网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

表4-1 常用服务端口列表

4.2 查看进程

打开任务管理器，查看下进程列表，选择查看→选择列→将PID（进程标示符）打钩，然后返回查看进程列表，看一下是否存在可疑进程。我们还是以上面灰鸽子实验那台主机为例子，查看主机的进程列表，截图如下（图4-2）：

图 4-2 查看任务管理器

结合图4-1和图4-2，我们基本上可以确定进程号为396的程序是一个木马程序，首先，我们先应该结束该进程，然后再进行杀毒。

4.3 查看计算机管理

打开计算机管理窗口，首先查看用户和用户组管理，看是否有可疑的用户存在，是否在用户组中存在不应该有的账号。

接着我们查看共享文件夹，是否有把系统默认的隐藏共享删除掉，为了安全起见应该将共享文件夹全部关闭，或者是给它设置只读权限，而不给予写入的权限。

最后需要查看的就是服务了，入侵者为了便利往往将木马程序启动为服务，并赋予服务一个非常具有欺骗性的名称。为了安全起见，我们可以关闭一些不常用的端口，比如21、23、445、3389、4899等这些经常被用于入侵的端口。（445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，他们能通过该端口偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！我们可以通过修改注册表 “HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”里面的值来关闭445端口）

4.4 检查文件列表

一般的后门程序都安装在系统目录下，黑客也喜欢把他们的文件放置在系统目录里面，因为系统目录很少有人检查而且很多文件都是隐藏着的，所以相对比较安全。

我们最好借助一定的工具，比如用Regsnap为例，该软件是一个注册表快照工具，通过它可以详细的了解注册表及其他与系统有关项目的修改和变化情况。

4.5 查看日志

进入控制面板中的“性能和维护”，选择“管理工具”中的“事件查看器”选项，即可查看系统日志。

我们可以检查日记记录是否出现断裂，是否有可疑的账号登录，是否在特定的时间段内发生不应该发生的事件。总之，日志查看器是返现入侵手段的最有效的途径，所以为了保证计算机在安全环境下的正常运行，用户最好经常检查一下系统的日志。

[1] 武新华等.黑客攻防技术（第二版）[M].北京:中国铁道出版社,2007（12）:51

[2] 石志国等.计算机网络安全教程（修订版）[M]．北京:清华大学出版社；北京交通大学出版社,2007(1):49

[3] 王玲 钱华林.IPV6的安全机制及其对现有网络安全体系的影响[J].微电子学与计算机,:.

[4] 卢勇焕;郑海允;崔吉俊.黑客与安全,2001

[5] 牛华伟.于静.木马防护系统的设计与实现,信息安全与通信保密,2009(10)

[6] 胡卫.马常楼.秦艳琳.廖巍.基于Windows系统的木马程序隐蔽行径分析,计算机与数字工,2009(10)

[7] 张瑞霞.一种实用的反木马策略,计算机安全,2009(9)