驻留在用户机器上的服务器程序
以及一个用于访问用户机器的客户端程序
就好像NT的Server和Workstation的关系一样
在对付特洛伊木马程序方面
有以下几种办法
多读readmetxt
许多人出于研究目的下载了一些特洛伊木马程序的软件包
在没有弄清软件包中几个程序的具体功能前
就匆匆地执行其中的程序
这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品
软件包中经常附带的readmetxt文件会有程序的详细功能介绍和使用说明
尽管它一般是英文的
但还是有必要先阅读一下
如果实在读不懂
那最好不要执行任何程序
丢弃软件包当然是最保险的了
有必要养成在使用任何程序前先读readmetxt的好习惯
值得一提的是
有许多程序说明做成可执行的readmeexe形式
readmeexe往往捆绑有病毒或特洛伊木马程序
或者干脆就是由病毒程序特洛伊木马的服务器端程序改名而得到的
目的就是让用户误以为是程序说明文件去执行它
可谓用心险恶
所以从互联网上得来的readmeexe最好不要执行它
使用杀毒软件
现在国内的杀毒软件都推出了清除某些特洛伊木马的功能
可以不定期地在脱机的情况下进行检查和清除
另外
有的杀毒软件还提供网络实时监控功能
这一功能可以在黑客从远端执行用户机器上的文件时
提供报警或让执行失败
使ghost xp.gho黑客向用户机器上载可执行文件后无法正确执行
从而避免了进一步的损失
立即挂断
尽管造成上网速度突然变慢的原因有很多
但有理由怀疑这是由特洛伊木马造成的
当入侵者使用特洛伊的客户端程序访问你的机器时
会与你的正常访问抢占宽带
特别是当入侵者从远端下载用户硬盘上的文件时
正常访问会变得奇慢无比
这时
你可以双击任务栏右下角的连接图标
仔细观察一下
已发送字节&rdquo
项
如果数字变化成
~
kbps(每秒
~
千字节)
几乎可以确认有人在下载你的硬盘文件
除非你正在使用ftp功能
对TCPIP端口熟悉的用户
可以在
MSDOS方式&rdquo
下键入
netstata&rdquo
来观察与你机器相连的当前所有通信进程
当有具体的IP正使用不常见的端口(一般大于
)与你通信时
这一端口很可能就是特洛伊木马的通信端口
当发现上述可疑迹象后
你所能做的就是:立即挂断
然后对硬盘有无特洛伊木马进行认真的检查
观察目录
普通用户应当经常观察位于c:c:windowsc:windowssystem这三个目录下的文件
用
记事本&rdquo
逐一打开c:下的非执行类文件(除exebatcom以外的文件)
查看是否发现特洛伊木马击键程序的记录文件
在c:Windows或c:Windowssystem下如果有光有文件名没有