隨著網(wǎng)絡(luò)時(shí)代進(jìn)程的加快，黑客技術(shù)對網(wǎng)絡(luò)安全形成了極大的威脅。黑客的主要攻擊手段之一，就是使用木馬，滲透到對方的主機(jī)系統(tǒng)里，實(shí)現(xiàn)對遠(yuǎn)程操作目標(biāo)主機(jī)。從BO到國產(chǎn)“冰河”，從“廣外女生”到“網(wǎng)絡(luò)神偷”，無不是我們廣大用戶預(yù)防的對象。那么如何檢測木馬的存在呢?下面介紹三種檢測木馬的辦法，來揭開它神秘的面紗。

1．“端口”檢測法

要設(shè)置端口，必須明白什么是端口。服務(wù)器可以向外提供多種服務(wù)。比如，一臺服務(wù)器可以是Web服務(wù)器，也可以是FTP服務(wù)器，同時(shí)，它還可以是郵件服務(wù)器。為什么一臺服務(wù)器可以同時(shí)提供那么多的服務(wù)呢?其中一個(gè)很主要的方面，就是各種服務(wù)采用不同的端口分別提供不同的服務(wù)。比如：Web采用80端口，F(xiàn)TP采用21端口等。這樣，通過不同端口，計(jì)算機(jī)與外界進(jìn)行互不干擾的通信。同樣每個(gè)木馬都有自己的端口，比如冰河的端口號是7626。

由于木馬的運(yùn)行常通過網(wǎng)絡(luò)的連接來實(shí)現(xiàn)的，因此如果發(fā)現(xiàn)可疑的網(wǎng)絡(luò)連接就可以推測木馬的存在，最簡單的辦法是利用Windows自帶的Netstat命令來查看。一般情況下，如果沒有進(jìn)行任何上網(wǎng)操作，在MS-DOS窗口中用Netstat命令將看不到什么信息，此時(shí)可以使用“netstat-a”，“-a”選項(xiàng)用以顯示計(jì)算機(jī)中目前所有處于監(jiān)聽狀態(tài)的端口。如果出現(xiàn)不明端口處于監(jiān)聽狀態(tài)，而目前又沒有進(jìn)行任何網(wǎng)絡(luò)服務(wù)的操作，那么在監(jiān)聽該端口的很可能是木馬。

2．進(jìn)程檢測法

木馬即使再狡猾，它也是一個(gè)活動(dòng)著的應(yīng)用程序，一經(jīng)運(yùn)行，它就時(shí)刻駐留在電腦系統(tǒng)的內(nèi)存中，通過查看系統(tǒng)進(jìn)程可發(fā)現(xiàn)可疑進(jìn)程，并以此來推斷木馬的存在。在Windows2000／XP中按下“Ctl+Alt+Del”鍵，進(jìn)入任務(wù)管理器，就可看到系統(tǒng)正在運(yùn)行的全部進(jìn)程，一一清查即可發(fā)現(xiàn)木馬的活動(dòng)進(jìn)程。而在Windows 98下，查找進(jìn)程的方法不那么方便，但有一些查找進(jìn)程的工具可供使用，如Prcview和Winproc，具體的使用很容易，這里不作詳細(xì)介紹。

通過查看系統(tǒng)進(jìn)程這種方法來檢測木馬非常簡便易行，但是操作員對系統(tǒng)必須熟悉。因?yàn)閃indows系統(tǒng)在運(yùn)行時(shí)本身就有一些我們不是很熟悉的進(jìn)程在運(yùn)行著，因此這個(gè)時(shí)候一定要擦亮眼睛，不過大多數(shù)木馬總是可以通過這種方法被檢測出來的。

3．啟動(dòng)加載檢測法

木馬的隱蔽性非常強(qiáng)，在電腦開機(jī)的時(shí)候一般都會自動(dòng)加載，大部分在啟動(dòng)之后還會更改文件名，因此從系統(tǒng)自動(dòng)加載文件的方式入手來分析木馬的存在并清除就很有意義。木馬加載的條件，大致出現(xiàn)在下面八個(gè)地方。

(1)注冊表：打開HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVer-sion＼下的Run和RunServices主鍵，在其中尋找可能是啟動(dòng)木馬的鍵值。

(2)Win．ini：C：＼WINDOWS目錄下有一個(gè)配置文件win．ini，用文本方式打開，在[windows]字段中有啟動(dòng)命令load=和run=，在一般情況下是空白的，如果有啟動(dòng)程序，可能是木馬。

(3)system．ini：C：＼WINDOWS目錄下有個(gè)配置文件system．ini，用文本方式打開，在[386Enh]、[mic]、[drivers32]中有命令行，在其中尋找木馬的啟動(dòng)命令。

(4)Autoexec．bat和Config．sys：在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都需要控制端用戶與服務(wù)器端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)器端覆蓋這兩個(gè)文件才行。

(5)*．ini：即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)器端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。

(6)注冊表：打開HKEY_CLASSES_ROOT＼文件類型＼shell＼open＼command主鍵，查看其鍵值。舉個(gè)例子，“冰河”就是修改了HKEY_CLASSES_ROOT＼txtfile＼shell＼open＼command下的鍵值，將“C：＼WINDOWS LNOTEPAD．EXEl”改為“C：＼WINDOWS＼SYSTEM＼SYSEXP-LR．EXEl”，這時(shí)雙擊一個(gè)TXT文件后，原本應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說明的是不只是TXT文件，通過修改HTML、EXE、ZIP等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬，不同之處只在于“文件類型”這個(gè)主鍵的差別，

(7)捆綁文件：實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會被安裝上去了。    (8)啟動(dòng)菜單：在“開始／程序／啟動(dòng)”選項(xiàng)下也可能有木馬的加載條件。