高手有警覺誰在網(wǎng)線里亂竄

痛并快樂著

終于將手中的工作忙完了，關(guān)掉QQ和瀏覽器，緩緩地靠在座椅上伸個懶腰，讓自己的身體放松下來。視線無意間從桌角的ADSL貓上掃過，卻發(fā)一數(shù)據(jù)燈一直在不停地閃爍——這時候居然還有數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，該不會是中了什么木馬病毒吧？

既然發(fā)現(xiàn)了異樣，自然沒辦法再休息了，趕緊著手查證一下吧！作為一個經(jīng)常在網(wǎng)上闖蕩的高手，偶爾中點木馬病毒并不奇怪，但要是中了招而不自知，那面子可就丟大了。

神秘數(shù)據(jù)忽隱忽現(xiàn)

到底是自己神經(jīng)過敏，還是真有木馬病毒作祟呢？趕緊用NetPerSec這款專業(yè)監(jiān)控軟件來看看吧！

先將系統(tǒng)中所有可能訪問網(wǎng)絡(luò)的程序全部關(guān)掉，再運行監(jiān)控軟件NetPerSec，查看當前系統(tǒng)的網(wǎng)絡(luò)傳輸狀態(tài)。結(jié)果在“圖表”標簽中的“發(fā)送”一項，看到有大量數(shù)據(jù)在進行不間斷地傳輸（如圖1）。雖然Windows系統(tǒng)自己偶爾也會訪問網(wǎng)絡(luò)，但是那樣的訪問操作產(chǎn)生的數(shù)據(jù)量很小，連續(xù)時間也不會太長。而現(xiàn)在我所看到的這個監(jiān)測畫面中，數(shù)據(jù)上傳的數(shù)量和時間都已超過了正常的情況，這說明我的系統(tǒng)的。

軟件名稱：NetPerSec

軟件版本：1.1

授權(quán)方式：共享軟件

軟件大小：2MB

下載地址：http://www.newhua.

com/soft/354.htm

嗅探抓包狐貍露尾

在“任務(wù)管理器”的“進程”標簽中，經(jīng)過認真而詳細的檢查，我并沒有找到可疑的進程。那么到底是誰在網(wǎng)線里亂竄呢？看來不使用點手段是不行了。

于是，我下載了一個抓包嗅探工具SmartSniff。在使用它之前，我還得先在系統(tǒng)中安裝一個Wi nPc ap驅(qū)動程序，這樣

軟件名稱：SmartSniff

軟件版本：1.38

授權(quán)方式：免費軟件

軟件大?。?7KB

下載地址：http://www.newhua.

com/soft/60151.htmSmartSniff才能監(jiān)聽到網(wǎng)絡(luò)上傳送的數(shù)據(jù)?，F(xiàn)在運行Sma r tSni f f，點擊“選項”菜單中的“選擇設(shè)備”命令，因為首先要設(shè)置一下捕捉的網(wǎng)卡等。在彈出的“捕獲選項”窗口的“捕獲方式”中，選擇“原始套接字（僅Windows 2000/XP）”選項，接著在“選擇網(wǎng)卡”信息中選擇電腦當前的內(nèi)網(wǎng)IP地址（比如我所選的就是“192.168.131.65”這項，如圖2）。

設(shè)置完成以后按“確定”退出，現(xiàn)在點擊工具欄中的“開始捕獲”按鈕，SmartSniff就開始自動對數(shù)據(jù)進行嗅探分析。可是，通過對抓包數(shù)據(jù)的分析，我還是沒得到什么有用的信息。一來，捕獲的數(shù)據(jù)也許不夠完整，第二個原因，抓到的數(shù)據(jù)大多經(jīng)過了加密處理，而我還沒有時間來研究它們的解密。不過經(jīng)過反復(fù)的分析，我還是發(fā)現(xiàn)了一些蛛絲馬跡——這些數(shù)據(jù)都被連接到一個遠程IP地址的80端口（如圖3）。

線程插入木馬隱身

我們知道，80端口是常見的WEB網(wǎng)頁服務(wù)使用的端口，可是我的系統(tǒng)現(xiàn)在并沒有打開任何瀏覽器?。侩y道是某個程序在系統(tǒng)后臺默默地連接自己的主頁？可是系統(tǒng)中除了幾個常見的系統(tǒng)進程以外，再沒有任何第三方的進程信息了??？難道是木馬病毒對自己的進程進行了隱藏？現(xiàn)在運行安全軟件WSysCheck，點擊工具窗口中的“進程管理”標簽。這個程序可以通過不同的顏色，標示出Win32級的隱藏進程以及線程插入的進程內(nèi)容。在進程列表中，被標示為紅色的是非系統(tǒng)的進程或文件，標示為黑色的是正常的系統(tǒng)進程，標示為粉紅色的則可能就是被線程插入的系統(tǒng)進程。我在這里找到一個粉紅色的Svchost進程（如圖4）！而正是在這個進程，找到了一個可疑的模塊文件！

那么，這個可疑的模塊文件，是否就是偷偷傳送數(shù)據(jù)的幕后黑手呢？先記錄下這個Svchost進程的PID值，接著點擊“安全檢查”標簽中的“端口狀態(tài)”。經(jīng)過和這個PID值進行對比，結(jié)果發(fā)現(xiàn)正是這個進程，正在悄悄地連接遠程IP地址的80端口（如圖5）。至此，一切都真相大白了?，F(xiàn)在返回到WSysCheck程序的“進程管理”標簽，選擇列表中那個粉紅色的Svchost進程，然后選擇模塊窗口中那個可疑的模塊文件。再點擊右鍵中的“卸載模塊并刪除文件”命令，將這個可疑的模塊文件進行刪除（如圖6）。最后重新啟動操作系統(tǒng)，連接到網(wǎng)絡(luò)再進行查看，發(fā)現(xiàn)系統(tǒng)終于恢復(fù)到正常狀態(tài)了。

軟件名稱：WSysCheck

軟件版本：1.67.3

授權(quán)方式：免費軟件

軟件大?。?017KB

下載地址：ht tp: //wangsea.

ys168.com