通過TCP連接查找木馬

　　編者按：殺毒軟件，你有；網絡防火牆，你也有；各種防范措施，你都略知一二。然而，面對各種不安定因素，你能保證自己永不中招？千萬別在出現異常情況時六神無主，自檢，它能幫你找出安全隱患、制定防守戰略。從容應對安全問題，得從自檢開始。自本期開始，我們將為大家帶來自檢三部曲，指導大家學會自檢。今天，將介紹的就是針對TCP連接的自檢。

　　病毒和木馬對個人電腦的威脅越來越大，它們不但破壞本地電腦的安寧，5自學網，甚至完全摧毀電腦，而且它們還會利用網絡技術，開啟多個TCP連接感染網絡中的其他電腦，使病毒或木馬的破壞力大大增強。俗話說“打蛇要打七寸”，如何將這些來自於網絡的威脅降到最低點，非常重要的一個防范措施就是管好電腦中的TCP連接，經常自檢尤為重要。

　　電腦中的TCP連接分為兩種，一種是本機中危險進程開啟的由內到外的TCP連接，另一種是來自外部惡意攻擊的外部TCP連接。對於這兩種TCP連接，需要采用不同的自檢和處理方法，今天我們就會為大家介紹這兩種方法。

　　小知識：當用戶使用某些危險的網絡服務，或某些病毒、黑客控制系統的時候，就會先使用TCP協議建立端對端的連接，然後進行下一步的操作，這就是所謂的惡意TCP連接。

　　細心：檢測由內向外的TCP連接

　　安全警報：報警！報警！網內突發傳播性極強的攻擊性事件，它不但感染本地系統，造成計算機異常，而且它還通過網絡擴散，開啟大量的TCP連接，感染網絡中的其他機器。此時，對於這種還未探明具體成因的惡意事件，可對由內向外的TCP連接進行自檢，找出並關閉異常或惡意的網絡進程。

　　如果你的電腦不幸中了某些病毒或木馬（如震蕩波、沖擊波等），5自學網，它們在感染本地Windows系統的同時，還會開啟很多由內到外的TCP連接以攻擊網絡中的其他電腦，此時如果殺毒軟件不能進行查殺，那麼你就會在無形中充當病毒的幫凶。

　　豈能輕易當幫凶？雖然此時不能徹底清除病毒，但我們完全可以減緩病毒的危害性，阻止病毒、木馬創建由內向外的TCP連接，防止它們進一步擴散。

　　1．請來Tcpview

　　雖然用Windows系統自帶的“NETSTAT”命令可以檢測本機的TCP連接情況，但該命令畢竟是基於命令行方式的，使用起來非常不方便，而且TCP連接情況不能實時更新。因此筆者建議大家使用“Tcpview”這款工具

　　在Tcpview的網絡連接顯示框中，會顯示出所有進程的網絡連接情況，包括病毒建立的由內到外的TCP連接。這些連接信息還是實時動態變化的，能夠顯示出詳細的TCP連接參數信息，如進程名、進程ID、連接使用的協議、本地地址和端口號。現在，通過Tcpview程序，就可以很容易地分析出每個TCP連接的情況。

　　2．仔細檢查TCP連接

　　如果你發現Tcpview網絡連接顯示框中有不熟悉的進程名（圖1），而且這個進程的TCP連接數量非常多，變化頻率也很快，這說明這些TCP連接可能就是系統中存在的病毒或木馬建立的由內到外的TCP連接。

　　為了防止惡意程序的蔓延和傳播，可以記錄相關進程使用的本地端口號，然後右鍵點擊這些進程項目，選擇“End Process”結束這些由內到外的TCP連接。接下來，就利用網絡防火牆關閉病毒所使用的端口，禁止病毒開啟惡意的TCP連接。

　　

　　筆者在此還建議大家一定要給Windows XP系統安裝SP2補丁，它可以將程序開啟的線程數限制在10個以內，這樣也就有效地限制了病毒建立的由內到外的TCP連接數。

　　方法總結：以上方法適用於對本機中的病毒或木馬創建的TCP連接進行自檢，也就是對由內到外的TCP連接進行檢測，這可以有效地緩解這些害群之馬所帶來的危害。但筆者還是要提醒大家，要想徹底消滅這些由內到外的TCP連接，還需要即時升級殺毒軟件，安裝Windows系統的相應補丁程序。

謹慎：嚴查外部TCP連接

　　安全警報：報警！報警！本機某個端口突然有大量TCP連接，嚴重消耗本機的網絡資源，網絡速度急劇降低且不穩定，疑是來自外部的病毒或黑客攻擊。

　　除了病毒或木馬會利用由內到外的TCP連接，危害網絡中的其他電腦外。本機也可能受到來自外部的攻擊，如病毒或黑客攻擊本機的某個網絡端口，當然這些攻擊也是利用TCP連接實現的，不同的是它們都是來自外部的惡意TCP連接。因此針對本機是否受到外部TCP連接攻擊的檢測，非常必要。

　　要想知道本機是否受到外部TCP連接的攻擊，就需要通過監控某個端口來實現，使用“TCP攻擊監控器v1.0”這款工具是不錯的選擇。

　　1．配置監控參數

　　如果筆者想監控Windows XP系統的IIS服務器的80端口是否受到攻擊，可運行TCP攻擊監控器，首先在“監控端口”欄中輸入“80”，然後根據需要設置好“刷新周期”和“單IP最小連接數”，接下來該工具就會監控IIS服務器的80端口的外部TCP連接情況（圖2）。

　　

　　2．從記錄中找出攻擊源

　　在“TCP連接數”欄中詳細地記錄著每個與IIS服務器建立TCP連接的機器的IP地址，並且還記錄了這個IP的TCP連接數。

　　如果短時間內，來自某個IP地址的TCP連接數非常多，那麼很有可能就是使用這個IP地址的機器對IIS服務在進行TCP攻擊，這是非常危險的。由於這些來自外部的TCP攻擊很可能是病毒或黑客所為，為了保證IIS服務器的安全，我們可以在IIS服務器或網絡防火牆中，徹底禁止該IP地址發起的訪問，這樣就擺脫了外部惡意TCP連接的攻擊， Windows系統會更加安全。

　　方法總結：此方法適用於對來自外部的TCP連接進行自檢，做好對這些外部的TCP連接的監控和自檢工作，過濾有害的外部TCP連接，能夠最大限度地減輕外部病毒或黑客攻擊所帶來的危害。

　　本期，我們介紹了如何對由內到外和外部的TCP連接進行自檢。高效地完成自檢工作，對防止病毒和木馬的傳播、攻擊有著重要的作用。當然，任何惡意的TCP連接都是針對某個端口而建立的，因此做好端口的自檢工作非常重要。在下期，我們將會為大家介紹如何對端口進行自檢，敬請期待。