2007年02月21日

注:System Repair Engineer API HOOK检测功能是一项高级功能,仅供参考使用。本文档可能会在未通知的情况下予以变更。

什么是 API HOOK

在 Windows 操作系统里面,API是指由操作系统提供功能的、由应用程序调用的函数。这些函数在Windows操作系统里面有上千个之多,分布于不同的DLL文件里面或者EXE文件里面。应用程序通过调用这些函数来获得一些功能的支持。

API HOOK:API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。

API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。

隐藏:是Rootkits各种表现形式里面的一种,也是最重要的一种。

如果一个计算机病毒实现了自我隐藏,那么99%的软件将无法发现他们,包括:资源管理器、任务管理器等。

System Repair Engineer API HOOK 检测

鉴于很多计算机病毒(如灰鸽子后门程序等)采用 Win32 API HOOK 技术来达到隐藏自身的目的,System Repair Engineer (SREng) 从 2.3 版本开始正式提供对Win32 API HOOK 检测的支持。

System Repair Engineer API HOOK 检测功能是专门为有一定计算机知识的人设计的一个高级功能,其主要目的是警示用户系统里面的哪些API和预期值不符。一个有经验的分析人员能够从不符的API名称里面得知潜在的危险是什么。

需要注意的是,目前已经发现有一些正常的软件也会对一些Win32 API进行HOOK操作以完成一些特殊的功能。列表如下:

会进行API HOOK的正常软件名单:
Kaspersky Antivirus

Kaspersky Antivirus 对下列 Win32 API 进行了HOOK操作:

  • LoadLibraryA
  • LoadLibraryW
  • LoadLibraryExA
  • LoadLibraryExW

如果你安装了Kaspersky Antivirus,那么看到的警告提示信息是正常的。可以忽略。

Agnitum
Outpost Firewall Pro 4.0

Agnitum’s Outpost Firewall Pro 4.0 对下列 Win32 API 进行了HOOK操作:

  • NtCreateThread
  • NtRestoreKey
  • NtSetValueKey
  • NtTerminateProcess
  • ZwCreateThread
  • ZwRestoreKey
  • ZwSetValueKey
  • ZwTerminateProcess
  • CreateProcessA
  • CreateProcessW
  • CreateRemoteThread

如果你安装了Agnitum’s Outpost Firewall Pro 4.0,那么看到的警告提示信息是正常的。可以忽略。

当 System Repair Engineer (SREng) 发现有Win32 API 被 HOOK 的时候,会在桌面右下角弹出警告气泡,同时,智能扫描的扫描日志里面也能够记录被 HOOK 的API内容。

一旦你看到类似于下面的气泡提示,就需要你特别注意了:

例如:用户机器里面被植入灰鸽子后门程序以后SREng的报警:

图:感染灰鸽子后门程序
以后的 SREng 的警告气泡提示

左图显示了在 System Repair Engineer (SREng) 的进程空间里面,有7个API和预期值不符。这是因为在这台计算机上被植入了灰鸽子后门程序.

从函数名可以得出,被HOOK的API和注册表的各种枚举操作以及文件的枚举操作相关。

上述被HOOK的API函数将造成通过正常的方法是无法发现灰鸽子的文件和注册表键值的。

包括一些杀毒软件都会由于这个问题而造成无法发现和清除用户系统里面正在运行的灰鸽子后门程序。

下表归纳了一些重要的基本API,如果发现这些API中的某一个或者多个被HOOK了,那么就需要非常小心的检查是否有Rootkits的存在了。

API 函数名里面含有 EnumQueryFirstNext 字符字样的所有API均属于需要特别关注的API。如:

  • FindFirstFileA
  • FindFirstFileW
  • FindFirstFileExA
  • FindFirstFileExW
  • FindNextFileA
  • FindNextFileW
  • RegEnumKeyA
  • RegEnumKeyW
  • 等……

System Repair Engineer API HOOK 详细信息指示以及恢复功能

电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带帐号已经拨通的,他们就侵入你的电脑,针对以上情况,笔者特提出以下几点防范措施:
(1)强化系统,防止黑客入侵
  强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项—不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
  强化口令:正确设置管理员密码(系统开机密码)和adsl上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
 
(2)限制开放端口,防止非法入侵
  通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为2种。(1)扫描端口,通过已知的系统 Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如abc端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
  139端口是NetBIOS Session端口,用于文件和打印共享,值得注意的是运行samba的unix机器也开放了139端口,功能一样。这个端口是黑客比较喜欢利用的端口之一。关闭139端口方法是在“网络和拨号连接”窗口中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”选项“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启时服务也重新启动,端口也随之开放。
  3389端口,网络管理员可以通过它远程对安装有Windows Server或Windows XP的电脑进行管理和维护,黑客或非法攻击者也能较轻易地获得服务器中的超级管理员账号。在Windows xp中关闭的方法是:我的电脑上点右键选属性–>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。在Win2000 server中关闭的方法是: 开始–>程序–>管理工具–>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP中同样适用)
  4899端口其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。4899不是系统自带的服务,需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。所以只要你的电脑做了基本的安全配置,黑客很难通过4899来控制你。
  对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择 “高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
 
(3) 关闭默认共享,禁止空连接
  当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
  关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将“本地连接‘属性中的“网络的文件和打印机共享 ”卸载掉,默认共享就可以彻底被关闭了.

  禁止建立空连接的方法是:首先运行regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\\SYSTEM\\ CurrentControlSet\\Control\\LSA]把RestrictAnonymous(DWORD)的键值由0改为1。 
(4)使用入侵检测手段,及时防范入侵
  最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server 端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
  我们使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。

1月22日消息,国内安全专家、北京东方微点信息技术有限责任公司总经理兼总工程师刘旭对外称,微软新推出的Vista操作系统存在可伪造用户令牌(Access Token)的重大安全漏洞,利用该漏洞,恶意程序可将任意用户的权限生成超级管理员(full administrator user)权限,进而使电脑更容易被远程控制.   

微软Windows Vista操作系统漏洞被攻演示图

  

通常情况下,操作系统一般将用户分为一般用户和管理员.在Windows操作系统下,当用户需要运行程序或访问资源时,系统首先会对用户的访问令牌找到用户的权限信息.并对想要进行操作所需的权限和用户的权限进行比较,如果权限足够大,就可以进行相应的操作;如果权限不足,操作就会被禁止.Windows xp操作系统提供创建非管理员帐户,但用户使用起来非常不方便,因此,绝大多数用户日常使用的是对计算机有绝对控制权的管理员帐户.  

在Windows Windows Vista操作系统下,为提高系统安全性,微软推引入了一个用户帐户控制(User Account Control简称UAC)新技术,要求所有用户在标准帐户模式下运行程序和任务时会阻止未认证的程序安装,并阻止标准用户进行不当的系统设置改变.  

刘旭介绍到,在Windows Vista操作系统下,Windows Vista存在可伪造的“访问令牌”的重大安全漏洞.利用这个漏洞,当用户以管理员(administrator user)、一般用户(standard user)甚至是权限更低的访客(guest user)用户登录系统时,恶意程序可通过伪造的超级管理员权限,即不论是什么类型的用户,是本地登录还是远程登录,都可以自动成为超级管理员,系统运行的认可一个程序都可以自动具有管理员权限,从而完全绕过了UAC,使UAC形同虚设,这时的Windows Vista操作系统就同XP一样,用户面临着遭遇病毒肆虐、黑客攻击的风险.  

刘旭还表示,在号称“安全性极高”的Windows Vista操作系统下,如果用户不小心运行了网上下载的含有恶意代码的程序,将会使用当前用户具备了超级管理员权限,进而被黑客远程控制用户的机器.

据刘旭透露,东方微点在研发主动防御软件时,发现了这个重大漏洞,并已向微软提交了该漏洞被攻击的详细演示报告.  

据悉,目前东方微点开发的软件已具备了阻止恶意程序攻击Windows Vista操作系统漏洞能力.

微软方面则表示,“在Windows Windows Vista的开发过程中,安全被提到了一个前所未有的重视高度.但是软件产品的特点决定了软件产品的安全性不能达到百分之百.即使再安全的操作系统,安全问题也会一直存在,黑客和病毒将会不断地对系统进行攻击,这也是为什么微软加大安全力度,保护用户免受恶意软件的侵袭.”截至发稿时,微软并没有就该重大漏洞进行正面回复.

1.Windows XP系统“远程协助”的应用

“远程协助”是Windows XP系统附带提供的一种简单的远程控制的方法。远程协助的发起者通过MSN Messenger向Messenger中的联系人发出协助要求,在获得对方同意后,即可进行远程协助,远程协助中被协助方的计算机将暂时受协助方(在远程协助程序中被称为专家)的控制,专家可以在被控计算机当中进行系统维护、安装软件、处理计算机中的某些问题、或者向被协助者演示某些操作。

如果你已经安装了MSN Messenger 6.1,还需要安装Windows Messenger 4.7才能够进行“远程协助”。

使用远程协助时,可在MSN Messenger的主对话框中单击“操作→寻求远程协助”菜单命令(如图2)。然后在出现的“寻求远程协助”对话框中选择要邀请的联系人。当邀请被接受后会打开了“远程协助”程序对话框。被邀人单击“远程协助”对话框中的“接管控制权”按钮就可以操纵邀请人的计算机了。

主控双方还可以在“远程协助”对话框中键入消息、交谈和发送文件,就如同在MSN Messenger中一样。被控方如果想终止控制,可按Esc键或单击“终止控制”按钮,即可以取回对计算机的控制权。

2.Windows XP“远程桌面”的应用

使用“远程协助”进行远程控制实现起来非常简单,但它必须由主控双方协同才能够进行,所以Windows XP专业版中又提供了另一种远程控制方式——“远程桌面”,利用“远程桌面”,你可以在远离办公室的地方通过网络对计算机进行远程控制,即使主机处在无人状况,“远程桌面”仍然可以顺利进行,远程的用户可以通过这种方式使用计算机中的数据、应用程序和网络资源,它也可以让你的同事访问到你的计算机的桌面,以便于进行协同工作。

(1)配置远程桌面主机

远程桌面的主机必须是安装了Windows XP的计算机,主机必须与Internet连接,并拥有合法的公网IP地址。主机的Internet连接方式可以是普通的拨号方式,因为“远程桌面”仅传输少量的数据(如显示器数据和键盘数据)便可实施远程控制。

要启动Windows XP的远程桌面功能必须以管理员或Administrators组成员的身份登录进入系统,这样才具有启动Windows XP“远程桌面”权限。

右键单击“我的电脑”图标,选择“属性”命令。在出现的对话框中单击“远程”选项卡,单击选中“允许用户远程连接到这台计算机”选项框。单击“选择远程用户”按钮,然后在“远程桌面用户”对话框中单击“添加”按钮,将出现“选择用户”对话框。(如图3)

单击“位置”按钮以指定搜索位置,单击“对象类型”按钮以指定要搜索对象的类型。接下来在“输入对象名称来选择”框中,键入要搜索的对象的名称,并单击“检查名称”按钮,待找到用户名称后,单击“确定”按钮返回到“远程桌面用户”对话框,找到的用户会出现对话框中的用户列表中。

如果没有可用的用户,可以使用“控制面板”中的“用户账户”来创建,所有列在“远程桌面用户”列表中的用户都可以使用远程桌面连接这台计算机,如果是管理组成员即使没在这里列出也拥有连接的权限。

(2)客户端软件的安装

Windows XP的用户可以通过系统自带的“远程桌面连接”程序(在“开始→所有程序→附件→通讯”中)来连接远程桌面(如图1)。如果客户使用操作系统是Windows 9X/2000,可安装Windows XP安装光盘中的“远程桌面连接”客户端软件。

在客户机的光驱中插入Windows XP安装光盘,在显示“欢迎”页面中,单击“执行其他任务”选项,然后在出现的页面中选择“设置远程桌面连接”选项,然后根据提示进行安装。

(3)访问远程桌面

在客户机上运行“远程桌面连接”程序,会显示“远程桌面连接”对话框,单击“选项”按钮,展开对话框的全部选项,如图2所示,在“常规”选项卡中分别键入远程主机的IP地址或域名、用户名、密码,然后单击“连接”按钮,连接成功后将打开“远程桌面”窗口,你可以看到远程计算机上的桌面设置、文件和程序,而该计算机会保持在锁定状态,如果没有密码的情况下,任何人都无法使用它,也看不到你对它所进行的操作。

如果注销和结束远程桌面,可在远程桌面连接窗口中,单击“开始”按钮,然后按常规的用户注销方式进行注销。

(4)远程桌面的Web连接

远程桌面还提供了一个Web连接功能,简称“远程桌面Web连接”,这样客户端无需要安装专用的客户端软件也可以使用“远程桌面”功能,这样对客户端的要求更低,使用也更灵活,几乎任何可运行IE浏览器的计算机都可以使用“远程桌面”功能。

首先让我们来看看服务器端的配置情况。

由于“远程桌面Web连接”是Internet信息服务(IIS)中的可选的WWW服务组件,因此,要让Windows XP主机提供“远程桌面Web连接”功能,必须先行安装该组件。方法是:运行“控制面板”中的“添加或删除程序”项,然后在“添加或删除程序”对话框中单击“添加/删除Windows组件”选项,在“Windows组件向导”对话框中选择“Internet信息服务”选项并单击“详细信息”按钮,依次选择“万维网服务→远程桌面Web连接”项,确定后返回到“Windows组件向导”对话框,单击“下一步”按钮,即开始安装。

接下来,运行“管理工具”中的“Internet 信息服务”程序,依次展开文件夹分级结构,找到“tsweb”文件夹,单击鼠标右键,选择“属性”命令。

在出现的“属性”对话框中单击“目录安全”选项卡,单击“匿名访问和身份验证控制”栏中的“编辑”按钮,在出现的“身份验证方法”对话框中选中“匿名访问”选项即可。这样我们就可以用IE访问“远程桌面”了。

在客户端运行IE浏览器,在地址栏中按 “http://服务器地址(域名)/tsweb”格式键入服务器地址,如服务器地址为218.76.219.5,则可在地址栏中输入“http://218.76.219.5/tsweb/”,回车之后,“远程桌面 Web 连接”的页面将出现在IE窗口中,如图3所示,在网页中的“服务器”栏中键入想要连接的远程计算机的名称,单击“连接”按钮即可连入远程桌面。

除了远程桌面与远程协助外,Windows XP还提供了程序共享功能,在某种意义上,它也是一种对程序的远程控制,另外NetMeeting中也具有程序共享功能。

以上的远程控制方式都必须在Windows XP或Windows Server 2003中才能进行,而且功能相对简单。要在其他的操作系统中进行远程控制,或者需要远程控制提供更为强大的功能,就需要使用其他的第三方远程控制软件。

Windows 2000远程控制的实现

现在,很多企业或者学校都使用Windows 2000作为常用的操作系统。但是在使用Windows 2000时,由于用户对Windows 2000操作系统不熟悉,时常出现不正确的操作,给系统本身带来很多问题。以往,网络管理员通过使用当面指导和一些远程控制软件来协助解决以上问题。其实,我们完全可以通过使用Windows 2000 Server终端服务的远程协助来解决这些问题。通过终端服务的远程协助功能,网络管理员可以与用户共享桌面,来指导用户如何应用。

1、终端服务的实现

终端服务是Windows 2000的内置功能,它具有远程管理和应用程序服务器两种模式。本文介绍的就是基于应用程序服务器模式下的远程协助功能。在应用程序服务器模式下,网络管理员可以从中心机房部署和管理应用程序,从而节约了维护、升级所需要的时间和人力。

终端服务可以通过在“控制面板/添加删除程序”中选择“Terminal Services”安装,安装完终端服务以后计算机要求重新启动。需要注意的是,安装终端服务不仅在计算机上实现了服务,同时还安装了一套客户端软件,它位于C:\\WinNT\\System32\\Clients目录下,用户计算机需要得到协助时,可以通过安装好的客户端软件连接到终端服务器上,网络管理员就可以实施远程协助了。

2、客户端的实现

客户端的实现有两种方法。第一种方法是通过网络共享目录来安装,这种方法比较容易;第二种方法是在客户端计算机使用软盘安装,在安装终端服务的同时,服务器还同时提供了客户端软件的生成工具,使用该工具可以生成客户端安装软盘,这种方法相对前一种方法来讲,比较麻烦。

客户端的安装很简单,只要找到共享目录或第一张软盘,运行Setup.exe后随着向导指示去做就行了。

3、实现远程协助

要实现远程协助,需要网络管理员和被协助者同时使用客户端软件连接到终端服务器上,网络管理员通过使用终端服务器上的终端服务器管理工具找到代表被协助者的会话,网络管理员可以通过右击被协助者的会话标签,在弹出的菜单中选择“远程控制”即可。可以在实施控制之前,通过“发送消息”通知客户端做好准备。为了保证协助的可操作性,在实施远程控制之前,系统会询问如何快速中止远程控制会话。与此同时被协助者的屏幕上会显示一个询问是否接受远程用户的协助和控制的提示:“Do you accept the request?”,这主要是出于安全考虑,防止恶意客户端随意远程控制其他用户。

当被协助者接受了远程控制以后,终端服务器就会把被协助者的桌面显示发送给网络管理员,这时网络管理员和被协助的用户都可以控制桌面和应用程序,即此时网络管理员就可以协助客户端了。

4、注意事项

由于微软严格的许可证制度,终端服务器需要使用特定的终端服务许可。如果没有发布该许可的许可证服务器,终端服务只允许使用90天。

此外,终端服务的另外一种模式——远程管理,由于使用了更严格的加密措施,所以可以提供网络管理员实施远程管理的能力,而且不需要额外的许可证。

Windows 98远程控制的实现

笔者一个朋友所在的单位的很多工作都是通过局域网来完成的。由于是单位的网络维护员,他经常发现有些电脑因为使用者操作不当而出现系统不稳定、死机、应用软件因为误删除而不能使用需要重新安装等等问题。而该电脑又因为光驱不好用,无法正常安装操作系统及其他应用软件。这时怎么办呢?共享当然是一个办法,但它不是最安全的。其实还有一个更好的方法,在这里笔者要介绍给大家的,是一种更理想的方法——用远程控制来实现文件共享。以下操作以两台电脑都是Windows 98系统为例。

1、设置

设置被控制方。因为是利用局域网并在同一域内,所以必须先先填入用户、密码及域,进入所在的域。进入“控制面板”打开“密码”选项,点击“远程管理”选项卡,将“启用此服务器的远程管理”选项打上勾,并在密码及确认密码栏内将控制密码输入。

提示:不知道密码的人是无法控制该电脑的。在设置完此项后,您就可以去安心地设置远程控制了。

设置控制一方。同样要先进入所在的域,然后进入“控制面板”打开“添加/删除程序”选项,选择“Windows安装程序”选项卡,将“系统工具”打上勾,点击“详细资料”进入,将“系统工具”组件里的“网络监视器”打上勾,并点击“确定”。

提示:如需Windows 98系统文件,请将Windows 98安装光盘放入光驱内。

2、使用

点击“程序→附件→系统工具”,将网络监视器打开。在进入网络监视器后,点击菜单栏里的“服务器→选择服务器”,在出现的页面提示栏里输入被远程控制的计算机名,或者点击浏览找到这台计算机。确定后会出现一提示框,让您输入密码,这里的密码就是你在被控制电脑上所设置的密码,同时在提示框下将“请将密码保存到密码列表”的勾去掉。

提示:如果打上勾的话,下次其他人不需要输入密码就可以远程控制这台电脑了。

这时就可以看到你已经将被控制电脑连接上了,在标题栏上可以看到“1连接到\\某某”(这里的某某就是被控制电脑的计算机名),而在下方显示的远程控制电脑的用户是zxb,计算机名是赵晓彬。从你的网上邻居里中,可以看到那台电脑的所有硬盘驱动器被完全共享了,但是此时在同一域中的其他电脑,却看不到这台电脑被共享的一丝痕迹。现在,你就可以将所需要的文件复制到被控制的电脑中了。

提示:在解决问题之后,一定要将“网络监视器”卸载,方法是依次进入“控制面板→添加/删除程序→系统工具”将“网络监视器”前的勾去掉就可以了。
1. PcAnywhere V12.0 Beta

远程控制软件,你可以将你的电脑当成主控端去控制远方
www.skycn.com/soft/6865.html

2. 远程控制任我行 V8.0

该软件主要用于远程监控,具体功能包括: 1.查看远程主
www.skycn.com/soft/14715.html

3. pcAnywhere 11.5.1 updates

远程控制软件,你可以将你的电脑当成主控端去控制远方另一台同样安装有pcANYWHERE的电
www.onlinedown.net/soft/6029.htm

4. WAY远程控制系统 V2.4

木马程序,控制远方的计算机,支持局域网/互联网方式,
www.skycn.com/soft/2656.html

5. Remote Administrator 2.2 汉化版

远程控制你的计算机,你可以在本地看见远程计算机的屏幕显示,本地的鼠标、键盘的有关
www.onlinedown.net/soft/13868.htm

6. 魔法控制 2005 5.0

是一个强大的远程控制软件,可以安全高效稳定得对远程电脑进行文件管理,和桌面控制。
www.onlinedown.net/soft/5444.htm

7. Radmin 3.2.0.0 影子汉化版

远程控制软件,可以远程管理公司或个人计算机实现远程办公。可以进行完全控制,屏幕监
www.onlinedown.net/soft/32049.htm

8. 美萍网管大师 10.1

集实时计时,计费,计帐于一体,利用一台管理机可远程控制整个网络
download.pchome.net/industry/netbar/457.html

9. pcAnywhere 10.5.1

可实现远程控制计算机,远程传输文件
download.pchome.net/internet/server/remote/3433.html

10. Remote Administrator V2.2

远程控制你的计算机,你可以在本地看见远程计算机的屏
www.skycn.com/soft/12893.html

11. 魔法远程控制系统 2005 V5.21

魔法控制是一个强大的远程控制软件,可以安全高效稳定
www.skycn.com/soft/8997.html

12. SmartCode VNC Manager 3.0.28.0

VNC的远程控制客户端软件
download.pchome.net/internet/server/remote/18827.html

13. RealVNC(WinVNC) Enterprise Edition 4.1.6 汉化版

远程控制程序(原WinVNC),它可以安装在Windows中而让使用者在世界各地远端遥控自己的
www.onlinedown.net/soft/3195.htm

14. 广外男生远程控制 V0.92A

使用广外程序员独创的“线程插入”技术。基于成功的“
www.skycn.com/soft/11515.html

15. Remote Administrator V3.0 Beta

远程控制你的计算机,你可以在本地看见远程计算机的屏
www.skycn.com/soft/1176.html

16. 网络神偷 7.3

针对远程文件访问,而不是远程控制,力求“专而精”
download.pchome.net/internet/telnet/8990.html

17. DameWare NT Utilities 4.0.0.1 汉化修正版

DameWareNTUtilities是一套功能强大的WindowsNT远程控制软件。试用后觉得是网管的好帮
www.onlinedown.net/soft/25498.htm

18. Remote Administrator 2.2

远程控制你的计算机,你可以在本地看见远程计算机的屏幕显示,本地的鼠标、键盘的有关
www.onlinedown.net/soft/8812.htm

19. Back Orifice 2000 修改版(无需原版)

简称BO2K,远程控制软件,可以察看远端计算机的内容。上载或下载文件,察看所有密码记
www.onlinedown.net/soft/10701.htm

20. 远程控制软件(QuickIP) 8.30简体中文版

QuickIP是基于TCP/IP协议的计算机远程控制软件,使用QuickIP可以通过局域网、因特网全

 

 

开始》运行》cmd
再输入netstat -a
上面有
proto localaddress foreignaddress state
tcp …. 1025 xxx.xxx.xxx.xxx listening
….
类似的东西吧,看看如果有的话把上面“1025”那个位置的数字记下来,在上网查一查木马常用端口有哪些,如果那个数字是木马常用端口的话估计就是中了木马了.

通过任务管理器,查看“用户”这一栏,“客户端”这一项不为空的用户就是远程登陆的用户

附:木马常用端口
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。

端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。

端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。

端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。

端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。

端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口

端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口

端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。

端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口

端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口

端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。

端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。

端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。

端口:5000、5001、5321、50505
服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。

端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。

端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。

端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

端口:5742
服务:[NULL]
说明:木马WinCrash1.03开放此端口。

端口:6267
服务:[NULL]
说明:木马广外女生开放此端口。

端口:6400
服务:[NULL]
说明:木马The tHing开放此端口。

端口:6670、6671
服务:[NULL]
说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口:6883
服务:[NULL]
说明:木马DeltaSource开放此端口。

端口:6969
服务:[NULL]
说明:木马Gatecrasher、Priority开放此端口。

端口:6970
服务:RealAudio
说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口:7000
服务:[NULL]
说明:木马Remote Grab开放此端口。

端口:7300、7301、7306、7307、7308
服务:[NULL]
说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口:7323
服务:[NULL]
说明:Sygate服务器端。

端口:7626
服务:[NULL]
说明:木马Giscier开放此端口。

端口:7789
服务:[NULL]
说明:木马ICKiller开放此端口。

端口:8000
服务:OICQ
说明:腾讯QQ服务器端开放此端口。

端口:8010
服务:Wingate
说明:Wingate代理开放此端口。

端口:8080
服务:代理端口
说明:WWW代理开放此端口。

端口:9400、9401、9402
服务:[NULL]
说明:木马Incommand 1.0开放此端口。

端口:9872、9873、9874、9875、10067、10167
服务:[NULL]
说明:木马Portal of Doom开放此端口。

端口:9989
服务:[NULL]
说明:木马iNi-Killer开放此端口。

端口:11000
服务:[NULL]
说明:木马SennaSpy开放此端口。

端口:11223
服务:[NULL]
说明:木马Progenic trojan开放此端口。

端口:12076、61466
服务:[NULL]
说明:木马Telecommando开放此端口。

端口:12223
服务:[NULL]
说明:木马Hack’99 KeyLogger开放此端口。

端口:12345、12346
服务:[NULL]
说明:木马NetBus1.60/1.70、GabanBus开放此端口。

端口:12361
服务:[NULL]
说明:木马Whack-a-mole开放此端口。

端口:13223
服务:PowWow
说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口:16969
服务:[NULL]
说明:木马Priority开放此端口。

端口:17027
服务:Conducent
说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口:19191
服务:[NULL]
说明:木马蓝色火焰开放此端口。

端口:20000、20001
服务:[NULL]
说明:木马Millennium开放此端口。

端口:20034
服务:[NULL]
说明:木马NetBus Pro开放此端口。

端口:21554
服务:[NULL]
说明:木马GirlFriend开放此端口。

端口:22222
服务:[NULL]
说明:木马Prosiak开放此端口。

端口:23456
服务:[NULL]
说明:木马Evil FTP、Ugly FTP开放此端口。

端口:26274、47262
服务:[NULL]
说明:木马Delta开放此端口。

端口:27374
服务:[NULL]
说明:木马Subseven 2.1开放此端口。

端口:30100
服务:[NULL]
说明:木马NetSphere开放此端口。

端口:30303
服务:[NULL]
说明:木马Socket23开放此端口。

端口:30999
服务:[NULL]
说明:木马Kuang开放此端口。

端口:31337、31338
服务:[NULL]
说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口:31339
服务:[NULL]
说明:木马NetSpy DK开放此端口。

端口:31666
服务:[NULL]
说明:木马BOWhack开放此端口。

端口:33333
服务:[NULL]
说明:木马Prosiak开放此端口。

端口:34324
服务:[NULL]
说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口:40412
服务:[NULL]
说明:木马The Spy开放此端口。

端口:40421、40422、40423、40426、
服务:[NULL]
说明:木马Masters Paradise开放此端口。

端口:43210、54321
服务:[NULL]
说明:木马SchoolBus 1.0/2.0开放此端口。

端口:44445
服务:[NULL]
说明:木马Happypig开放此端口。

端口:50766
服务:[NULL]
说明:木马Fore开放此端口。

端口:53001
服务:[NULL]
说明:木马Remote Windows Shutdown开放此端口。

端口:65000
服务:[NULL]
说明:木马Devil 1.03开放此端口。