現在攻擊個人電腦的木馬軟件很多，功能比以前多了，使用也比以前方便多了，所以危害也比以前大了，奇奇發現很多人中了木馬自己還不知道，我就寫了一點心得，給大家作個參考。

要想使自己的電腦安全，就好扎好自己的籬笆，看好自己的門，電腦也有自己的門，我們叫它端口。
你在網絡上沖浪，別人和你聊天，你發電子郵件，必須要有共同的協議，這個協議就是TCP/IP協議，任何網絡軟件的通訊都基于TCP/IP協議。
如果把互聯網比作公路網，電腦就是路邊的房屋，房屋要有門你才可以進出TCP/IP協議規定，電腦可以有256乘以256扇門，即從0到65535號“門”，TCP/IP協議把它叫作“端口”。

當你發電子郵件的時候，E-mail軟件把信件送到了郵件服務器的25號端口，當你收信的時候，E-mail軟件是從郵件服務器的110號端口這扇門進去取信的，你現在看到的我寫的東西，是進入服務器的80端口。新安裝好的個人電腦打開的端口號是139端口，你上網的時候，就是通過這個端口與外界聯系的。黑客不是神仙，他也是通過端口進入你的電腦的。

黑客是怎么樣進入你的電腦的呢？當然也是基于TCP/IP協議通過某個端口進入你的個人電腦的。
如果你的電腦設置了共享目錄，那么黑客就可以通過139端口進入你的電腦，注意！WINDOWS有個缺陷，就算你的共享目錄設置了多少長的密碼，幾秒鐘時間就可以進入你的電腦，所以，你最好不要設置共享目錄，不允許別人瀏覽你的電腦上的資料。

除了139端口以外，如果沒有別的端口是開放的，黑客就不能入侵你的個人電腦。那么黑客是怎么樣才會進到你的電腦中來的呢？答案是通過特洛伊木馬進入你的電腦。
如果你不小心運行了特洛伊木馬，你的電腦的某個端口就會開放，黑客就通過這個端口進入你的電腦。
舉個例子，有一種典型的木馬軟件，叫做netspy.exe。如果你不小心運行了netspy.exe，那么它就會告訴WINDOWS，以后每次開電腦的時候都要運行它，然后，netspy.exe又在你的電腦上開了一扇“門”，“門”的編號是7306端口，如果黑客知道你的7306端口是開放的話，就可以用軟件偷偷進入到你的電腦中來了。

特洛伊木馬本身就是為了入侵個人電腦而做的，藏在電腦中和工作的時候是很隱蔽的，它的運行和黑客的入侵，不會在電腦的屏幕上顯示出任何痕跡。WINDOWS本身沒有監視網絡的軟件，所以不借助軟件，是不知道特洛伊木馬的存在和黑客的入侵。

接下來，奇奇就讓你利用軟件如何發現自己電腦中的木馬。
奇奇再以netspy.exe為例，現在知道netspy.exe打開了電腦的7306端口，要想知道自己的電腦是不是中netspy.exe，只要敲敲7306這扇“門”就可以了。
你先打開C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打開瀏覽器，在瀏覽器的地址欄中輸入http://10.10.10.10:7306/，如果瀏覽?..spy.exe木馬了。 
這是最簡單最直接的辦法，但是需要你知道各種木馬所開放的端口，奇奇已知下列端口是木馬開放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。

掃描這么多端口是不是很累，需要半個多小時傻等了，現在好了，我漢化了一個線程監視器，Tcpview.exe可以看電腦有什么端口是開放的，除了139端口以外，還有別的端口開放，你就可以分析了，如果判定自己的電腦中了木馬，那么，你就得在硬盤上刪除木馬最簡單的辦法當然是用殺毒軟件刪除木馬了，Netvrv病毒防護墻可以幫你刪除netspy.exe和bo.exe木馬，但是不能刪除netbus木馬。下面就netbus木馬為例講講刪除的經過。

　
簡單介紹一下netbus木馬，netbus木馬的客戶端有兩種，開放的都是12345端口，一種以Mring.exe為代表（472,576字節），一種以SysEdit.exe為代表（494,592字節）。
Mring.exe一旦被運行以后，Mring.exe就告訴WINDOWS，每次啟動就將它運行，WINDOWS將它放在了注冊表中，你可以打開C:\WINDOWS\REGEDIT.EXE進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后刪除這個健值，你再到WINDOWS中找到Mring.exe刪除。注意了，Mring.exe可能會被黑客改變名字，字節長度也被改變了，但是在注冊表中的位置不會改變，你可以到注冊表的這個位置去找。
另外，你可以找包含有“netbus”字符的可執行文件，再看字節的長度，我查過了，WINDOWS和其他的一些應用軟件沒有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的變種。
SysEdit.exe被運行以后，并不加到WINDOWS的注冊表中，也不會自動掛到其他程序中，于是有人認為這是傻瓜木馬，奇奇倒認為這是最最可惡、最最陰險的木馬。別的木馬被加到了注冊表中，你就有痕跡可查了，就連專家們認為最最兇惡的BO木馬也可以輕而易舉地被我們從注冊表中刪除。
而SysEdit.exe要是掛在其他的軟件中，只要你不碰這個軟件，SysEdit.exe也就不發作，一旦運行了被安裝SysEdit.exe的程序，SysEdit.exe也同時啟動了。奇奇在自己的電腦中做了這樣一個實驗，將SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆綁起來，Abcwin.exe是智能ABC輸入法，當我開啟電腦到上網，只要沒有打開智能ABC輸入法打字聊天，SysEdit.exe也就沒有被運行，你就不能進入我的12345端口，如果我什么時候想打字了，一旦啟動智能ABC輸入法（Abcwin.exe），那么捆綁在Abcwin.exe上的SysEdit.exe也同時被運行了，我的12345端口被打開，別人就可以黑到我的電腦中來了。同樣道理，SysEdit.exe可以被捆綁到網絡傳呼機、信箱工具等網絡工具上，甚至可以捆綁到撥號工具上，電腦中的幾百的程序中，你知道會在什么地方發現它嗎？所以我說這是最最陰險的木馬，讓人防不勝防。

有的時候知道自己中了netbus木馬，特別是SysEdit.exe，能發現12345端口被開放，并且可以用netbus客戶端軟件進入自己的電腦，卻不知道木馬在什么地方。這時候，你可以檢視內存，請打開C:\WINDOWS\DRWATSON.EXE，然后對內存拍照，查看“高級視圖”中的“任務”標簽，“程序”欄中列出的就是正在運行的程序，要是發現可疑的程序，再看“路徑”欄，找到這個程序，分析它，你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中還是暴露了。

好了，來回顧一下，要知道自己的電腦中有沒有木馬，只要看看有沒有可疑端口被開放，用代理獵手、Tcpview.exe都可以知道。要查找木馬，一是可以到注冊表的指定位置去找，二是可以查找包含相應的可執行程序，比如，被開放的端口是7306，就找包含“netspy”的可執行程序，三是檢視內存，看有沒有可以的程序在內存中。

你的電腦上的木馬，來源有兩種，一種是你自己不小心，運行了包含有木馬的程序，另一種情況是，“網友”送給你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再運行，安裝容易排除難呀。

排除了木馬以后，你就可以監視端口，悄悄等待黑客的來臨介紹兩個軟件，

首先是NukeNabber，它是端口監視器，你告訴NukeNabber需要監視7306端口，如果有人接觸這個端口，就馬上報警。在別人看來，你的電腦的7306端口是開放的，但是7306不是由netspy控制了，當NukeNabber發現有人接觸7306端口或者試圖進入你的7306端口，馬上報警，你可以在NukeNabber上面看到黑客對你做了些什么，黑客的IP地址是哪里，然后，你就可以反過來攻擊黑客了。當NukeNabber監視139的時候，你就可以知道誰在用IP炸彈炸你。
另外提一下，如果NukeNabber告訴你不能監視7306端口，說這個端口已經被占用了，那么說明你的電腦中存在netspy了。

第二個軟件就是Tcpview.exe，這個軟件是線程監視器，你可以用它來查看有多少端口是開放的，誰在和你通訊，對方的IP地址和端口分別是什么。