分析可疑流量 发现隐藏木马

黑客在控制肉鸡过程中，会产生较大的网络数据流量，通过对其进行检测分析，可以找出可疑的网络连接，并可以准确判断木马的踪迹。利用防火墙软件（例如Comodo防火墙、ZoneAlarm防火墙等）都提供了网络检测功能，可以发现异常的数据流量信息。这里使用360流量防火墙为例进行说明，在360安全位置的全部工具窗口中的“网络优化”栏中点击“流量防火墙”项，在打开窗口（如图1所示）中的“管理网速”面板中右下角的“下载速度”和“上传速度”栏中查看当前的数据收发信息，或者点击桌面上的360安全卫士悬浮窗，在360安全球中的“网速”面板中查看上传和下载的数据总量信息，如果没有进行任何网络操作，却发现传输的流量异常增大的话，就需要引起警觉了。在流量防火墙中的“管理网速”面板中查看当前处于活动状态的网络程序收发数据的实时信息。双击其中的可疑程序，在弹出窗口中查看其详细信息，包括文件路径、已下载和已上传流量、建立的网络连接数量等。点击“结束进程”按钮，可以关闭该可疑进程。

在“网络连接”面板中显示所有的网络连接信息，包括活动进程、协议类型、本地IP和端口、远程IP和端口、远程机地址、连接状态等。如果您没有使用网络软件连接任何主机，却发现存在可疑的连接，而且在其“安全等级”列中显示非安全标记，就说明本机已经成为肉鸡了。在可疑连接上打开管理菜单，可以执行关闭进程、查看信息、定位文件、查看文件属性等操作。找到木马文件后，可以将其删除。如果无法删除，可以使用IceSword、Wsyschk等工具，将其强制删除。如果定位到的是正常进程，说明DLL木马已经注入到其内部，使用IceSword、Wsyschk等工具查看该进程内部的DLL模块，将其找出并卸载删除，具体的操作很简单不再赘述。

切断黑客的非法连接

黑客要想控制肉鸡，必须开启相关的网络端口，如果您没有安装体积庞大安全软件，也可以使用TCPView这款小巧的工具来检测可疑连接。在该程序主界面（如图2所示）中可以让所有的网络连接一览无遗，在对应连接的“Status”列中如果 显 示“Listening”项，表示其处于监听状态，显示为“Established”项，表示已经建立了连接。显示为“Time_Wait”项，表示该连接已经使用过，但访问已经结束了。对于可疑连接（尤其是以红色显示的），可以在其右键菜单上点击“End Process”项，将其关闭，或者点击“Process Properties”项来定位可疑文件。

图1 观察网络流量信息

图2 查看网络连接信息

值得注意的是，如果某个网络端口发生数据交换，TCPView会以醒目的颜色来提示。当然，也可以在命令提示符窗口中执行“netstat –ano”命令，来查看当前的网络连接信息。对于发现的可疑连接，根据其进程编号，可以在任务管理器中找到对应的进程。为了缩小查看范围，也可以执行“netstat p TCP”命令，来查看TCP网络连接信息等。当然，对于拿不准的程序，可以打开“http://www.virscan.org/”之类的网站，对其进行在线检测来判定其真实身份。

当没有进行任何操作却发现硬盘等狂闪时，说明有程序在后台执行大数据量的读写操作。对于Windows 7来说，可以点击“Ctrl+Shift+ESC”键，在资源管理器中的“性能”页面下点击“资源监视器”项，在弹出窗口中可以查看CPU、内存、硬盘等硬件资源的使用情况。如果想找出频繁读写硬盘的程序，可以在“磁盘”面板查看各进程读取或者写入硬盘的速度信息，据此来发现可疑程序。

在一般情况下，除了“SYSTEM”和杀毒软件等正常进程外，其它进程是不会经常读写硬盘的，如果发现有来历不明的进程在疯狂读写数据，就说明其很有可能是潜伏的病毒木马。在“映像”栏中选择可疑进程，在“磁盘活动”栏中可以查阅其读写了文件信息，对于病毒木马来说，可以据此来追踪其释放或者创建的可疑文件，并据此信息将其全部删除。

找出进程中的“不法分子”

不管黑客放置的木马如何狡猾，其必须运行后才能发挥威力。使用Process Explorer这款进程管理利器，可以让病毒木马进程暴露无遗。在其主界面中动态显示全部进程信息（如图3所示），对于不同类型的进程，Process Explorer会以不同的颜色以树形结构进行显示。对于经过名称伪装的进程，例如“expl0rer.exe”之类的，通过仔细查看不难发现其踪迹。对于拿不准的可疑进程，可以在其右键菜单上点击“Check Virustotal”项，进行在线检测。另外，Process Explorer会将系统进程或者一般进程分别显示，系统进程包括“svchost.exe、winlogon.exe、spoolsv.exe”等，其运行权限都比较高。而explorer.exe”之类的就属于一般进程，如果在这些一般进程发现了看似系统级别的进程（例如“svchost.exe”等），那么毫无疑问这就是冒牌的病毒木马进程。点击菜单“Options”→“erify Image Signatures”项，可以检测进程的数字签名信息，据此也可以发现来历不明的不法进程。对于DLL木马来说，可以点击“Ctrl+L”键，来打开DLL模块显示面板，选择对应的进程，在其中查看其加载的DLL文件信息，在可疑模块上点击右键，利用弹出菜单可以执行查看属性、在线搜索、病毒检测等操作。

利用360安全卫士，还可以对进程进行有效的安全认证。在其自带的工具中启动360任务管理器，在“运行中程序”面板（如图4所示）中显示全部进程信息，包括名称、CPU占用率等内容。在“磁盘读写”列显示不同进程读写硬盘的速度，配合“是否占资源”列中显示内容，可以很容易找出疯狂占用硬盘资源的不法程序。在“网速”列可以很容易发现过度占用流量的可疑程序。在“云检测”列中显示不同进程的安全检测评估，对于非安全的进程，需要重点排查。

图3 查看进程信息

图4 快速发现可疑进程

对于不法进程，利用其管理菜单可以实现关闭、设置优先级、定位文件查看数据、查看模块等操作。点击“显示进程加载的模块”按钮，可以查看选中进程加载的DLL模块信息，从中不难发现DLL木马等踪迹。

发现并清除免杀型木马

黑客之所以能够控制肉鸡，很重要的一点是使用了免杀技术，让病毒木马可以逃过安全软件的监控，对付免杀型病毒木马，的确是比较麻烦的事情。不过，这类特殊的病毒木马并非无法探测，使用一些专用的安全软件，同样可以让其显出原形。例如，使用无毒空间这款安全工具，就可以对系统执行深入分析，来捕获可疑程序。当其安装运行后，会对全盘进行扫描，来发现隐藏的可疑文件。在其主界面中显示搜索到的可疑文件，在对应可疑文件的右键菜单上点击“禁止”项，可以禁止其运行，点击“删除”项，可以将其删除。

对于已经运行的而且无法直接禁止的可疑程序来说，可以对其拦截屏蔽后重启系统，让其彻底失去活力，无法对系统构成威胁。

在系统托盘中的无毒空间的右键菜单上选择“实时拦截”项，可以对病毒木马的活动进行监控和拦截。在其主界面中点击“定位”按钮，可以找到目标程序，点击“监视”按钮，所有的不法程序只要有所行动，就会被无毒空间捕获。点击“分析”按钮，可以对所有的启动项目进行检测分析，并自动锁定加载的可疑度较大的启动文件。例如，对于文件名异常、运行路径复杂、体积较大、厂商版本信息不全的程序尤其需要防范和清除。

清除黑客暗藏的隐形账户

当黑客入侵得手后，为了实现长期控制肉鸡的目的，会利用已经开启（或者非法开启）的终端服务，对肉鸡进行远程控制，为了实现登录操作，黑客可能会在其中创建隐形账户，来逃避用户的检测，使用LP_Check可以让克隆账户彻底现出原形。在LP_Check主窗口中列出所有存在的账户，如果在列表中对应账户的“Result”列中显示为“Shadow Administrator”项，就表示该账户被克隆了。同时在窗口底部的“Result”栏中显示存在的克隆账户的数量，仅仅发现克隆账户还不够，关键是将其清除。

实际上，所有账户的配置信息全部保存在注册表中，但是只能拥有System账户身份才能显示和清除克隆帐号。

借助于“PsExec”这款小工具，您就可以轻松拥有SYSTEM帐户权限。将“Psexec.exe”复制到系统文件夹中，之后在CMD窗口中执行命令“psexec-id-s %windir% egedit.exe”，回车后自动打开注册表编辑器，此时是以SYSTEM账户的身份运行注册表编辑器的，在其中展 开“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”分支，在其下可以看到所有的账户信息，克隆账户赫然在列，在克隆账户名称的右键菜单上点击“删除”按钮，即可将其从系统中彻底删除。

判读安全日志 发现黑客踪迹

其实，对安全日志进行检测，也可以及时发现黑客的踪迹。运行“gpedit.msc”程序，在组策略窗口左侧点击 “计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”项，在右侧窗口中针对“审核策略更改”、“审核登录事件”、“审核账户登录事件”、“审核账户管理”等项分别开启“成功”和“失败”审核项目。这样，当黑客执行扫描操作、远程登录、添加账户等操作时，就会被系统日志记录下来。

通过运行“eventvwr.msc”程序，在事件查看器窗口左侧选择“安全性”项，在右侧窗口中可以看到所有的安全审核事件，其中就包括针对病毒文件的审核事件。双击对应的事件项目，可以查看其详细信息。如果发现黑客入侵的痕迹，就需要使用各种安全工具，对系统进行全面检测，将木马等潜伏分子一网打尽。

当然，黑客也可能采取删除日志的方法，例如，将“C:WindowsSystem32Config”文件夹中的三个“.EVT”文件删除，这样就清空了日志信息。不过当其在删除日志文件的同时，系统也会自动常见一条日志信息，用来记录入侵者删除日志的行为。因此，如果发现日志信息莫名其妙地消失，或者只剩下一条记录（或是干脆连最后一条日志也消失），就可以断定本机已经变成了黑客的肉鸡了。

让主机远离“肉鸡”之列

为了避免让自己的电脑变成肉鸡，最重要的是要加固安全防范措施，截断黑客入侵的通道。

一般来说，黑客要想获得并控制肉鸡，常用的手段是散播病毒或者木马，感染远程主机后执行入侵操作，或者对目标机进行扫描检测，发现其存在的漏洞，进入执行入侵动作，并在其上秘密开启端口建立非法连接。所以，对其最直接的防御方式是安装强悍的杀毒软件，并及时升级病毒库，来发现和识别新的病毒木马。

实际上，当病毒木马入侵后也会对杀毒软件进行破坏，终止其运行或者让其无法正常工作，破坏其升级机制，让其无法顺利升级病毒库。例如其会采用映像劫持技术、屏蔽杀毒软件运行等。如果发现杀毒软件运行异常，应该对系统进行深入检查。

防止黑客和目标主机之间建立连接，需要在系统中安装防火墙软件，在本机和外界之间建立安全屏障。尤其是对于没有及时安装系统补丁的用户来说，防火墙软件是保护系统安全的可靠卫士。虽然系统已经内置了防火墙，而且在Windows7/8等系统中，防火墙的功能已经得到强化，不过同专业的防火墙软件相比，其功能显得比较单一，如果采用默认配置，可能无法有效阻挡黑客的攻击。所以，为了提高安全性，需要使用更加专业的防火墙软件。在实际选择防火墙软件时，需要考虑功能较多的产品，例如不仅可以监控针对外网或者内网的访问动作，还应该拥有自动关闭危险端口、防止恶意扫描。有对各种危害系统安全的行为（例如修改系统配置信息、修改删除系统文件、修改注册表等）进行监控的功能，

除了防止外界攻击外，防止来自内网的攻击也不可忽视，很多网络很强调对外部攻击的防御，而忽视了对内网安全的重视。例如一旦别有用心的用户发起ARP攻击，就会严重威胁内网安全。使用360安全卫士提供的局域网保护功能，就可以有效提高主机在内网中的安全性。在360流量防火墙界面中点击“局域网防护”按钮，之后点击“立即开启”按钮，就可以激活局域网防火墙，可以执行抗击断网掉线攻击，防止泄漏隐私信息，抗击非法控制网络访问行为等操作。

为了抵御ARP攻击，可以安装各种ARP防火墙软件。对于危险的端口（例如3389等），为了防止黑客恶意利用，在不需要的情况下，最好将其关闭。利用系统自带的安全策略，就可以将指定的端口彻底封锁起来。执行“gpedit.msc”命令，在组策略编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“IP安全策略”分支，在右侧窗口中的右键菜单中点击“创建IP安全策略”项，之后按照提示，就可以创建并指派对应的策略，具体操作比较简单这里不再赘述。

黑客之所以入侵得手，很大程度上是利用了系统存在的各种漏洞的缘故。因此，及时修复漏洞就显得很重要了。

漏洞基本上分为系统漏洞和应用程序漏洞两种，相对而言，应用软件漏洞的利用会受到较多的环境制约，风险一般较低，而Windows系统漏洞危险度较高，很容易被黑客作为入侵的突破口。

利用一些安全工具，可以高效完整地修改各种系统漏洞。例如在360安全卫士主界面中点击“查杀修复”按钮，在弹出界面中点击“漏洞修复”按钮，在漏洞管理界面中勾选全部漏洞，包括高危漏洞、软件安全更新、可选的高危漏洞补丁，其它及功能性更新补丁的，点击“立即修复”按钮，就可以将所有的漏洞全部补上。相比系统自带的更新功能，其速度和易用性都好得多。

在安装系统时，如果您使用的是第三方的定制版安装包，虽然利用其提供的自动安装技术，可以加速安装进程。不可忽视的是，其默认的管理员密码一般为空，为了安全起见，最好运行“lusrmgr.msc”程序，为管理员设置复杂的密码。

为了防止优盘等移动设备中潜伏在病毒木马侵入系统，除了使用杀毒软件进行防御外，最好关闭系统的自动播放功能。执行“gpedit.msc”程序，在组策略编辑器中选择“计算机配置”→“管理模板”→“Windows组件”→“自动播放策略”，在右侧窗口中双击“关闭自动播放”项，将其设置为“已启用”，并将下方的关闭对象设置为“所有驱动器”，重启系统后就可以关闭自动播放功能。为了防止网页木马乘虚入侵，最好使用安全性较高的浏览器（例如360安全浏览器、猎豹浏览器等）来降低安全风险，或者在虚拟环境中上网冲浪。例如使用360安全卫士提供的隔离沙箱功能，将浏览器放置在虚拟环境中运行，让网页木马无法破坏真实的系统。

现在很多用户都是通过无线路由器上网的，但是家用的无线路由器往往因为错误设置、固件存在问题等原因会出现潜在的安全漏洞，一旦被黑客盯上，就会使其通过路由器实现入侵操作。这种情况下，无线路由器也成了肉鸡，黑客可以借助其为跳板，对内网主机进行渗透攻击。

一些无线路由器提供了远程Web管理功能，如果将其错误开启，就会招致黑客的攻击。

此外，在某些品牌的无线路由器上还存在着Telnet登录功能，而且该功能处于隐藏状态，一般用户对此并不知情。因为Telnet开启的是23端口，黑客使用扫描器对指定范围内的IP进行扫描，检测其23号端口开启状态，可以很轻松地找到这类路由器甚至是网关或者服务器。在一般情况下，无线路由器的账户名和密码都是固定不变的，例如Root、Admin等。用户往往懒得修改密码，这就为黑客入侵提供了便利，黑客使用Telnet命令连接到目标路由器后，很容易通过安全认证操作，这样内网主机就暴露在黑客面前了。所以，可以利用SuperScan等扫描器对自己的外网地址进行扫描，检测是否开启了23端口，如果开启的话必须修改路由器登录密码。