各個擊破 拒當“肉雞”

分析可疑流量 發(fā)現(xiàn)隱藏木馬

黑客在控制肉雞過程中，會產(chǎn)生較大的網(wǎng)絡數(shù)據(jù)流量，通過對其進行檢測分析，可以找出可疑的網(wǎng)絡連接，并可以準確判斷木馬的蹤跡。利用防火墻軟件（例如Comodo防火墻、ZoneAlarm防火墻等）都提供了網(wǎng)絡檢測功能，可以發(fā)現(xiàn)異常的數(shù)據(jù)流量信息。這里使用360流量防火墻為例進行說明，在360安全位置的全部工具窗口中的“網(wǎng)絡優(yōu)化”欄中點擊“流量防火墻”項，在打開窗口（如圖1所示）中的“管理網(wǎng)速”面板中右下角的“下載速度”和“上傳速度”欄中查看當前的數(shù)據(jù)收發(fā)信息，或者點擊桌面上的360安全衛(wèi)士懸浮窗，在360安全球中的“網(wǎng)速”面板中查看上傳和下載的數(shù)據(jù)總量信息，如果沒有進行任何網(wǎng)絡操作，卻發(fā)現(xiàn)傳輸?shù)牧髁慨惓Ｔ龃蟮脑挘托枰鹁X了。在流量防火墻中的“管理網(wǎng)速”面板中查看當前處于活動狀態(tài)的網(wǎng)絡程序收發(fā)數(shù)據(jù)的實時信息。雙擊其中的可疑程序，在彈出窗口中查看其詳細信息，包括文件路徑、已下載和已上傳流量、建立的網(wǎng)絡連接數(shù)量等。點擊“結束進程”按鈕，可以關閉該可疑進程。

在“網(wǎng)絡連接”面板中顯示所有的網(wǎng)絡連接信息，包括活動進程、協(xié)議類型、本地IP和端口、遠程IP和端口、遠程機地址、連接狀態(tài)等。如果您沒有使用網(wǎng)絡軟件連接任何主機，卻發(fā)現(xiàn)存在可疑的連接，而且在其“安全等級”列中顯示非安全標記，就說明本機已經(jīng)成為肉雞了。在可疑連接上打開管理菜單，可以執(zhí)行關閉進程、查看信息、定位文件、查看文件屬性等操作。找到木馬文件后，可以將其刪除。如果無法刪除，可以使用IceSword、Wsyschk等工具，將其強制刪除。如果定位到的是正常進程，說明DLL木馬已經(jīng)注入到其內部，使用IceSword、Wsyschk等工具查看該進程內部的DLL模塊，將其找出并卸載刪除，具體的操作很簡單不再贅述。

切斷黑客的非法連接

黑客要想控制肉雞，必須開啟相關的網(wǎng)絡端口，如果您沒有安裝體積龐大安全軟件，也可以使用TCPView這款小巧的工具來檢測可疑連接。在該程序主界面（如圖2所示）中可以讓所有的網(wǎng)絡連接一覽無遺，在對應連接的“Status”列中如果 顯 示“Listening”項，表示其處于監(jiān)聽狀態(tài)，顯示為“Established”項，表示已經(jīng)建立了連接。顯示為“Time_Wait”項，表示該連接已經(jīng)使用過，但訪問已經(jīng)結束了。對于可疑連接（尤其是以紅色顯示的），可以在其右鍵菜單上點擊“End Process”項，將其關閉，或者點擊“Process Properties”項來定位可疑文件。

圖1 觀察網(wǎng)絡流量信息

圖2 查看網(wǎng)絡連接信息

值得注意的是，如果某個網(wǎng)絡端口發(fā)生數(shù)據(jù)交換，TCPView會以醒目的顏色來提示。當然，也可以在命令提示符窗口中執(zhí)行“netstat –ano”命令，來查看當前的網(wǎng)絡連接信息。對于發(fā)現(xiàn)的可疑連接，根據(jù)其進程編號，可以在任務管理器中找到對應的進程。為了縮小查看范圍，也可以執(zhí)行“netstat p TCP”命令，來查看TCP網(wǎng)絡連接信息等。當然，對于拿不準的程序，可以打開“http://www.virscan.org/”之類的網(wǎng)站，對其進行在線檢測來判定其真實身份。

當沒有進行任何操作卻發(fā)現(xiàn)硬盤等狂閃時，說明有程序在后臺執(zhí)行大數(shù)據(jù)量的讀寫操作。對于Windows 7來說，可以點擊“Ctrl+Shift+ESC”鍵，在資源管理器中的“性能”頁面下點擊“資源監(jiān)視器”項，在彈出窗口中可以查看CPU、內存、硬盤等硬件資源的使用情況。如果想找出頻繁讀寫硬盤的程序，可以在“磁盤”面板查看各進程讀取或者寫入硬盤的速度信息，據(jù)此來發(fā)現(xiàn)可疑程序。

在一般情況下，除了“SYSTEM”和殺毒軟件等正常進程外，其它進程是不會經(jīng)常讀寫硬盤的，如果發(fā)現(xiàn)有來歷不明的進程在瘋狂讀寫數(shù)據(jù)，就說明其很有可能是潛伏的病毒木馬。在“映像”欄中選擇可疑進程，在“磁盤活動”欄中可以查閱其讀寫了文件信息，對于病毒木馬來說，可以據(jù)此來追蹤其釋放或者創(chuàng)建的可疑文件，并據(jù)此信息將其全部刪除。

找出進程中的“不法分子”

不管黑客放置的木馬如何狡猾，其必須運行后才能發(fā)揮威力。使用Process Explorer這款進程管理利器，可以讓病毒木馬進程暴露無遺。在其主界面中動態(tài)顯示全部進程信息（如圖3所示），對于不同類型的進程，Process Explorer會以不同的顏色以樹形結構進行顯示。對于經(jīng)過名稱偽裝的進程，例如“expl0rer.exe”之類的，通過仔細查看不難發(fā)現(xiàn)其蹤跡。對于拿不準的可疑進程，可以在其右鍵菜單上點擊“Check Virustotal”項，進行在線檢測。另外，Process Explorer會將系統(tǒng)進程或者一般進程分別顯示，系統(tǒng)進程包括“svchost.exe、winlogon.exe、spoolsv.exe”等，其運行權限都比較高。而explorer.exe”之類的就屬于一般進程，如果在這些一般進程發(fā)現(xiàn)了看似系統(tǒng)級別的進程（例如“svchost.exe”等），那么毫無疑問這就是冒牌的病毒木馬進程。點擊菜單“Options”→“erify Image Signatures”項，可以檢測進程的數(shù)字簽名信息，據(jù)此也可以發(fā)現(xiàn)來歷不明的不法進程。對于DLL木馬來說，可以點擊“Ctrl+L”鍵，來打開DLL模塊顯示面板，選擇對應的進程，在其中查看其加載的DLL文件信息，在可疑模塊上點擊右鍵，利用彈出菜單可以執(zhí)行查看屬性、在線搜索、病毒檢測等操作。

利用360安全衛(wèi)士，還可以對進程進行有效的安全認證。在其自帶的工具中啟動360任務管理器，在“運行中程序”面板（如圖4所示）中顯示全部進程信息，包括名稱、CPU占用率等內容。在“磁盤讀寫”列顯示不同進程讀寫硬盤的速度，配合“是否占資源”列中顯示內容，可以很容易找出瘋狂占用硬盤資源的不法程序。在“網(wǎng)速”列可以很容易發(fā)現(xiàn)過度占用流量的可疑程序。在“云檢測”列中顯示不同進程的安全檢測評估，對于非安全的進程，需要重點排查。

圖3 查看進程信息

圖4 快速發(fā)現(xiàn)可疑進程

對于不法進程，利用其管理菜單可以實現(xiàn)關閉、設置優(yōu)先級、定位文件查看數(shù)據(jù)、查看模塊等操作。點擊“顯示進程加載的模塊”按鈕，可以查看選中進程加載的DLL模塊信息，從中不難發(fā)現(xiàn)DLL木馬等蹤跡。

發(fā)現(xiàn)并清除免殺型木馬

黑客之所以能夠控制肉雞，很重要的一點是使用了免殺技術，讓病毒木馬可以逃過安全軟件的監(jiān)控，對付免殺型病毒木馬，的確是比較麻煩的事情。不過，這類特殊的病毒木馬并非無法探測，使用一些專用的安全軟件，同樣可以讓其顯出原形。例如，使用無毒空間這款安全工具，就可以對系統(tǒng)執(zhí)行深入分析，來捕獲可疑程序。當其安裝運行后，會對全盤進行掃描，來發(fā)現(xiàn)隱藏的可疑文件。在其主界面中顯示搜索到的可疑文件，在對應可疑文件的右鍵菜單上點擊“禁止”項，可以禁止其運行，點擊“刪除”項，可以將其刪除。

對于已經(jīng)運行的而且無法直接禁止的可疑程序來說，可以對其攔截屏蔽后重啟系統(tǒng)，讓其徹底失去活力，無法對系統(tǒng)構成威脅。

在系統(tǒng)托盤中的無毒空間的右鍵菜單上選擇“實時攔截”項，可以對病毒木馬的活動進行監(jiān)控和攔截。在其主界面中點擊“定位”按鈕，可以找到目標程序，點擊“監(jiān)視”按鈕，所有的不法程序只要有所行動，就會被無毒空間捕獲。點擊“分析”按鈕，可以對所有的啟動項目進行檢測分析，并自動鎖定加載的可疑度較大的啟動文件。例如，對于文件名異常、運行路徑復雜、體積較大、廠商版本信息不全的程序尤其需要防范和清除。

清除黑客暗藏的隱形賬戶

當黑客入侵得手后，為了實現(xiàn)長期控制肉雞的目的，會利用已經(jīng)開啟（或者非法開啟）的終端服務，對肉雞進行遠程控制，為了實現(xiàn)登錄操作，黑客可能會在其中創(chuàng)建隱形賬戶，來逃避用戶的檢測，使用LP_Check可以讓克隆賬戶徹底現(xiàn)出原形。在LP_Check主窗口中列出所有存在的賬戶，如果在列表中對應賬戶的“Result”列中顯示為“Shadow Administrator”項，就表示該賬戶被克隆了。同時在窗口底部的“Result”欄中顯示存在的克隆賬戶的數(shù)量，僅僅發(fā)現(xiàn)克隆賬戶還不夠，關鍵是將其清除。

實際上，所有賬戶的配置信息全部保存在注冊表中，但是只能擁有System賬戶身份才能顯示和清除克隆帳號。

借助于“PsExec”這款小工具，您就可以輕松擁有SYSTEM帳戶權限。將“Psexec.exe”復制到系統(tǒng)文件夾中，之后在CMD窗口中執(zhí)行命令“psexec-id-s %windir% egedit.exe”，回車后自動打開注冊表編輯器，此時是以SYSTEM賬戶的身份運行注冊表編輯器的，在其中展 開“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”分支，在其下可以看到所有的賬戶信息，克隆賬戶赫然在列，在克隆賬戶名稱的右鍵菜單上點擊“刪除”按鈕，即可將其從系統(tǒng)中徹底刪除。

判讀安全日志 發(fā)現(xiàn)黑客蹤跡

其實，對安全日志進行檢測，也可以及時發(fā)現(xiàn)黑客的蹤跡。運行“gpedit.msc”程序，在組策略窗口左側點擊 “計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”項，在右側窗口中針對“審核策略更改”、“審核登錄事件”、“審核賬戶登錄事件”、“審核賬戶管理”等項分別開啟“成功”和“失敗”審核項目。這樣，當黑客執(zhí)行掃描操作、遠程登錄、添加賬戶等操作時，就會被系統(tǒng)日志記錄下來。

通過運行“eventvwr.msc”程序，在事件查看器窗口左側選擇“安全性”項，在右側窗口中可以看到所有的安全審核事件，其中就包括針對病毒文件的審核事件。雙擊對應的事件項目，可以查看其詳細信息。如果發(fā)現(xiàn)黑客入侵的痕跡，就需要使用各種安全工具，對系統(tǒng)進行全面檢測，將木馬等潛伏分子一網(wǎng)打盡。

當然，黑客也可能采取刪除日志的方法，例如，將“C:WindowsSystem32Config”文件夾中的三個“.EVT”文件刪除，這樣就清空了日志信息。不過當其在刪除日志文件的同時，系統(tǒng)也會自動常見一條日志信息，用來記錄入侵者刪除日志的行為。因此，如果發(fā)現(xiàn)日志信息莫名其妙地消失，或者只剩下一條記錄（或是干脆連最后一條日志也消失），就可以斷定本機已經(jīng)變成了黑客的肉雞了。

讓主機遠離“肉雞”之列

為了避免讓自己的電腦變成肉雞，最重要的是要加固安全防范措施，截斷黑客入侵的通道。

一般來說，黑客要想獲得并控制肉雞，常用的手段是散播病毒或者木馬，感染遠程主機后執(zhí)行入侵操作，或者對目標機進行掃描檢測，發(fā)現(xiàn)其存在的漏洞，進入執(zhí)行入侵動作，并在其上秘密開啟端口建立非法連接。所以，對其最直接的防御方式是安裝強悍的殺毒軟件，并及時升級病毒庫，來發(fā)現(xiàn)和識別新的病毒木馬。

實際上，當病毒木馬入侵后也會對殺毒軟件進行破壞，終止其運行或者讓其無法正常工作，破壞其升級機制，讓其無法順利升級病毒庫。例如其會采用映像劫持技術、屏蔽殺毒軟件運行等。如果發(fā)現(xiàn)殺毒軟件運行異常，應該對系統(tǒng)進行深入檢查。

防止黑客和目標主機之間建立連接，需要在系統(tǒng)中安裝防火墻軟件，在本機和外界之間建立安全屏障。尤其是對于沒有及時安裝系統(tǒng)補丁的用戶來說，防火墻軟件是保護系統(tǒng)安全的可靠衛(wèi)士。雖然系統(tǒng)已經(jīng)內置了防火墻，而且在Windows7/8等系統(tǒng)中，防火墻的功能已經(jīng)得到強化，不過同專業(yè)的防火墻軟件相比，其功能顯得比較單一，如果采用默認配置，可能無法有效阻擋黑客的攻擊。所以，為了提高安全性，需要使用更加專業(yè)的防火墻軟件。在實際選擇防火墻軟件時，需要考慮功能較多的產(chǎn)品，例如不僅可以監(jiān)控針對外網(wǎng)或者內網(wǎng)的訪問動作，還應該擁有自動關閉危險端口、防止惡意掃描。有對各種危害系統(tǒng)安全的行為（例如修改系統(tǒng)配置信息、修改刪除系統(tǒng)文件、修改注冊表等）進行監(jiān)控的功能，

除了防止外界攻擊外，防止來自內網(wǎng)的攻擊也不可忽視，很多網(wǎng)絡很強調對外部攻擊的防御，而忽視了對內網(wǎng)安全的重視。例如一旦別有用心的用戶發(fā)起ARP攻擊，就會嚴重威脅內網(wǎng)安全。使用360安全衛(wèi)士提供的局域網(wǎng)保護功能，就可以有效提高主機在內網(wǎng)中的安全性。在360流量防火墻界面中點擊“局域網(wǎng)防護”按鈕，之后點擊“立即開啟”按鈕，就可以激活局域網(wǎng)防火墻，可以執(zhí)行抗擊斷網(wǎng)掉線攻擊，防止泄漏隱私信息，抗擊非法控制網(wǎng)絡訪問行為等操作。

為了抵御ARP攻擊，可以安裝各種ARP防火墻軟件。對于危險的端口（例如3389等），為了防止黑客惡意利用，在不需要的情況下，最好將其關閉。利用系統(tǒng)自帶的安全策略，就可以將指定的端口徹底封鎖起來。執(zhí)行“gpedit.msc”命令，在組策略編輯器中依次展開“計算機配置”→“Windows設置”→“安全設置”→“IP安全策略”分支，在右側窗口中的右鍵菜單中點擊“創(chuàng)建IP安全策略”項，之后按照提示，就可以創(chuàng)建并指派對應的策略，具體操作比較簡單這里不再贅述。

黑客之所以入侵得手，很大程度上是利用了系統(tǒng)存在的各種漏洞的緣故。因此，及時修復漏洞就顯得很重要了。

漏洞基本上分為系統(tǒng)漏洞和應用程序漏洞兩種，相對而言，應用軟件漏洞的利用會受到較多的環(huán)境制約，風險一般較低，而Windows系統(tǒng)漏洞危險度較高，很容易被黑客作為入侵的突破口。

利用一些安全工具，可以高效完整地修改各種系統(tǒng)漏洞。例如在360安全衛(wèi)士主界面中點擊“查殺修復”按鈕，在彈出界面中點擊“漏洞修復”按鈕，在漏洞管理界面中勾選全部漏洞，包括高危漏洞、軟件安全更新、可選的高危漏洞補丁，其它及功能性更新補丁的，點擊“立即修復”按鈕，就可以將所有的漏洞全部補上。相比系統(tǒng)自帶的更新功能，其速度和易用性都好得多。

在安裝系統(tǒng)時，如果您使用的是第三方的定制版安裝包，雖然利用其提供的自動安裝技術，可以加速安裝進程。不可忽視的是，其默認的管理員密碼一般為空，為了安全起見，最好運行“l(fā)usrmgr.msc”程序，為管理員設置復雜的密碼。

為了防止優(yōu)盤等移動設備中潛伏在病毒木馬侵入系統(tǒng)，除了使用殺毒軟件進行防御外，最好關閉系統(tǒng)的自動播放功能。執(zhí)行“gpedit.msc”程序，在組策略編輯器中選擇“計算機配置”→“管理模板”→“Windows組件”→“自動播放策略”，在右側窗口中雙擊“關閉自動播放”項，將其設置為“已啟用”，并將下方的關閉對象設置為“所有驅動器”，重啟系統(tǒng)后就可以關閉自動播放功能。為了防止網(wǎng)頁木馬乘虛入侵，最好使用安全性較高的瀏覽器（例如360安全瀏覽器、獵豹瀏覽器等）來降低安全風險，或者在虛擬環(huán)境中上網(wǎng)沖浪。例如使用360安全衛(wèi)士提供的隔離沙箱功能，將瀏覽器放置在虛擬環(huán)境中運行，讓網(wǎng)頁木馬無法破壞真實的系統(tǒng)。

現(xiàn)在很多用戶都是通過無線路由器上網(wǎng)的，但是家用的無線路由器往往因為錯誤設置、固件存在問題等原因會出現(xiàn)潛在的安全漏洞，一旦被黑客盯上，就會使其通過路由器實現(xiàn)入侵操作。這種情況下，無線路由器也成了肉雞，黑客可以借助其為跳板，對內網(wǎng)主機進行滲透攻擊。

一些無線路由器提供了遠程Web管理功能，如果將其錯誤開啟，就會招致黑客的攻擊。

此外，在某些品牌的無線路由器上還存在著Telnet登錄功能，而且該功能處于隱藏狀態(tài)，一般用戶對此并不知情。因為Telnet開啟的是23端口，黑客使用掃描器對指定范圍內的IP進行掃描，檢測其23號端口開啟狀態(tài)，可以很輕松地找到這類路由器甚至是網(wǎng)關或者服務器。在一般情況下，無線路由器的賬戶名和密碼都是固定不變的，例如Root、Admin等。用戶往往懶得修改密碼，這就為黑客入侵提供了便利，黑客使用Telnet命令連接到目標路由器后，很容易通過安全認證操作，這樣內網(wǎng)主機就暴露在黑客面前了。所以，可以利用SuperScan等掃描器對自己的外網(wǎng)地址進行掃描，檢測是否開啟了23端口，如果開啟的話必須修改路由器登錄密碼。