文章大纲：

• 1、木马病毒是谁发明的
• 2、木马病毒什么时候开始流行
• 3、到底是什么时候开始有木马病毒的？
• 4、特洛译木马病毒的资料

木马病毒是谁发明的

不能确切的说是谁编写的，因为木马是在以前电脑病毒的基础上慢慢变化而来的。据说，之一次出现木马病毒是在1986年出现的，叫PC-write。

木马病毒什么时候开始流行

之一代木马 ：伪装型病毒 这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上之一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的之一代木马还不具备传染特征。 第二代木马 ：AIDS型木马 继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。 第三代木马： *** 传播性木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP *** 技术四处泛滥。同时他还有新的特征： 之一，添加了“后门”功能。 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。 第二，添加了键盘记录功能。 从名称上就可以知道，该功能主要是记录用户所有的键盘内容然后形成键盘记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们有如下共同特点：基于 *** 的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。 虽然木马程序手段越来越隐蔽，但是苍蝇不叮无缝的蛋，只要加强个人安全防范意识，还是可以大大降低\“中招\”的几率。对此笔者有如下建议：安装个人防病毒软件、个人防火墙软件；及时安装系统补丁；对不明来历的电子邮件和插件不予理睬；经常去安全网站转一转，以便及时了解一些新木马的底细，做到知己知彼，百战不殆。

到底是什么时候开始有木马病毒的？

电脑病毒的起源

电脑病毒的概念其实源起相当早，在之一部商用电脑出现之前好几年时，电脑的先驱者冯?诺伊曼（John Von Neumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。

1975年，美国科普作家约翰?布鲁勒尔（John Brunner）写了一本名为《震荡波骑士》（Shock Wave Rider）的书，该书之一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年更佳畅销书之一。

1977年夏天，托马斯?捷?瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。

而差不多在同一时间，美国著名的ATT贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"（core war）的游戏，进一步将电脑病毒"感染性"的概念体现出来。

1983年11月3日，一位南加州大学的学生弗雷德?科恩（Fred Cohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。

不过，这种具备感染与破坏性的程序被真正称之为"病毒"，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的专栏作家在讨论"磁芯大战"与苹果二型电脑（别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影）时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个"病毒"的名字可以称呼了。

之一个真正的电脑病毒

到了1987年，之一个电脑病毒C-BRAIN终于诞生了（这似乎不是一件值得庆贺的事）。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。

这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图， *** 出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团（如NuKE,Phalcon/Ski *** ,VDV）。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。

DOS时代的著名病毒

所谓"DOS时代的病毒"，意思是说这是从DOS时代就有的老古董，诸位读者可别以为您现在已经进入Windows 95/98的年代，就不会感染DOS时期的病毒。其实由于Windows 95/98充其量不过是一套架构在DOS上的操作系统，因此即使是处在Windows 95/98之下，一不小心还是会惹火上身的！

耶路撒冷（Jerusalem）

这个古董级病毒其实有个更广为人知的别称，叫做"黑色星期五"。为什么会有这么有趣的别称？道理很简单:因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程序，症状相当凶狠。

米开朗基罗（Michelangelo）

米开朗基罗的名字，对于一些早一点的电脑使用者而言，真可说是大名鼎鼎，如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日（这也就是它为什么叫做"米开朗基罗"的原因）时，这个病毒就会以Format硬盘来为这位大师祝寿。于是乎，你辛苦建立的所有资料都毁于一旦，永无翻身之日。

猴子（Monkey）

Monkey据说是之一个"引导型"的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬盘的分区表，让你一开机就会出现"Invalid drive specification"的信息。比起"文件型"病毒只有执行过受感染文件才会中毒的途径而言，Monkey的确是更为难缠了。

音乐虫病毒（Music Bug）

这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时，别以为你的电脑比别人聪明，那很有可能是中毒了。

其实这种会唱歌的病毒也不少，有另一个著名的病毒（叫什么名字倒忘了）发作时还会高唱着"两只老虎"呢！

DOS时期的病毒，种类相当繁杂，而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的"双体引擎"，可以把一种病毒创造出更多元化的面貌，让人防不胜防！而病毒发作的症状更是各式各样，有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的 是，这些DOS时期的古董级病毒，由于大部分的杀毒软件都可以轻易地扫除，所以杀伤力已经大不如前了。

Windows时期的来临

随着Windows 3.1在全球的风行，正式宣告了个人电脑操作环境进入Windows时代。紧接着，Windows 95/98的大为畅销，使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的，大概就属"宏病毒"与"32位病毒"了。

宏病毒

随着各种Windows下套装软件的发展，许多软件开始提供所谓"宏"的功能，让使用者可以用"创造宏"的方式，将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能，在经过有心人士的设计之后，终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件，而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是，这种宏病毒是跨操作平台的。以Word的宏病毒为例，它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。

在这些宏病毒之中，最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是：到了每月的十三号，只要您随便开启一份Word文件，屏幕上会出现一对话窗口，询问你一道庞杂的算数题。答错的话（这种复杂的算数大概只有超人可以很快算出来吧）就会连续开启二十个窗口，然后又出现另一道问题，如此重复下去，直到耗尽系统资源而死机为止。

虽然宏病毒有很高的传染力，但幸运的是它的破坏能力并不太强，而且解毒方式也较容易，甚至不需杀毒软件就可以自行手动解毒。

32位病毒

所谓"32位病毒"，则是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样是感染exe执行文件，但是这种病毒专挑Windows的32位程序下手，其中最著名的就是去年大为流行的CIH病毒了。

CIH病毒的厉害之处，在于他可以把自己的本体拆散塞在被感染的文件中，因此受感染的文件大小不会有所变化，杀毒软件也不易察觉。而最后一个版本的CIH病毒，除了每个月26日发作，将你的硬盘Format掉之外，有时候还会破坏主板BIOS内的资料，让你根本无法开机！虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒，不过由于它的威力实在强大，大家还是小心为上。（CIH又可能在今年4月26发作，你不会有事吧？）

Internet的革命

有人说Internet的出现，引爆了新一波的信息革命。因为在因特网上，人与人的距离被缩短到极小的距离，而各式各样网站的建立以及搜寻引擎的运用，让每个人都很容易从 *** 上获得想要的信息。

Internet的盛行造就了信息的大量流通，但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说， *** 不折不扣正好提供了一个绝佳的渠道。也因此，我们这些一般的使用者，虽然享受到因特网带来的方便，同时却也陷入另一个恐惧之中。

病毒散播的新捷径

由于因特网的便利，病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布，而现在，你只要在电子邮件或ICQ中，夹带一个文件寄给朋友，就可能把病毒传染给他；甚至从 *** 上下载文件，都可能收到一个含有病毒的文件。

不过虽然 *** 使得病毒的散布更为容易，但其实这种病毒还是属于传统型的，只要不随便从一些籍籍无名的网站下载文件(因为有名的网站为了不砸了自己的招牌，提供下载的文件大都经过杀毒处理)，安装杀毒软件，随时更新病毒码，下载后的文件不要急着执行，先进行查毒的步骤(因为受传统病毒感染的程序，只要不去执行就不会感染与发作)，多半还是可以避免中毒的情形产生。

第二代病毒的崛起

前面所谈的各式各样的病毒，基本上都是属于传统型的病毒，也就是所谓"之一代病毒"。会有这样的称呼方式，主要是用来区分因为Internet蓬勃发展之后，最新出现的崭新病毒。这种新出现的病毒，由于本质上与传统病毒有很大的差异性，因此就有人将之称为"第二代病毒"。

第二代病毒与之一代病毒更大的差异，就是在于第二代病毒传染的途径是基于浏览器的，这种发展真是有点令人瞠目结舌！

原来，为了方便网页设计者在网页上能制造出更精彩的动画，让网页能更有空间感，几家大公司联手制订出Active X及Java的技术。而透过这些技术，甚至能够分辨你使用的软件版本，建议你应该下载哪些软件来更新版本，对于大部分的一般使用者来说，是颇为方便的工具。但若想要让这些网页的动画能够正常执行，浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中，恶性程序的开发者也就利用同样的渠道，经由 *** 渗透到个人电脑之中了。这就是近来崛起的"第二代病毒"，也就是所谓的" *** 病毒"。

兵来将挡，水来土掩

目前常见的第二代病毒，其实破坏性都不大，例如在浏览器中不断开启窗口的"窗口炸弹"，带着电子计时器发出"咚咚"声的"闹闹熊"等，只要把浏览器关闭后，对电脑并不会有任何影响。但随着科技的日新月异，也难保不会出现更新、破坏性更大的病毒。

只是，我们也不需要因为这种趋势而太过悲观，更不用因噎废食地拒绝使用电脑上网。整个电脑发展史上，病毒与杀毒软件的对抗一直不断的持续进行中，只要小心一点，还是可以愉快地畅游在因特网的世界里。

特洛译木马病毒的资料

一、初识特洛伊木马

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到 *** 要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的

二、极度危险的恶意程序攻击者早就溜之大吉。

对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。

首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。

一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。

其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。二年前，一个家庭用户请我帮忙，要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有争议的交易的痕迹。另外，我还找到了SubSeven（即Backdoor_G）特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易发生之时特洛伊木马正处于活动状态。

三、特洛伊木马的类型

常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。

对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常，这些微型的木马只用来窃取难以获得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。

随便找一个Internet搜索网站，搜索一下关键词Remote Access Trojan，很快就可以得到数百种特洛伊木马——种类如此繁多，以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列，每一个字母下有数打甚至一百多个木马。下面我们就来看看两种更流行的特洛伊木马：Back Orifice和SubSeven。

■ Back Orifice

1998年，Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。

但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得较好，在Windows NT机器上则略逊一筹）、密码、插件等。

Back Orifice的许多特性给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。Back Orifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。

默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言，Back Orifice对错误的输入命令非常敏感，经验不足的新手可能会使它频繁地崩溃，不过到了经验丰富的老手那里，它又会变得驯服而又强悍。

■ SubSeven

SubSeven可能比Back Orifice还要受欢迎，这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。

SubSeven具有许多令受害者难堪的功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机，等等。

SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系，它能够随机地更改服务器端口，并向攻击者通知端口的变化。另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。

四、检测和清除特洛伊木马

如果一个企业 *** 曾经遭受病毒和Email蠕虫的肆虐，那么这个 *** 很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此，检测和清除特洛伊木马是系统管理员的首要任务。

要反击恶意代码，更佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任。不过，Agnitum的Tauscan确实称得上顶级的扫描软件，过去几年的成功已经证明了它的效果。

特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，特别地，如果这个端口正好是特洛伊木马常用的端口，木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据，应当尽快切断该机器的 *** 连接，减少攻击者探测和进一步攻击的机会。打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式，启动到安全模式通常会阻止特洛伊木马装入内存，为检测木马带来困难。

大多数操作系统，当然包括Windows，都带有检测IP *** 状态的Netstat工具，它能够显示出本地机器上所有活动的监听端口（包括UDP和TCP）。打开一个命令行窗口，执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口，注意一下是否存在意外打开的端口（当然，这要求对端口的概念和常用程序所用的端口有一定的了解）。

五、处理遗留问题

检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。

其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程 *** 或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？

在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，更好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。

在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或 *** 安全的负责人，彻底检测整个 *** ，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。

参考资料：