对病毒的直接查杀和防范

对病毒的直接查杀和防范

首先要研究一个问题，就是为什么病毒还能绕过杀毒软件

来侵入电脑。其实，很多杀毒软件的开发水平应该都是很

高的。但是，似乎经常性的让很多用户感觉是没防住的。

为什么会造成这样的现象呢？

我们猜想有这样几方面的情况：

1.新病毒无法防御。

因为杀毒软件主要采用的是特征码的检查方式，所

以，无法对刚出来的病毒进行特征码检查。

2.有些软件虽然自己不是病毒，但是却到处破坏安

全规则，比如，经常性的弹出一个框来，让用户到不良网

站上去。因为杀毒软件不能当病毒来杀，所以病毒通过这

个渠道又进来了。

3.所有的新安装软件在刚使用时，会引起杀毒软件

的报警，报警会弹出一个窗口来问：是否允许呢？这是因

为杀毒软件无法判断是否病毒，所以就只好来问一下。从

理论上说，只要对正常的软件来确定一下，对非正常的软

件来否认一下就可以了。但是对一个企业的网络来说，这

实际又是不现实的。因为企业里有很多人，每个人的计算

机水平是不同的，而面对提问的次数又很多，总有的人会

选择允许，总有的人会选择拒绝。即使你是计算机很熟悉

又很小心的人，当你日复一日的面临不停的提问时一，总有

一次你会疏忽，哪怕是手误，而这一次就决定了你的计算

机将从此陷入无尽的折磨中了。

4.杀毒软件对已经入侵的病毒只能杀掉一部分，但

是对很多是无能为力的。杀毒软件不能对付已入侵的病毒,

这跟软件的设计构架有关。操作系统给于软件分配了不同

的权限，当病毒没有运行起来时，杀毒软件具有查杀的权

限。当病毒运行起来时，往往就可以有和杀毒软件一样的

权限了，或者说双方已经平等了，所以杀毒软件不能完全

查杀病毒也就不奇怪了。

5.其他计算机对同一网络内的计算机发送的病毒的

抵抗能力很弱。这是跟网络的使用方式有关。因为在内部

计算机需要使用大量的应用，包括文件共享等工作，所以

需要采用信任域的方式来协同工作。在病毒没有入侵网络

时，病毒能找到的入侵途径就是前面所说的上网或外设。

一旦入侵了网络，就可以借助内部信任的网络服务来更容

易的扩散。所以，时间一久，网络内的计算机就逐渐的被

病毒渗透，逐渐的陷入了瘫痪。杀毒的主体是杀毒软

件，这已经被现在的应用所证明了的。但是，从上面的分

析来看，现在的杀毒软件构成的体系似乎是肯定在某个情

况下要被突破，事实上也是如此。当一个计算机熟悉的人

员，并且小心的使用计算机时，如果使用了顶尖的杀毒软

件时，实际上用上很多年也不会有问题。但是在一个网络

中，则由于网络中的计算机的关联性和可信任性，总有计

算机被突破，网络也总会面临危机。

那么，怎么在病毒木马入侵后及时有效的发现感染迹

象呢？这将提供及时的线索，以便在确定后对感染源采取

隔离措施。

所以，还需要引入更多的机制，来及早的发现和管理

网络的病毒感染情况。

新的监控分析方法：

清扬内网管理软件引入了运行特征分析的功能，简单

的说：就是对进程、注册表、netstat等运行情况进行分析,

用统计和比对的方式来提供对计算机运行情况的了解和掌

握。

1.病毒也是程序，所以病毒活跃时总以进程的形式

存在。深一步，任何进程需要调用特定的模块DLL,这就

构成了一个运行特征。通过对进程及其调用模块的分析，

将进一步的显示出对病毒的珠丝马迹来。

2.其次就是注册表的监控，病毒需要潜伏，通常需

要寻找一个注册表引导区来潜伏，否则等计算机一重起，

病毒就失效了。注册表的是操作系统的核心，留出的引导

区域是有限的。通过对这些引导区域的全网统一监控，通

过对这些引导区增删改的监控，将极大的提高对病毒入侵

的行为的发现。除了对一些常用的引导区域，注册表监控

也将提高了象通过修改文件关联项这样的病毒的管理能

力，修改了TXT或EXE文件的关联项的病毒是很难发现

和处理的。

3.其他的监控。通过netstat可以来看到活跃的网络

活动连接，开异常的端口应该引起网管人员的重视。

4.管理木马的说明：通常，为破坏计算机运行为目

的的病毒的行为可能更加的诡异一些，木马的目的在于提

供控制和窃取数据的手段，所以更加象一个正常的程序。

尤其是一些特定的木马，用寻常的杀毒办法可能更加不容

易。但是以上的监控手段却可能更加的有效用。

通过建立一个独立的全网式的运行监控手段，实际是

达到了对网络运行状态的有益的监测手段。一个网络内的

计算机因为工作相关的缘故，通常使用非常雷同的软件，

所以为大规模的进程、注册表等运行特征的比对提供了可

行性。往往容易在比对中逐渐剥离出异常来。

对个人用户来说，上面的介绍的方法可能不是最有用

的，因为个人电脑也较为随意，很难用严格的管理来加强

防护。但是对一个企业来说，适当的管理不仅是可能的，

而且是必要的。因为企业的日常经营的保障是所有工作的

前提，应尽力让企业的运营工作排除干扰和威胁。

以上介绍了一个全面的病毒防护体系的建立。防病毒

是一个长期的管理工作。单纯的依赖杀毒软件是很难持久

的，用全方位的思路去管理网络，这将提高网络的安全运

行的保障能力。防护需要纵深，孤立的手段是脆弱的。

止匕外，对全网的运行状态进行有针对性的监控，也是

在这里介绍的新思路，将给防病毒的管理工作带来全新的

视角和手段。

如何根据名称识别计算机病毒

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12、

Trojan.Win32.SendIP.15等等这些•串英文还带数字的病毒名，这忖有些人就懵了，那么长

一串的名字，我怎么知道是什么病毒啊？

其实只要我们掌握•些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名

来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行

分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方

法来命名的。一般格式为：〈病毒前缀〉.〈病毒名〉〈病毒后缀〉。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，

其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan,蠕虫病毒的前缀是Worm等

等还有其他的。

病毒名是指•个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH

病毒的家族名都是统一的“CIH”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是

"Sasser

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般

都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B,

因此•般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明

该病毒生命力顽强八_八），可以采用数字与字母混合表示变种标识。

综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的

帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常

见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方

式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个

变种。

下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32,PE、Win95、W32、W95等。这些病毒的一般公有的特性

是可以感染windows操作系统的*.exe和*.dD文件，并通过这些文件进行传播。如CIH

病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，

很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），

小邮差（发带毒邮件）等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan,黑客病毒前缀名一般为Hack»木马病毒的公有特性是通

过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有

一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木

马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型

都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有大家可能

遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充•点，病毒名中

有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母•般都为

"密码"的英文apassword"的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

4、脚本病毒

脚本病毒的前缀是：Script,脚本病毒的公有特性是使用脚本语言编写，通过网页

进行的传播的病毒，如幻:色代码（Script.Redlof）——可不是我们的老大代码兄哦人_鼠脚

本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、

十四日（Js.Fortnight.c.s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。

宏病毒的前缀是：Macro,第二前缀是：Word、Word97、Excel>Excel97（也许还有别的）

其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，

格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为

第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采

用Excel97做为第二前缀，格式是：Macro.Excel97：凡是只感染EXCEL97以后版本EXCEL

文档的病毒采用Excel做为第二前缀，格式是：Macro.Exceh依此类推。该类病毒的公有特

性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎

(Macro.Melissa)o

6、后门病毒

后门病毒的前缀是：Backdooro该类病毒的公有特性是通过网络传播，给系统开后

门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，

由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手

(Dropper.Worm.Smibag)等。

8.破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来

诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化

C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

9.玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看

的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其

实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。

10.捆绑机病毒

捆绑机病毒的前缀是：Binder,这类病毒的公有特性是病毒作者会使用特定的捆绑

程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行

这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在•起的病毒，从而给用

户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)^系统杀手(Binder.killsys)等。

以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里

简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是

个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你

做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，

达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大

的帮助。

区别计算机病毒与故障技巧

在清除计算机病毒的过程中，有些类似计算机病毒的现象纯属由计算机硬件或软件故障引

起，同时有些病毒发作现象又与硬件或软件的故障现象相类似，如引导型病毒等。这给用户

造成了很大的麻烦，许多用户往往在用各种查解病毒软件查不出病毒时就去格式化硬盘，不

仅影响了硬盘的寿命，而且还不能从根本上解决问题。所以，正确区分计算机的病毒与故障

是保障计算机系统安全运行的关键。

一、计算机病毒的现象与查解方法

在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散，病毒发

作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总

是有一定规律地出现异常现象：

①屏幕显示异常，屏幕显示出不是由正常程序产生的画面或字符串，屏幕显示混乱；

②程序装入时间增长，文件运行速度下降；

③用户没有访问的设备出现工作信号；

④磁盘出现莫名其妙的文件和坏块，卷标发生变化；

⑤系统自行引导；

⑥丢失数据或程序，文件字节数发生变化；

⑦内存空间、磁盘空间减小；

⑧异常死机；

⑨磁盘访问时间比平时增长；

⑩系统引导时间增长。

如果出现上述现象时，应首先对系统的BOOT区、IO.SYS、MSDOS.SYS、

COMMAND.COM、.COM、.EXE文件进行仔细检查，并与正确的文件相比较，如有异常现

象则可能感染病毒。然后对其它文件进行检查，有无异常现象，找出异常现象的原因。病毒

与故障的区别的关键是，一般故障只是无规律的偶然发生一次而病毒的发作总是有规律的。

这里建议使用在D0S60以上版本所带的MSAV软件，它的最突出的功能是能查出所有

文件的变化，并能做出记录。

如果MSAV报告有大量的文件被改动，则系统可能被病毒感染。

二、与病毒现象类似的硬件故障

硬件的故障范围不太广泛，但是很容易被确认。在处理计算机的异常现象时很容易被忽

略，只有先排除硬件故障，才是解决问题的根本。

1.系统的硬件配置

这种故障常在兼容机上发生，由于配件的不完全兼容，导致•一些软件不能够正常运行。

笔者遇到过一台兼容机，联迅绿色节能主板，昆腾大脚硬盘，开始时安装小软件非常顺利,

但是安装WINDOWS时却出现了装不上的故障，开始也怀疑病毒作怪，在用了许多杀毒软

件后也不能解决问题。后来查阅了一些资料才发现了问题所在，因主板是节能型的，而CPU、

硬盘却不是节能型的，当安装软件的时间超过主板进入休眠时间的期限时，主板就进入了休

眠状态，于是就由于主板、CPU、硬盘工作不协调而出现了故障。解决的办法很简单，把主

板的节能开关关掉就一切正常了。所以，用户在自己组装计算机时应首先考虑配件的兼容性,

购买配件前应仔细阅读产品说明书。

2.电源电压不稳定

由于计算机所使用的电源的电压不稳定，容易导致用户文件在磁盘读写时出现丢失或

被破坏的现象，严重时将会引起系统自启动。如果用户所用的电源的电压经常性的不稳定,

为了使您的计算机更安全地工作，建议您使用电源稳压器或不间断电源（UPS）。

3.插件接触不良

由于计算机插件接触不良，会使某些设备出现时好时坏的现象。例如：显示器信号线与

主机接触不良时可能会使显示器显示不稳定；磁盘线与多功能卡接触不良时会导致磁盘读

写时好时坏；打印机电缆与主机接触不良时会造成打印机不工作或工作现象不正常；鼠标

线与串行口接触不良时会出现鼠标时动时不动的故障等等。

4.软驱故障

用户如果使用质量低劣的磁盘或使用损坏的、发霉的磁盘，将会把软驱磁头弄脏，出现

无法读写磁盘或读写出错等故障。遇到这种情况，只需用清洗盘清洗磁头，一般情况下都能

排队故障。如果污染特别严重，需要将软驱拆开，用清洗液手工清洗。

5.关于CMOS的问题众所周知,CMOS中所存储的信息对计算机系统来说是十分重要

的，在微机启动时总是先要按CMOS中的信息来检测和初始化系统（当然是最基本的初始

化）。在486以上的主板里，大都有一个病毒监测开关，用户一般情况下都设置为"ON",这时

如果安装WINDOWS95,就会发生死机现象。原因是安装WINDOWS95时，安装程序会修

改硬盘的引导部分、系统的内部中断和中断向量表，而病毒监测程序不允许这样做，于是就

导致了死机。建议用户在安装新系统时，先把CMOS中病毒监测开关关掉。另外，系统的

引导速度和一些程序的运行速度减慢也可能与CMOS有关，因为CMOS的高级设置中有一

些影子内存开关，这也会影响系统的运行速度。

三、与病毒现象类似的软件故障

软件故障的范围比较广泛，问题出现也比较多。对软件故障的辨认和解决也是一件很难

的事情，它需要用户有相当的软件知识和丰富的上机经验。这里介绍一些常见的症状。

1.出现"Invaliddrivespecification"（非法驱动器号）

这个提示是说明用户的驱动器丢失，如果用户原来拥有这个驱动器，则可能是这个驱动

器的主引导扇区的分区表参数破坏或是磁盘标志50AA被修改。遇到这种情况用DEBUG或

NORTON等工具软件将正确的主引导扇区信息写入磁盘的主引导扇区。

2.软件程序己被破坏（非病毒）

由于磁盘质量等问题，文件的数据部分丢失，而这程序还能够运行，这时使用就会出现

不正常现象，如Format程序被破坏后，若继续执行，会格式化出非标准格式的磁盘，这样就

会产生一连串的错误。但是这种问题极为罕见。

3.DOS系统配置不当

DOS操作系统在启动时会去查找其系统配置文件CONFIGSYS,并按其要求配置运行环

境。如果系统环境设置不当会造成某些软件不能正常运行，如CC++语言系统、AUTOCAD

等等。原因是这些程序运行时打开的文件过多，超过系统默认值。

4.软件与DOS版本的兼容性

DOS操作系统自身的特点是具有向下的兼容性。但软件却不同，许多软件都要过多地受

其环境的限制，在某个版本下可正常运行的软件，到另一个DOS版本下却不能正常运行，许

多用户就怀疑是病毒引起的。如旧版的2.13汉字系统，在DOS3.30下运行正常，而在

DOS6.2下运行会出现乱码现象。

5.引导过程故障

系统引导时屏幕显示"Missingoperatingsystem"（操作系统丢失），故障原因是硬盘的主

引导程序可完成引导，但无法找到DOS系统的引导记录。造成这种现象的原因是C盘无引导

记录及DOS系统文件，或CMOS中硬盘的类型与硬盘本身的格式化时的类型不同。需要将

系统文件传递到C盘上或修改CMOS配置使系统从软盘上引导。

6.用不同的编辑软件程序

用户用一些编辑软件编辑源程序，编辑系统会在文件的特殊地方做上一些标记。这样当

源程序编译或解释执行时就会出错。例如，用WPS的N命令编辑的文本文件，在其头部也

有版面参数,有的程序编译或解释系统却不能将之与源程序分辨开，这样就出现了错误。

7.有关FOXBASE问题

经常使用FOXBASE的用户可能会发现在磁盘中会生成一些"S"字符或数字命名的文件,

还会发现某些数据库文件数据丢失。这一现象与计算机病毒极为相似，其实造成这一现象的

主要原因是用户在使用FOXBASE后，没有后退到DOS状态就关掉机器，或在使用

FOXBASE中途掉。建议用户在使用FOXBASE后返回到DOS状态后才关机，否则不但会

造成上述现象，并且会对磁盘造成损坏。

在学习、使用计算机的过程中，可能还会遇到许许多多与病毒现象相似的软硬件故障,

所以用户要多阅读、参考有关资料，了解检测病毒的方法，并注意在学习、工作中积累经验,

就不难区分病毒与软硬件故障了。

防御计算机病毒十大必知步骤

近II全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以

下十大必知步骤：

1、用常识进行判断

决不打开来历不明邮件的附件或你并未预期接到的附件o对看来可疑的邮件附件要自觉

不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件-因为

Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例

如，你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味

着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。

2、安装防病毒产品并保证更新最新的病毒定义码

建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你

的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，

这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的

需要，从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”

(LiveUpdate)功能。

3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描

当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫

描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自

动程序，当用户在初装其产品时自动执行。4、插入软盘、光盘和其他可插拔介质前，一定

对它们进行病毒扫描。

确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件

都会做自动的病毒检查。

5、不要从任何不可靠的渠道下载任何软件

这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是

认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们

无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装

前先做病毒扫描。

6、警惕欺骗性的病毒

如果你收到•封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告

性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供

应商，如赛门铁克的网站/avcenter,证实确有其事。这些欺骗性的病毒，

不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。

7、使用其它形式的文档，如.rtf(RichTextFormat)和.pdf(PortableDocumentFormat)

常见的宏病毒使用MicrosoftOffice的程序传播，减少使用这些文件类型的机会将降低

病毒感染风险。尝试用RichText存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要

在MicrosoftWord中，用“另存为”指令，在对话框中选择RichText形式存储。尽管RichText

Format依然可能含有内嵌的对象，但它本身不支持VisualBasicMacros或Jscript,而pdf文

件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。

8、不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘

这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为

是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人般对版权法和合法使

用软件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是

病毒传染的最主要渠道。

9、禁用WindowsScriptingHost

WindowsScriptingHost(WSH)运行各种类型的文本，但基本都是VBScript或Jscript。

换句话说,WindowsScriptingHost在文本语言之间充当翻译的角色，该语言可能支持ActiveX

Scripting界面,包括VBScript,Jscript或Perl,及所有Windows的功能,包括访问文件夹、

文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和KAK.worm

使用WindowsScriptingHost,无需用户点击附件，就可自动打开一个被感染的附件。

10、使用基于客户端的防火墙或过滤措施

如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护

你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、

信用卡号码和其它个人信息都有可能被窃取。

端口•木马•安全.扫描应用知识

一）、端口的一般含义

说到端口，这确实是个老话题，但一切都是从它开始的，不得不说。何谓端口，打个比

方，你住在一座房子里，想让别人来拜访你，得在房子上开个大门，你养了个可爱的小猫，

为了它的进出，专门给它修了个小门，为了到后花园，又开了个后门……所有这些为了进到

这所房子里而开的门我们叫它端口，这些为了别人进来而开的端口称它为“服务端口"。

你要拜访一个叫张三的人，张三家应该开了个允许你来的门服务端口，否则将被

拒之门外。去时，首先你在家开个"门"，然后通过这个"门"径直走进张三家的大门。为了访

问别人而在自己的房子开的“门"，我们称它为"客户端口"。它是随机开的而且是主动打开的,

访问完就自行关闭了。它和服务端口性质是不一样的,服务端口是开了个门等着别人来访问，

而客户端口是主动打开一个门去打开别人的门，这点一定要清楚。

卜面我们从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用

同一种协议，协议就是计算机通信的语言，计算机之间必须说一种语言才能彼此通信，

Internet的通用语言是TCP/TP,它是一组协议，它规定在网络的第四层运输层有两种协议

TCP、UDPo端口就是这两个协议打开的，端口分为源端口和目的端口，源端口是本机打

开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和

被动连接的服务端口两种。在Internet中，你访问一个网站时就是在本机开个端口去连网站

服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门•样,

从这个门走进哪个门。

当你装好系统后默认就开了很多“服务端口"。如何知道自己的计算机系统开了那些端口

呢？这就是下面要说的：

二）、查看端口的方法

1、命令方式

下面以WindowsXP为例看看新安装的系统都开了那些端口，也就是说都预留了那些

门，不借助任何工具来查看端口的命令是netstat,方法如下：

a、如图1,在"开始"的"运行"处键入cmd,回车

3凶

语键入程序、文件夹、文档或Internet资源的名

/_/痂1Windows将为您打开它。

打开©）：|cdm|-3

确定I取消I浏览⑻…I

图1

b、在dos命令界面，键入netstat-na,图2显示的就是打开的服务端口，其中Proto

代表协议，该图中可以看出有TCP和UDP两种协议。LocalAddress代表本机地址，该地

址冒号后的数字就是开放的端口号。ForeignAddress代表远程地址，如果和其它机器正在

通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，

就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开了，但此时

还没有人进来。以第一行为例看看它的意思。

TCP:135:0LISTENING

这一行的意思是本机的135端口正在等待连接。注意：只有TCP协议的服务端口才能

处于LISTENING状态。

\DocunentsandSettings\jc>netstat-na

letiueConnections

ProtoLocalAddressForeignAddressState

TCP0.0.0.0:13500.0.0：0LISTENING

TCP0.0.0.0:44500.0.0：0LISTENING

TCP0.0.0.0:102500.0.0：0LISTENING

TCP0.0.0.0:500000.0.0：0LISTENING

TCP192.168.113.117:13900.0.0：0LISTENING

UDP0.0.0.0:135共

UDP0.0.0.0:445*M

UDP0.0.0.0:500共X

UDP0.0.0.0:1026M

UDP127.0.0.1:123*

UDP127.0.0.1:1900

UDP192.168.113.117:123*

UDP192.168.113,117:137兴

UDP192.168.113.117:138■M*

UDP192.168.113.117:1900•M

图2

2、用TCPView工具

为了更好的分析端口，最好用TCPView这个软件,该软件很小只有93KB,而且是个绿

色软件，不用安装。

图3是TCPView的运行界面。第一次显示时字体有些小，在"Options"->"Font"中将字

号调大即可。TCPView显示的数据是动态的。图3中LocalAddress显示的就是本机开放

的哪个端口（：号后面的数字），TCPView可以看出哪个端口是由哪个程序发起的。从图

3可以看出445、139、1025、135、5000等端口是开放的，445、139等端口都是system

发起的，135等都是SVCHOST发起的。

ATCPView-Sysinternals:vw.sysinternals.COBI

PileOptionsProcessViewHelp

Q公T国

ProcettProtocoi/LocalAddieuRemoteAddie$$Stale

二］System:4TCP0.00.0:4450.Q0.00USTENING

Z3System:4TCP192.16811311713900000LISTENING

OSVCHOSTEXE936TCP0.000:102500000LISTENING

ZJSVCHOSTEXE864TCPO.OQO:135OQO.OOLISTENING

□SVCHOSTEXE1160TCP0.000:5000000.00USTENING

ZJSystem:4UDP0.0.00:445

Z3System:4UDP192168.111117:137

Z2System:4UDP192168.113.117138

iZJSVCHOSTEXE936UDP1270.01:123

CjSVCHOSTEXE936UDP192168113117123

3SVCHOSTEXE1160UDP1270.01:1900

口SVCHOSTEXE1160UDP1921681131171900

□LSASS.EXE700UDPO.OQO:500

图3

三）、研究端U的目的：

1、知道本机开了那些端口，也就是可以进入到木机的"门"有几个，都是谁开的？

2、目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接那就要

特别注意看连接是个正常连接还是非正常连接（木马等）？

3,目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还

是访问到一个陷阱？

当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是

有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传

输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的

状态变化。下面结合实例先分析服务端口的状态变化。只有TCP协议才有状态，UDP协议

是不可靠传输，是没有状态的。

四）、服务端口的状态变化

先在本机（IP地址为：0）配置FTP服务，然后在其它计算机（IP地址为：

）访问FTP服务，从TCPView看看端口的状态变化。

下面黑体字显示的是从TCPView中截取的部分。

1、LISTENING状态

FTP服务启动后首先处于侦听(LISTENING)状态。

State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，

但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。

从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21

端口，FTP默认的端口为21,可见在本机开放了FTP服务。目前正处于侦听状态。

inetinfo.exe:1260TCP:210.0.0,0:0LISTENING

2,ESTABLISHEDM

现在从这台计算机访问一下0的FTP服务。在本机的

TCPView可以看出端口状态变为ESTABLISHED,

ESTABLISHED的意思是建立连接。表示两台机器正在通信。

下面显示的是本机的FTP服务正在被这台计算机访问。

inetinfo.exe:1260TCP0:21:3009ESTABLISHED

注意：处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。

后面我们要讲到这个问题。

3、TIME_WAn'状态

现在从这台计算机结束访问0的FTP服务。在本机的

TCPView可以看出端口状态变为TIME_WAIT,

TIME_WAR"的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。

[SystemProcess]:0TCP0:21:3009TIME_WAIT

4、小技巧

a、可以telnet一个开放的端口，来观察该端口的变化。比如看1025端口是开放的，

在命令状态(如图1运行cmd)运行：

telnet01025

b、从本机也可以测试，只不过显示的是本机连本机

c、在Tcpview中双击连接可看出程序的位置，右键点击该连接，选择EndProcess即

可结束该连接

五）、客户端口的状态变化

客户端口实际上就是从本机访问其它计算机服务时打开的源端口，最多的应用是上网，

下面就以访问为例来看看端口开放以及状态的变化情况。

1、SYN_SENT状态

SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信

号给该端口，止匕时状态为SYN_SENT,如果连接成功了就变为ESTABLISHED,此时

SYN一SENT状态非常短暂。但如果发现SYN一SENT非常多且在向不同的机器发出，那你

的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫

描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现

许多SYN_SENT的原因。

下面显示的是本机连接网站时的开始状态，如果你的网络正常的，那

很快就变为ESTABLISHED的连接状态。

EXPLORE.EXE:2928TCP0:103549:80SYN_SENT

2、ESTABLISHED状态

下面显示的是本机正在访问网站。如果你访问的网站有许多内容比如

访问,那会发现一个地址有许多ESTABLISHED,这是正常的，网站中的

每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注

意是不是IEXPLORE.EXE程序（IE）发起的连接，如果是EXPLORE.EXE之类的程序发

起的连接，那也许是你的计算机中了木马了。

IEXPLORE.EXE:3120TCP0:104549:80ESTABLISHED

3、TIME_WAIT》大态

如果浏览网页完毕，那就变为TIME_WAIT状态。

[SystemProcess]:0TCP0:425949:80TIME_WAIT

六）、端口详细变迁图

以上是最主要的几个状态，实际还有一些，图4是TCP的状态详细变迁图（从TCP/IP

详解中剪来），用粗的实线箭头表示正常的客户端状态变迁，用粗的虚线箭头表示正常的服

务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。

升力

CLOSED

应用进程被动打开

发送：无

USTEN

被动打开

匹

收SYN、回用进程关闭

(SYN^可片SYN_SENT）-----------------♦

发：SYNJKCF主动打开或超时

同时打开

应用进程:关闭

收FIN

发：FIN

发:ACK

故据传送状态应用进J关闭

发：；HN

/~tJ收:ACK

收：FINJ嗣至诩、

(FIN.WAIT.l■(^CLOSING

发ACK----------------J发送：无

久

收:ACK收:ACK被动关闭

发送:无发送无

()收：

HN_&T2FINTIME,WArf)-4-

v

------'发ACK:MSL却:

主动关闭

一■说明客户的正常状态变迁

・一・说明服务器的正常状态变迁

应用进程:说明当应用执行某种操作时发生的状态变迁

收:说明当收到TCPffi文段时状态的变迁

发:说明为了进行某个状态变迁要发送的TCP报文网

图4TCP的状态变迁图

七）、要点

一般用户一定要熟悉（再啰嗦几句）：

1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是

本机开了哪些端口，ESTABLISHED是谁在访问你的机器，从哪个地址访问的。

2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它

计算机发出的连接请求，一般这个状态存在的时间很短，但如果本机发出了很多

SYN_SENT,那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传

送数据，主要看是不是一个正常程序发起的。

二、木马

什么是木马，简单的说就是在未经你许可偷偷在你的计算机中开个后门，木马开后门主

要有两种方式。

1、有服务端口的木马，这类木马都要开个服务端口的后门，成功后该后门处于

LISTENING状态，它的端口号可能固定--个数，也可能变化，还有的木马可以与正常的端

口合用，例如你开着正常的80端口（WEB服务），木马也用80端口。这种木马最大的特

点就是有端口处于LISTENING状态，需要远程计算机连接它。这种木马对•般用户比较好

防范，将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。

2、反弹型木马，反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使

你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户

端（黑客）地址。木马的服务端软件就像你的InternetExplorer一样，使用动态分配端口去

连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，

像iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。如果你不仔细看,你可能会以

为是你的InternetExplorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这

样的连接一定要注意，很有可能是种木马了。iexpiore.exe0（本机IP）：1035

（你的端口）Y.Y.Y.Y（远程IP）：80（远程端口）

或Rundll32.exe0（本机IP）：1035（你的端口）Y.Y.Y.Y（远程IP）：80

（远程端口）

或explorer.exe0（本机IP）：1035（你的端口）Y.Y.Y.Y（远程IP）：80

（远程端口）

三、安全

我们分析端U的目的就是要保证上网安全，根据以上的思路可以从以下几个方面来防

范。

•）、关闭不需要的端口

对一般上网用户来说只要能访问Internet就行了，并不需要别人来访问你，也就是说没

有必要开放服务端口，在WIN98可以做到不开放任何服务端口上网，但在WinXP、Win

2000、Win2003下不行，但可以关闭不必要的端口。图3是安装完WINXP系统默认开的

端口，以此为例关闭不必要的端口。

1、关闭137、138、139、445端口

这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来

共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一招非常好

用，一次全部关闭上述端口。

开始，控制面板，系统->硬件->设备管理器，查看->显示隐藏的设备，非即插即用

驱动程序->NetbiosoverTcpip。

找到图5界面后禁用该设备重新启动后即可。

am

图5

2、关闭123端口

有些蠕虫病毒可利用UDP123端口，关闭的方法：如图6停止windowstime服务。

名称______________________________________箱城.伏海4

ViTIB*I

%E.ZNolifictU^n图游保线事件，如量录YiUoirl，网络巳启示

跑此鼠务电K«stor*S«rvice执行系艇原动*要停止*务，4已甑

*^T«,skSch«duler使用户能在比计复机上配置和制定自动己后W

名TCP/IPN«lBIOS允许对-TCF/IF上NetBIOSOhlBT)

描造

»8护在网格上的所有客户SCT师务罂phony提供UH的文历，以便程序控制本地

的时擀和日期同步.如果田艮学被停允许远程用户道录到此计复机井运行程

止，时间和日期的同步将不可用.tn%S«rrtc«s允谆多位用户连接弁控制一台掂需.并巳启星

果此服务渣禁用，任何删射段£的醇Xi”为用户提供使用主题管理的经验.已月*

服务都格不能启动.

^^Vamterropttbl*Po*erSopply管琬生捧至八十黛机的不展融电罐OTPS）.

脸Ufuv.r«lFlu<tndFlayD»vic«IUB(为主持通用因站田用或备提供克特.

Upload首爱网络上客尸『和毋务船之间同步和已月元

^VolweShtdovCopy背超井执行用于冬份和其它目的的卷影

—get便蟹于的程序能但访问巳启星

电NintUwxAudio售出荃于d”£的程序的言统设g己后反

电Y】ndexIA«C«Acqmsiticn(*1A)为扫掂仪元照》跖1再供图0拚获.已后W

险Int<tXl«r出售包含在BSI文件中的指示聚变装

Inxtm»ukt<tion提供共瓯界面和对象模式以便3河有SJBK

%Yind”、MsysentInstn»ent«tio导购晦月间交或系妩管起信■・

Ti»ii维护在埼珞上的所有客户端和8R静器的

^^Yir«l«ssZ«roConfipurfttion为您的802.1：道配撼搓巨自磔圮且

图6关闭123端口

3、关闭1900端口

攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假的UDP包，就可能会造

成这些WinX