妙用系統任務管理器揪出暗藏木馬

　　Windows任務管理器是大家對進程進行管理的主要工具，在它的“進程選項卡中能查看當前系統進程信息。在默認設置下，一般只能看到映像名稱、用戶名、CPU占用、內存使用等幾項，而更多如I/O讀寫、虛擬內存大小等信息卻被隱藏了起來。可別小看了這些被隱藏的信息，當系統出現莫名其妙的故障時，沒准就能從它們中間找出突破口。

　　1.查殺會自動消失的雙進程木馬

　　前段時間朋友的電腦中了某木馬，通過任務管理器查出該木馬進程為“system.exe，終止它後再刷新，它又會復活。進入安全模式把c：＼windows＼system32＼system.exe刪除，重啟後它又會重新加載，怎麼也無法徹底清除它。從此現象來看，朋友中的應該是雙進程木馬。這種木馬有監護進程，會定時進行掃描，一旦發現被監護的進程遭到查殺就會復活它。而且現在很多雙進程木馬互為監視，互相復活。因此查殺的關鍵是找到這“互相依靠的兩個木馬文件。借助任務管理器的PID標識可以找到木馬進程。

　　調出Windows任務管理器，首先在“查看→選擇列中勾選“PID（進程標識符），這樣返回任務管理器窗口後可以看到每一個進程的PID標識。這樣當我們終止一個進程，它再生後通過PID標識就可以找到再生它的父進程。啟動命令提示符窗口，執行“taskkill /im system.exe /f命令。刷新一下電腦後重新輸入上述命令，可以看到這次終止的system.exe進程的PID為1536，它屬於PID為676的某個進程。也就是說PID為1536的system.exe進程是由PID為676的進程創建的。返回任務管理器，通過查詢進程PID得知它就是“internet.exe進程。

　　找到了元凶就好辦了，現在重新啟動系統進入安全模式，使用搜索功能找到木馬文件c：＼windows＼internet.exe ，然後將它們刪除即可。前面無法刪除system.exe，主要是由於沒有找到internet.exe（且沒有刪除其啟動鍵值），導致重新進入系統後internet.exe復活木馬。

　　2.揪出狂寫硬盤的P2P程序

　　單位一電腦一開機上網就發現硬盤燈一直閃個不停，硬盤狂旋轉。顯然是本機有什麼程序正在進行數據的讀取，但是反復殺毒也沒發現病毒、木馬等惡意程序。

　　打開該電腦並上網，按Ctrl+Alt+Del鍵啟動了任務管理器，切換到“進程選項卡，點擊菜單命令“查看→選擇列，同時勾選上“I/O寫入和“I/O寫入字節兩項。確定後返回任務管理器，發現一個陌生的進程hidel.exe，雖然它占用的CPU和內存並不是特別大，但是I/O的寫入量卻大得驚人，看來就是它在搗鬼了，趕緊右擊它並選擇“結束進程終止，果然硬盤讀寫恢復正常了。

　　曾經飽受木馬、後門(以下統稱後門)侵害的人們都不會忘記機器被破壞後的慘象，於是人們展開了積極的防御工作，從補丁到防火牆，恨不得連網線都加個驗證器，在多種多樣的防御手法夾攻下，一大批後門倒下了，菜鳥們也不用提心吊膽上網了…… 可是後門會因此罷休嗎?答案當然是否定的。君不見，在風平浪靜的陸地下，一批新的後門正在暗渡陳倉……

　　1、反客為主的入侵者

　　黑客A連接上了網絡，卻不見他有任何行動，他在干什麼呢?我們只能看見他燃起一支煙，似乎在發呆……過了一會兒，他突然把煙頭一丟，雙手迅速敲擊鍵盤，透過屏幕，我們得知他已經進入了一個企業內部的服務器，一台安裝了防火牆、而且深居內部的服務器……他怎麼做到的呢?莫非他是神仙?請把鏡頭回退到剛才那一幕，黑客A在煙霧熏繞中盯著一個程序界面出神，突然，那個界面變動了一下，同時，黑客A也開始敲打鍵盤，接下來就是熟悉的控制界面。各位也許不相信自己的眼睛了：難道是那台機器自己找上他的?不可能…… 可是這是事實，真的是服務器自己找上來的。黑客A也不是高技術，他只是使用了一種反客為主的後門——反彈木馬。

　　眾所周知，通常說的入侵都是入侵者主動發起攻擊，這是一種類似捕獵的方式，在警惕性高的獵物面前，他們已經力不從心;可是對於使用反彈技術的入侵者來說，他們卻輕松許多，反彈木馬就如一個狼外婆，等著小紅帽親自送上門去。一般的入侵是入侵者操作控制程序去查找連接受害計算機，而反彈入侵卻逆其道而行之，它打開入侵者電腦的一個端口，卻讓受害者自己與入侵者聯系並讓入侵者控制，由於大多數防火牆只處理外部數據，對內部數據卻閉上眼睛，於是，悲劇發生了。

　　反彈木馬的工作模式如下：受害者(被植入反彈木馬服務端的計算機)每間隔一定時間就發出連接控制端的請求，這個請求一直循環到與控制端成功連接;接下來控制端接受服務端的連接請求，兩者之間的信任傳輸通道建立;最後，控制端做的事情就很普通了——取得受害者的控制權。由於是受害者主動發起的連接，因此防火牆在大多數情況下不會報警，而且這種連接模式還能突破內網與外部建立連接，入侵者就輕易的進入了內部的計算機。

　　雖然反彈木馬比起一般木馬要可怕，但是它有天生的致命弱點：隱蔽性還不夠高，因為它不得不在本地開放一個隨機端口，只要受害者有點經驗，認出反彈木馬不是難事。於是，另一種木馬誕生了。

　　2、不安分的正常連接

　　現在有很多用戶都安裝了個人HTTP服務器，這就注定了機器會開著80端口，這很正常，但是有誰知這是一個給無數網絡管理員帶來痛苦的新技術，它讓一個正常的服務變成了入侵者的利器。

　　當一台機器被種植Tunnel後，它的HTTP端口就被Tunnel重新綁定了——傳輸給WWW服務程序的數據，也在同時傳輸給背後的Tunnel，入侵者假裝浏覽網頁(機器認為)，卻發送了一個特殊的請求數據(符合HTTP協議)，Tunnel和WWW服務都接收到這個信息，由於請求的頁面通常不存在，WWW服務會返回一個HTTP404應答，而Tunnel卻忙開了……

　　首先，Tunnel發送給入侵者一個確認數據，報告Tunnel存在;然後Tunnel馬上發送一個新的連接去索取入侵者的攻擊數據並處理入侵者從HTTP端口發來的數據;最後，Tunnel執行入侵者想要的操作。由於這是“正常的數據傳輸，防火牆一樣沒看見。但是目標沒開放80端口怎麼辦呢?擅自開一個端口等於自殺。但是入侵者不會忘記那個可愛的NetBIOS端口——長年累月開放的139端口，和它分享數據，何樂不為? Tunnel技術使後門的隱蔽性又上了一個級別，可是這並不代表無懈可擊了，因為一個有經驗的管理員會通過Sniffer看到異常的景象……Tunnel攻擊被管理員擊潰了，可是，一種更可怕的入侵正在偷偷進行中……