去年可说是木马活动非常频繁的一年，一篇篇针对木马的查杀文章也先后登场，但这些文章都是对某一个木马讲的，大家如果碰到新的木马就又没有办法了。如自己懂得手工查杀木马的方法就可以应付自如了。 一、了解木马 木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。
二、发现木马 由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。一般个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪则会开放其它端口，IE一般会打开连续的端口:1025，1026，1027…，QQ会打开4000、4001…等端口。在DOS命令行下netstat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其它端口被占用（特别是木马常用端口被占用），比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口…如果发现这些端口被占用了，基本上就可以判定: 你中木马了！
三、查找木马 首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马将不执行），启动项一般都是加在注册表中的，具体位置在：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。
不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:
①在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子: run=c:\windows\file.exe load=c:\windows\file.exe 要小心了，这个file.exe很可能是木马。
②在System.ini中启动 System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马常做的是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。另外，在System.ini中的[386Enh]字段，注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段，这些段是起到加载驱动程序的作用，也是增木马程序的好场所。
③在Autoexec.bat和Config.sys中加载运行 这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。
④在Winstart.bat中启动 Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来.
下转一招杀敌 纯手工绝招随时随地查杀木马（二）