一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。（首先要在电脑开始－运行，打入cmd，进入dos窗口）

　　检测网络连接
　　如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。
　　禁用不明服务
　　很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。
　　轻松检查账户
　　很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。
　　首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！

ps:上面的后面两条都可以选择不用dos命令来处理。象第二条禁用不明服务，你可以选择右键点击我的电脑，选择manage，在跳出的窗口中选择sevices and application.单击service，你就可以看到你电脑中开启的所有服务。第三条就更简单了，到控制面板中选择useraccount，然后在做相应的处理。

[ 本帖最后由 Shanison 于 2007-1-8 03:50 PM 编辑 ]

yhjyhjyh

额~~~好复杂啊~~看不大懂~~

TUBAOZI

楼主偶打了命令,怎么看是不是中了木马???????????教偶一下谢谢

太有用了,谢谢楼主!!!

禁用不明服务
能不能把服务项详细说一下呀？

xingcwjs

我也试了一下，但是还是不知道是否有木马病毒，请详细说明，谢谢。

japanese

                                                                

版主评語: Japanese

关于查杀木马 其实现在的木马技术已经不是单纯的普通行了 简单说下木马的 启动： 有注册表,启动项目，系统服务，系统关联，Active，进程注入 保护： 进程隐藏，系统服务，HookApi，以及 Ring0 的 Root，多进程看守保护 主要就这两块吧 当然我们处理 这些可疑进程的时候 我们可以借助 IceSword，Syscheck等等 RootKit 工具 提供各软件包上来吧～

[ 本帖最后由 japanese 于 2007-1-9 12:50 PM 编辑 ]

在这里，我简单的在介绍一下木马程序的原理，以便于大家能够更好的识别和处理木马程序。

首先一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。
(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。
(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。
(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

其次我们在看看木马的运行：
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。然后服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态（也就是我上面的帖子所说的），一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。简要的我们可以这么判断：
在上网过程中我们要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：
(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。
(3)4000端口：这是OICQ的通讯端口。
(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。
其次我们可以还可以通过NETSTAT -AN看到我们的机子如果是有一些foreign address,为了确保不是被木马程序远程控制着，你还可以尝试一下通过ip查询，看是哪里的机子连接到你的电脑上了（网上有很多查询ip服务的，如：http://www.ip138.com）

简要的就这些了，如果觉得太麻烦的话，可以去用现在最强的防木马软件Ewido来查毒。

[ 本帖最后由 Shanison 于 2007-1-9 05:09 PM 编辑 ]

对于这个问题，比较麻烦回答。因为一般windows里的服务项很多的，要一一解释也是比较麻烦的。不过其实也很简单。你按照我说的第二种方法，也就是选择右键点击我的电脑，选择manage，在跳出的窗口中选择sevices and application.单击service。这时候呢，你单击每个service，旁边都会出现相关的description.说的也是蛮清楚的，如果你还是不太了解这个service是干吗的，你可以去搜索一下这个service的相关简介。