揪出恶意攻击程序

揪出恶意攻击程序

　　当你发现系统中有陌生端口被打开时，一定很紧张吧！是不是系统正在遭受黑客的攻击呢？你怎样才能分辨出该端口是不是木马开放的端口？或者在进程列表中发现陌生的进程时，是否想知道该进程在你的系统中开了什么端口？这时用一款木马查杀工具对系统进行一下查杀就能解决问题，可是手头没有木马查杀工具怎么办？其实使用手工方法也能揪出恶意攻击程序。

　 (1) 根据进程查端口号

　　在开始菜单的“运行”框中输入“cmd.exe”进入命令提示符窗口，先键入“tasklist”命令将列出系统正在运行的进程列表，把你要查的进程所对应的“PID”号记下或复制。把进程的PID号记下后，接下来就用这个PID号把该进程所开的端口显示出来了。在当前的命令符下继续键入“netstat -ano 　 findstr 1140”命令，其中“netstat -ano”参数表示以数字形式显示所有活动的TCP连接以及计算机正在侦听的TCP、UDP端口　并且显示对应的进程ID　PID　号；“　findstr 1140”表示查找进程PID为“1140”的TCP连接以及TCP、UDP端口的侦听情况（在实际应用中，需要把你刚才记下或复制的PID号替换掉这里的1140）。按“回车”键后，就会显示出该进程所开的端口号。

　　(2) 根据端口号查进程

　　在命令提示符窗口中输入“netstat -ano”命令，列出系统当前的端口列表，该命令的作用已在上面提过了。-o参数的作用主要是显示各端口对应的进程PID号，现在把你要查的端口对应的进程PID号记下或复制。然后在命令提示符下继续输入“tasklist /fi ″PID eq 788 ″”（在实际应用中，需要把你复制或记下的PID号替换掉这里的788），这行语句“/fi”参数表示在“tasklist”中筛选，而“PID eq 788”则是指定筛选的条件，按“回车”键后，就会显示出端口对应的进程。

　　(3) 查出进程对应的程序

　　知道了端口和进程的关联后，如何再进一步查出该进程是那个软件或程序的进程呢?

　　下面的操作就需要用到Windows 2000（Server或Professional版都可以）安装光盘中的一个工具。首先在安装光盘的“Support/Tools/”目录下，用解压软件打开“support.cab”压缩包，找到“tlist.exe”文件，将此文件释放到任一目录，如“D：/Support”。然后在命令提示符窗口中切换到此目录，运行“tlist.exe”命令，把要查的进程对应的PID号记下或复制（第一列就是进程的PID号），然后继续输入“tlist.exe 2012”命令（你输入的时候，需要将刚才记下的PID号替换掉这里的2012），“CmdLine ”后面显示的就是该进程对应的软件所在的目录。另外，返回信息中还列出了该进程所调用的文件，得到了这些信息就可以很容易查出进程对应的程序了。要是发现该程序不是你自己打开的话，那么十有八九是一个恶意程序，此时你必须及时执行“taskkill.exe PID ”命令（taskkill.exe可以在WinXP系统安装盘中找到）将该进程关闭掉，以免恶意程序继续监控你的系统。

　四、防范硬盘被非法共享

　 很多上网的朋友都遇到过这样的麻烦，在浏览到含
有恶意代码的网页时，自己的系统硬盘就可能被设置为
共享状态了，更为危险的是，你在硬盘属性窗口中“觉察”不到硬盘
已经被非法共享了。为了避免硬盘被恶意网页非法设置为共享，你可以
按照下面的步骤来达到目的。首先，硬盘此刻是否已经被非法共享了。检
查时，我们可以打开注册表编辑窗口，在注册表编辑器展开分支“
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Network/LanMan”，看看“LanMan”项下面是否有“RWC$”键值，要是有的话，就表明硬盘已经被恶意网页设置为了共享，而且共享名称是“RWC$”；这时你可以将LanMan下面的“RWC$”键值先删除掉；然后把windows/system/下面的Vserver.vxd（Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序）删掉，接着再进入到注册表编辑界面，我们将鼠标定位于分支“HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD”上（如图5），并将该分支下所属的“Vserver”键值删掉，最后退出注册表编辑窗口，重新启动一下系统，今后无论什么恶意网页，
不能将你的硬盘设置为隐藏共享了，永绝这类网页的后路吧！