高手有警覺(jué)誰(shuí)在網(wǎng)線里亂竄

痛并快樂(lè)著

終于將手中的工作忙完了，關(guān)掉QQ和瀏覽器，緩緩地靠在座椅上伸個(gè)懶腰，讓自己的身體放松下來(lái)。視線無(wú)意間從桌角的ADSL貓上掃過(guò)，卻發(fā)一數(shù)據(jù)燈一直在不停地閃爍——這時(shí)候居然還有數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，該不會(huì)是中了什么木馬病毒吧？

既然發(fā)現(xiàn)了異樣，自然沒(méi)辦法再休息了，趕緊著手查證一下吧！作為一個(gè)經(jīng)常在網(wǎng)上闖蕩的高手，偶爾中點(diǎn)木馬病毒并不奇怪，但要是中了招而不自知，那面子可就丟大了。

神秘?cái)?shù)據(jù)忽隱忽現(xiàn)

到底是自己神經(jīng)過(guò)敏，還是真有木馬病毒作祟呢？趕緊用NetPerSec這款專(zhuān)業(yè)監(jiān)控軟件來(lái)看看吧！

先將系統(tǒng)中所有可能訪問(wèn)網(wǎng)絡(luò)的程序全部關(guān)掉，再運(yùn)行監(jiān)控軟件NetPerSec，查看當(dāng)前系統(tǒng)的網(wǎng)絡(luò)傳輸狀態(tài)。結(jié)果在“圖表”標(biāo)簽中的“發(fā)送”一項(xiàng)，看到有大量數(shù)據(jù)在進(jìn)行不間斷地傳輸（如圖1）。雖然Windows系統(tǒng)自己偶爾也會(huì)訪問(wèn)網(wǎng)絡(luò)，但是那樣的訪問(wèn)操作產(chǎn)生的數(shù)據(jù)量很小，連續(xù)時(shí)間也不會(huì)太長(zhǎng)。而現(xiàn)在我所看到的這個(gè)監(jiān)測(cè)畫(huà)面中，數(shù)據(jù)上傳的數(shù)量和時(shí)間都已超過(guò)了正常的情況，這說(shuō)明我的系統(tǒng)的。

軟件名稱(chēng)：NetPerSec

軟件版本：1.1

授權(quán)方式：共享軟件

軟件大小：2MB

下載地址：http://www.newhua.

com/soft/354.htm

嗅探抓包狐貍露尾

在“任務(wù)管理器”的“進(jìn)程”標(biāo)簽中，經(jīng)過(guò)認(rèn)真而詳細(xì)的檢查，我并沒(méi)有找到可疑的進(jìn)程。那么到底是誰(shuí)在網(wǎng)線里亂竄呢？看來(lái)不使用點(diǎn)手段是不行了。

于是，我下載了一個(gè)抓包嗅探工具SmartSniff。在使用它之前，我還得先在系統(tǒng)中安裝一個(gè)Wi nPc ap驅(qū)動(dòng)程序，這樣

軟件名稱(chēng)：SmartSniff

軟件版本：1.38

授權(quán)方式：免費(fèi)軟件

軟件大小：57KB

下載地址：http://www.newhua.

com/soft/60151.htmSmartSniff才能監(jiān)聽(tīng)到網(wǎng)絡(luò)上傳送的數(shù)據(jù)。現(xiàn)在運(yùn)行Sma r tSni f f，點(diǎn)擊“選項(xiàng)”菜單中的“選擇設(shè)備”命令，因?yàn)槭紫纫O(shè)置一下捕捉的網(wǎng)卡等。在彈出的“捕獲選項(xiàng)”窗口的“捕獲方式”中，選擇“原始套接字（僅Windows 2000/XP）”選項(xiàng)，接著在“選擇網(wǎng)卡”信息中選擇電腦當(dāng)前的內(nèi)網(wǎng)IP地址（比如我所選的就是“192.168.131.65”這項(xiàng)，如圖2）。

設(shè)置完成以后按“確定”退出，現(xiàn)在點(diǎn)擊工具欄中的“開(kāi)始捕獲”按鈕，SmartSniff就開(kāi)始自動(dòng)對(duì)數(shù)據(jù)進(jìn)行嗅探分析。可是，通過(guò)對(duì)抓包數(shù)據(jù)的分析，我還是沒(méi)得到什么有用的信息。一來(lái)，捕獲的數(shù)據(jù)也許不夠完整，第二個(gè)原因，抓到的數(shù)據(jù)大多經(jīng)過(guò)了加密處理，而我還沒(méi)有時(shí)間來(lái)研究它們的解密。不過(guò)經(jīng)過(guò)反復(fù)的分析，我還是發(fā)現(xiàn)了一些蛛絲馬跡——這些數(shù)據(jù)都被連接到一個(gè)遠(yuǎn)程IP地址的80端口（如圖3）。

線程插入木馬隱身

我們知道，80端口是常見(jiàn)的WEB網(wǎng)頁(yè)服務(wù)使用的端口，可是我的系統(tǒng)現(xiàn)在并沒(méi)有打開(kāi)任何瀏覽器啊？難道是某個(gè)程序在系統(tǒng)后臺(tái)默默地連接自己的主頁(yè)？可是系統(tǒng)中除了幾個(gè)常見(jiàn)的系統(tǒng)進(jìn)程以外，再?zèng)]有任何第三方的進(jìn)程信息了啊？難道是木馬病毒對(duì)自己的進(jìn)程進(jìn)行了隱藏？現(xiàn)在運(yùn)行安全軟件WSysCheck，點(diǎn)擊工具窗口中的“進(jìn)程管理”標(biāo)簽。這個(gè)程序可以通過(guò)不同的顏色，標(biāo)示出Win32級(jí)的隱藏進(jìn)程以及線程插入的進(jìn)程內(nèi)容。在進(jìn)程列表中，被標(biāo)示為紅色的是非系統(tǒng)的進(jìn)程或文件，標(biāo)示為黑色的是正常的系統(tǒng)進(jìn)程，標(biāo)示為粉紅色的則可能就是被線程插入的系統(tǒng)進(jìn)程。我在這里找到一個(gè)粉紅色的Svchost進(jìn)程（如圖4）！而正是在這個(gè)進(jìn)程，找到了一個(gè)可疑的模塊文件！

那么，這個(gè)可疑的模塊文件，是否就是偷偷傳送數(shù)據(jù)的幕后黑手呢？先記錄下這個(gè)Svchost進(jìn)程的PID值，接著點(diǎn)擊“安全檢查”標(biāo)簽中的“端口狀態(tài)”。經(jīng)過(guò)和這個(gè)PID值進(jìn)行對(duì)比，結(jié)果發(fā)現(xiàn)正是這個(gè)進(jìn)程，正在悄悄地連接遠(yuǎn)程IP地址的80端口（如圖5）。至此，一切都真相大白了。現(xiàn)在返回到WSysCheck程序的“進(jìn)程管理”標(biāo)簽，選擇列表中那個(gè)粉紅色的Svchost進(jìn)程，然后選擇模塊窗口中那個(gè)可疑的模塊文件。再點(diǎn)擊右鍵中的“卸載模塊并刪除文件”命令，將這個(gè)可疑的模塊文件進(jìn)行刪除（如圖6）。最后重新啟動(dòng)操作系統(tǒng)，連接到網(wǎng)絡(luò)再進(jìn)行查看，發(fā)現(xiàn)系統(tǒng)終于恢復(fù)到正常狀態(tài)了。

軟件名稱(chēng)：WSysCheck

軟件版本：1.67.3

授權(quán)方式：免費(fèi)軟件

軟件大小：1017KB

下載地址：ht tp: //wangsea.

ys168.com