实战：通过建立的会话查看木马

某单位的服务器最近出现异常，网络管理员感觉有人在操作他的服务器，于是他怀疑服务器中了木马。他想查看一下服务器是否中了木马，如何确认呢？

只要你的计算机中了木马，木马程序会自动运行，或者作为你的计算机上的一个服务，或者是开机就自动运行，然后就在后台偷偷地和远程的客户端连接。攻击者就可以看到哪些中了木马的计算机在运行，便可以操作中了木马的计算机。如果计算机中了木马，木马程序会自动和外网的客户端建立连接，我们可以通过查看计算机的对外连接来确认是否中了木马。

这位网管可以如下这样做。

首先需要登录计算机，但不访问任何网络资源，并且保证Windows没有在后台更新系统，杀毒软件也没有更新病毒库（因为这些活动也会建立会话，干扰你查找木马）。

如图1-24所示，运行netstat –nob 查看有没有到Internet上的连接，可以看到源端口和目标端口，源地址和目标地址，以及建立会话的进程或程序。

▲图1-24 通过netstat –nob查看连接

之后主要查看与外网地址连接的会话，如果有连接，那可能就是木马程序，即可看到进程号和该进程号对应的程序。

补充知识

还有一种方法查找木马，就是使用微软自带的系统配置工具msconfig。木马一般会在操作的电脑上伪装成服务，或将自己放置在自动启动项，我们可以检查服务和自动启动项，查找可疑服务或程序。

（1）选择“开始”→“运行”命令，打开“运行”对话框，输入msconfig，单击“确定”按钮，打开“系统配置实用程序”对话框。

（2）如图1-25所示，切换到“服务”选项卡，选中“隐藏所有Microsoft服务”复选框，查看是否有可疑的服务。

▲图1-25 隐藏所有Microsoft服务

（3）如图1-26所示，切换到“启动”选项卡，查看有没有可疑的自动启动项。如果有可疑的启动项，则将其禁用。

▲图1-26 查看启动项

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1135851，如需转载请自行联系原作者