分析出每个TCP连接的情况。

  2.仔细检查TCP连接

  如果你发现Tcpview网络连接显示框中有不熟悉的进程名(图1),而且这个进程的TCP连接数量非常多,变化频率也很快,这说明这些TCP连接可能就是系统中存在的病毒或木马建立的由内到外的TCP连接。

  为了防止恶意程序的蔓延和传播,可以记录相关进程使用的本地端口号,然后右键点击这些进程项目,选择“End Process”结束这些由内到外的TCP连接。接下来,就利用网络防火墙关闭病毒所使用的端口,禁止病毒开启恶意的TCP连接。

  

  笔者在此还建议大家一定要给Windows XP系统安装SP2补丁,它可以将程序开启的线程数限制在10个以内,这样也就有效地限制了病毒建立的由内到外的TCP连接数。

  方法总结:以上方法适用于对本机中的病毒或木马创建的TCP连接进行自检,也就是对由内到外的TCP连接进行检测,这可以有效地缓解这些害群之马所带来的危害。但笔者还是要提醒大家,要想彻底消灭这些由内到外的TCP连接,还需要即时升级杀毒软件,安装Windows系统的相应补丁程序。

谨慎:严查外部TCP连接

  安全警报:报警!报警!本机某个端口突然有大量TCP连接,严重消耗本机的网络资源,网络速度急剧降低且不稳定,疑是来自外部的病毒或黑客攻击。

  除了病毒或木马会利用由内到外的TCP连接,危害网络中的其他电脑外。本机也可能受到来自外部的攻击,如病毒或黑客攻击本机的某个网络端口,当然这些攻击也是利用TCP连接实现的,不同的是它们都是来自外部的恶意TCP连接。因此针对本机是否受到外部TCP连接攻击的检测,非常必要。

  要想知道本机是否受到外部TCP连接的攻击,就需要通过监控某个端口来实现,使用“TCP攻击监控器v1.0”这款工具是不错的选择。

  1.配置监控参数

  如果笔者想监控Windows XP系统的IIS服务器的80端口是否受到攻击,可运行TCP攻击监控器,首先在“监控端口”栏中输入“80”,然后根据需要设置好“刷新周期”和“单IP最小连接数”,接下来该工具就会监控IIS服务器的80端口的外部TCP连接情况(图2)。

  

  2.从记录中找出攻击源

  在“TCP连接数”栏中详细地记录着每个与IIS服务器建立TCP连接的机器的IP地址,并且还记录了这个IP的TCP连接数。

  如果短时间内,来自某个IP地址的TCP连接数非常多,那么很有可能就是使用这个IP地址的机器对IIS服务在进行TCP攻击,这是非常危险的。由于这些来自外部的TCP攻击很可能是病毒或黑客所为,为了保证IIS服务器的安全,我们可以在IIS服务器或网络防火墙中,彻底禁止该IP地址发起的访问,这样就摆脱了外部恶意TCP连接的攻击, Windows系统会更加安全。

  方法总结:此方法适用于对来自外部的TCP连接进行自检,做好对这些外部的TCP连接的监控和自检工作,过滤有害的外部TCP连接,能够最大限度地减轻外部病毒或黑客攻击所带来的危害。

  本期,我们介绍了如何对由内到外和外部的TCP连接进行自检。高效地完成自检工作,对防止病毒和木马的传播、攻击有着重要的作用。当然,任何恶意的TCP连接都是针对某个端口而建立的,因此做好端口的自检工作非常重要。在下期,我们将会为大家介绍如何对端口进行自检,敬请期待。

标签: