亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

二、發(fā)現(xiàn)灰鴿子

從目前的狀況來說，基本上所有的殺毒軟件都不能即時查殺灰鴿子，而灰鴿子又文件隱藏，進(jìn)程隱藏，唯一能夠被看到的是它在Windows“服務(wù)”窗口中的服務(wù)，但是他的服務(wù)名稱，服務(wù)的顯示名稱黑客又都可以自定義。如圖3所示，這是灰鴿子筆者誤安裝在自己電腦上的服務(wù)名稱，不論是灰鴿子的文件名（文件名黑客也可以自定義），還是服務(wù)名稱或者是該服務(wù)的描述，都非常具有迷惑性，對不熟悉Windows服務(wù)的一般用戶來說，像這樣的服務(wù)，豈敢禁用或刪除。所以說，用一般的方法根本無法確定灰鴿子的存在。

圖3 自定義的灰鴿子進(jìn)程服務(wù)

那么怎樣才能發(fā)現(xiàn)灰鴿子呢？下面是筆者的經(jīng)驗：

⒈根據(jù)筆者的經(jīng)驗，目前能夠發(fā)現(xiàn)灰鴿子行之有效的辦法還是使用天網(wǎng)防火墻。天網(wǎng)防火雖然不能攔截灰鴿子和外部的通信，但是天網(wǎng)防火墻能夠顯示本機與外部通信的所有連接。IE瀏覽器與服務(wù)器的80端口通訊，只有當(dāng)您打開一個網(wǎng)頁時，它才會與眾多服務(wù)器連接以顯示網(wǎng)頁上的資源，而灰鴿子服務(wù)端則不同，不論您訪問網(wǎng)頁還是不訪問網(wǎng)頁，只要黑客啟動了客戶端并監(jiān)聽一個端口（這個端口黑客也能自定義，默認(rèn)的監(jiān)聽端口是8000），它就總以IE瀏覽器的身份主動連接到這個端口（如果客戶端沒有啟動，它會每隔一段時間嘗試連接一次）。所以說，如果您沒有使用IE瀏覽網(wǎng)頁，而您的IE瀏覽器有長時間連接到同一個主機的某一端口（如圖4），那么就可以初步斷定，發(fā)起這些連接的絕對不是IE瀏覽器，十有八九它就是灰鴿子。

圖4 用“天網(wǎng)”查看網(wǎng)絡(luò)連接

⒉灰鴿子是用一個自動啟動的服務(wù)在開機時加載的，但是該服務(wù)與其它自動啟動的服務(wù)不同，其它自動啟動的服務(wù)，它的服務(wù)狀態(tài)一般都是“已啟動”，但灰鴿子不同，它的服務(wù)狀態(tài)卻是“已停止”。如果根據(jù)天網(wǎng)防火墻你能初步斷定自己可能中了灰鴿子，而且您的電腦中也存在這樣的服務(wù)，那么現(xiàn)在就可以確定，這個服務(wù)就是灰鴿子注冊的。

提示：在Windows的“服務(wù)”窗口中絕大多數(shù)服務(wù)項目都是Windows自帶的，而且這些服務(wù)項目都已得到了微軟的認(rèn)證�，F(xiàn)在，好多木馬都是通過一個自動啟動的服務(wù)加載的，但這些服務(wù)項目大都沒有得到微軟的認(rèn)證。今天，給大家推薦一個工具——Autoruns，該工具能夠掃描出系統(tǒng)中所有沒有得到微軟認(rèn)證的服務(wù)，如圖5所示，誤安裝在自己系統(tǒng)中的灰鴿子豁然在目。

圖5 灰鴿子的啟動項