亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

二、發(fā)現(xiàn)灰鴿子

從目前的狀況來(lái)說(shuō)，基本上所有的殺毒軟件都不能即時(shí)查殺灰鴿子，而灰鴿子又文件隱藏，進(jìn)程隱藏，唯一能夠被看到的是它在Windows“服務(wù)”窗口中的服務(wù)，但是他的服務(wù)名稱(chēng)，服務(wù)的顯示名稱(chēng)黑客又都可以自定義。如圖3所示，這是灰鴿子筆者誤安裝在自己電腦上的服務(wù)名稱(chēng)，不論是灰鴿子的文件名（文件名黑客也可以自定義），還是服務(wù)名稱(chēng)或者是該服務(wù)的描述，都非常具有迷惑性，對(duì)不熟悉Windows服務(wù)的一般用戶(hù)來(lái)說(shuō)，像這樣的服務(wù)，豈敢禁用或刪除。所以說(shuō)，用一般的方法根本無(wú)法確定灰鴿子的存在。

圖3 自定義的灰鴿子進(jìn)程服務(wù)

那么怎樣才能發(fā)現(xiàn)灰鴿子呢？下面是筆者的經(jīng)驗(yàn)：

⒈根據(jù)筆者的經(jīng)驗(yàn)，目前能夠發(fā)現(xiàn)灰鴿子行之有效的辦法還是使用天網(wǎng)防火墻。天網(wǎng)防火雖然不能攔截灰鴿子和外部的通信，但是天網(wǎng)防火墻能夠顯示本機(jī)與外部通信的所有連接。IE瀏覽器與服務(wù)器的80端口通訊，只有當(dāng)您打開(kāi)一個(gè)網(wǎng)頁(yè)時(shí)，它才會(huì)與眾多服務(wù)器連接以顯示網(wǎng)頁(yè)上的資源，而灰鴿子服務(wù)端則不同，不論您訪問(wèn)網(wǎng)頁(yè)還是不訪問(wèn)網(wǎng)頁(yè)，只要黑客啟動(dòng)了客戶(hù)端并監(jiān)聽(tīng)一個(gè)端口（這個(gè)端口黑客也能自定義，默認(rèn)的監(jiān)聽(tīng)端口是8000），它就總以IE瀏覽器的身份主動(dòng)連接到這個(gè)端口（如果客戶(hù)端沒(méi)有啟動(dòng)，它會(huì)每隔一段時(shí)間嘗試連接一次）。所以說(shuō)，如果您沒(méi)有使用IE瀏覽網(wǎng)頁(yè)，而您的IE瀏覽器有長(zhǎng)時(shí)間連接到同一個(gè)主機(jī)的某一端口（如圖4），那么就可以初步斷定，發(fā)起這些連接的絕對(duì)不是IE瀏覽器，十有八九它就是灰鴿子。

圖4 用“天網(wǎng)”查看網(wǎng)絡(luò)連接

⒉灰鴿子是用一個(gè)自動(dòng)啟動(dòng)的服務(wù)在開(kāi)機(jī)時(shí)加載的，但是該服務(wù)與其它自動(dòng)啟動(dòng)的服務(wù)不同，其它自動(dòng)啟動(dòng)的服務(wù)，它的服務(wù)狀態(tài)一般都是“已啟動(dòng)”，但灰鴿子不同，它的服務(wù)狀態(tài)卻是“已停止”。如果根據(jù)天網(wǎng)防火墻你能初步斷定自己可能中了灰鴿子，而且您的電腦中也存在這樣的服務(wù)，那么現(xiàn)在就可以確定，這個(gè)服務(wù)就是灰鴿子注冊(cè)的。

提示：在Windows的“服務(wù)”窗口中絕大多數(shù)服務(wù)項(xiàng)目都是Windows自帶的，而且這些服務(wù)項(xiàng)目都已得到了微軟的認(rèn)證�，F(xiàn)在，好多木馬都是通過(guò)一個(gè)自動(dòng)啟動(dòng)的服務(wù)加載的，但這些服務(wù)項(xiàng)目大都沒(méi)有得到微軟的認(rèn)證。今天，給大家推薦一個(gè)工具——Autoruns，該工具能夠掃描出系統(tǒng)中所有沒(méi)有得到微軟認(rèn)證的服務(wù)，如圖5所示，誤安裝在自己系統(tǒng)中的灰鴿子豁然在目。

圖5 灰鴿子的啟動(dòng)項(xiàng)