1.檢測(cè)木馬的存在

    首先，查看system.ini、win.ini、啟動(dòng)組中的啟動(dòng)項(xiàng)目。由“開始->運(yùn)行”，輸入msconfig，運(yùn)行Windows自帶的“系統(tǒng)配置實(shí)用程序”。

    a.查看system.ini文件

    選中“System.ini”標(biāo)簽，展開[boot]目錄，查看“shell=”這行，正常為“shell=Explorer.exe”，如果不是這樣，就可能中了木馬怎么刪除？

    b.查看win.ini文件

    c.選中win.ini標(biāo)簽，展開[windows]目錄項(xiàng)，查看“run=”和“l(fā)oad=”行，等號(hào)后面正常應(yīng)該為空。

    d.查看啟動(dòng)組

    再看看啟動(dòng)標(biāo)簽中的啟動(dòng)項(xiàng)目，有沒有什么非正常項(xiàng)目？要是有象netbus、netspy、bo等關(guān)鍵詞，極有可能就是木馬了。本人一般都將啟動(dòng)組中的項(xiàng)目保持在比較精簡(jiǎn)的狀態(tài)，不需要或無(wú)大用途的項(xiàng)目都屏蔽掉了。如下圖，只是選中了與注冊(cè)表檢查、音量控制、輸入法和能源保護(hù)相關(guān)的啟動(dòng)欄。到時(shí)要是有木馬出現(xiàn)，自是一目了然。

    e.查看注冊(cè)表

    由“開始->運(yùn)行”，輸入regedit，確定就可以運(yùn)行注冊(cè)表編輯器。再展開至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目錄下，查看鍵值中有沒有自己不熟悉的自動(dòng)啟動(dòng)文件項(xiàng)目，比如netbus、netspy、netserver等的單詞。注意，有的木馬程序生成的服務(wù)器程序文件很像系統(tǒng)自身的文件，想由此偽裝蒙混過關(guān)。比如Acid　Battery木馬，它會(huì)在注冊(cè)表項(xiàng)“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

    Explorer=“C:WINDOWSexpiorer.exe”，木馬服務(wù)器程序與系統(tǒng)自身的真正的Explorer之間只有一個(gè)字母的差別！

    通過類似的方法對(duì)下列各個(gè)主鍵下面的鍵值進(jìn)行檢查：

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

    HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

    如果**作系統(tǒng)是Windows　NT，還得注意HKEY-LOCAL-MACHINESoftwareSAM下面的內(nèi)容，如果有項(xiàng)目，那極有可能就是木馬了。正常情況下，該主鍵下面是空的。

    當(dāng)然在注冊(cè)表中還有很多地方都可以隱藏木馬程序，上面這些主鍵是木馬比較常用的隱身之處。除此之外，象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主鍵下面找到木馬程序的文件名，再通過其文件名對(duì)整個(gè)注冊(cè)表進(jìn)行全面搜索就知道它有幾個(gè)藏身的地方了。

    如果有留意，注冊(cè)表各個(gè)主鍵下都會(huì)有個(gè)叫“（默認(rèn)）”名稱的注冊(cè)項(xiàng)，而且數(shù)據(jù)顯示為“（未設(shè)置鍵值）”，也就是空的。這是正�，F(xiàn)象。如果發(fā)現(xiàn)這個(gè)默認(rèn)項(xiàng)被替換了，那么替換它的就是木馬了。

    f.其它方法

    上網(wǎng)過程中，在進(jìn)行一些計(jì)算機(jī)正常使用**作時(shí)，發(fā)現(xiàn)計(jì)算機(jī)速度明顯起了變化、硬盤在不停的讀寫、鼠標(biāo)不聽使喚、鍵盤無(wú)效、自己的一些窗口在未得到自己允許的情況下被關(guān)閉、新的窗口被莫名其妙地打開.....這一切的不正�，F(xiàn)象都可以懷疑是木馬客戶端在遠(yuǎn)程控制你的計(jì)算機(jī)。

    如果懷疑你現(xiàn)在正在被木馬控制，那么不要慌張地去拔了網(wǎng)線或抽了Modem上的電話線。有可能的話，最好可以逮到“黑”你的那個(gè)家伙。下面就介紹一下相應(yīng)的方法：

    由“開始->運(yùn)行”，輸入command，確定，開一個(gè)MS-DOS窗口�；蛘哂伞伴_始->程序->MS-DOS”來(lái)打開它。在MS-DOS窗口的命令行鍵入“netstat”查看目前已與本計(jì)算機(jī)建立的連接。

    顯示出來(lái)的結(jié)果表示為四列，其意思分別為Proto：協(xié)議，Local　Address：本地地址，F(xiàn)oreign　Address：遠(yuǎn)程地址，State：狀態(tài)。在地址欄中冒號(hào)的后面就是端口號(hào)。如果發(fā)現(xiàn)端口號(hào)碼異常（比如大于5000），而Foreign　Address中的地址又不為正常網(wǎng)絡(luò)瀏覽的地址，那么可以判斷你的機(jī)器正被Foreign　Address中表示的遠(yuǎn)程計(jì)算機(jī)所窺視著。在對(duì)應(yīng)行的Foreign　Address中顯示的IP地址就是目前非法連接你計(jì)算機(jī)的木馬客戶端。

    當(dāng)網(wǎng)絡(luò)處于非活動(dòng)狀態(tài)，也就是目前沒什么活