【IT168 专稿】去年可以说是木马活动非常频繁的一年，一篇篇针对木马的查杀文章也先后登场，但是这些文章都是对某一个木马讲的，大家如果碰到新的木马就又没有办法了。另一方面，反病毒、反黑客软件的反应速度远没有木马出现的速度快，如果自己懂得手工查杀木马的方法就可以应付自如了。
 　　
    一、了解木马 　　
    木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。
 　　
    二、发现木马 　　
    由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。一般个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪则会开放其它端口，IE一般会打开连续的端口:1025，1026，1027……，QQ会打开4000、4001……等端口。在DOS命令行下netstat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其它端口被占用（特别是木马常用端口被占用），比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口……如果发现这些端口被占用了，基本上就可以判定: 你中木马了！
 　　
    三、查找木马 　
    首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马将不执行），启动项一般都是加在注册表中的，具体位置在： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; 　　HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。如木马冰河的启动键值是: 　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] @=C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE 　 广外女生1.51版的启动键值是: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] Diagnostic Configuration=C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE 　　蓝色火焰0.5的启动键值是: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] Network Services=C:\\WINDOWS\\SYSTEM\\tasksvc.exe 不过，也有一些木马不在这些地方加载，它们躲在下面这些地方: 　
　
    ①在Win.ini中启动 　　
    在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子: run=c:\windows\file.exe 　　load=c:\windows\file.exe 要小心了，这个file.exe很可能是木马。 　

    ②在System.ini中启动 　　
    System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。