浙江麻将机生产厂家
危險漫步博客
有時候,正是那些意想不到之人,成就了無人能成之事。
文章1443 瀏覽13842342

如何干掉UDP木馬程序?

現在在網絡上流傳的做木馬,通常都是使用tcp端口進行遠程控制,但是這種木馬的漏洞就是只要你的安全意識足夠高,很容易就可以發現它,也正是由于這一點,黑客對這個程序進行了改進,開發出了利用UDP端口的木馬,這種瓦的特點就是隱蔽性非常好,不容易被發現,接下來我就和大家好好的介紹一下。

首先我先來和大家描述一下情況,在我們開機之后只要撥號上網,網絡防火墻就會彈出一個提示窗口,詢問是否允許Internet Explorer連接網絡,然后我們可以從提示框的地址中證實,這個確實是屬于ie瀏覽器的進程要求,但是我上網一般都是使用maxthon,于是這個時候我就懷疑電腦中了病毒,并對系統進行了一次徹底的根除掃描,結果并沒有發現有異常。

雖然殺毒軟件并沒有掃描出結果,但是我可以清晰地感覺到,這個幕后黑手一定是一個木馬程序,因為流氓軟件不會對系統是否聯網進行判斷,而且在大部分情況下,只有木馬才會有這個功能,之所以不被查殺,可能是因為它是一個隱蔽性很高的全新木馬程序,有可能被入侵者進行了特征碼修改的免殺操作。當我再次撥號上網的時候,防火墻又出現了ie瀏覽器連接互聯網的請求,緊接著我通過運行木馬輔助器,找到了它,木馬輔助器是一款可以輔助用戶進行惡意程序檢查的工具。它可以檢查哪些端口被打開使用,還可以看到是哪些進程打開的這些端口,從而方便用戶根據實際情況,決定是否終止進程來關閉某些端口,并且可以刷新及時地更新當前的端口情況。

從木馬輔助器反饋的信息中,我發現了一個特別的地方,就是ie瀏覽器的進程,居然用的是UDP協議,也就是說,這個木馬程序用的也是UDP協議,而正常情況下,不管是ie瀏覽器的網絡訪問還是我們常見的木馬程序在進行數據傳輸的時候,都應該采用tcp協議才對。

了解到了這一點,現在我們只需要查找到那些木馬程序,采用了UDP協議進行數據傳輸,就可以判斷出潛伏的木馬程序是什么。果然很快,我發現了一款木馬,的確是采用UDP協議進行傳輸,這款木馬的后門不止一種,而且可以根據木馬的行為判斷,比如插入瀏覽器進程返聯端口等。通過UDP編寫出來的木馬一般都是無進程,無服務,無DLL。這些木馬主要是以系統服務為啟動方式,使用者可以自定義木馬啟動的服務的名稱,服務端程序的名稱,安裝目錄已經上線端口等,這樣就大大增加了用戶發現這個木馬的難度。

由于這種木馬的服務端程序都是通過系統服務來進行啟動的,所以我們要通過服務管理器來查看系統中的可以服務。

在我的電腦中,選擇管理命令,接著會彈出一個計算機管理窗口,然后在這些系統服務中查找可疑的服務,接著記錄下這個服務的服務名稱以及所知的程序路徑,并且用sc刪除服務,將該服務刪除,接著我們在打開ie瀏覽器的進程,可以在第二名稱窗口中查看到該進程下的所有線程,找到你認為可疑的線程并終結它就可以了。

相關推薦

浙江麻将机生产厂家 新时时五星走势图 三公怎么玩详细介绍 任三倍投计划 365彩票网 重庆时时彩历史开奖数 飞禽走兽玩法 羽毛球比分直播赛果 嘉安投资平台正规吗 重庆肘时彩实时开奖 11选5打任8选10个号