绝技之五：手工查杀木马
    互联网的出现，给企业日常办公带来了便捷，同时也为企业网络的安全运行带来了巨大的隐患。诚然，目前市面上号称功能出色的木马查杀软件，但一些网友的话，生动的形容了目前的网络安全现状：“最可怕的不是杀毒软件查出木马，而是查不出木马。”对于网管来说，手工查杀木马，也是必备的一项基本功。木马，其实质只是一个网络客户/服务程序。因此，木马程序只要运行，肯定会打开一个网络端口，这也是木马的踪迹。要想准确的判断驻留在机器中的木马程度，必须熟知一些常用程序所占用的端口。不上网的情况下，系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口1025，1026，1027……，QQ会打开4000、4001……等端口。

    了解了常用网络程序占用的端口之后，在DOS提示符下，运行netstat –an查看本机当前打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用，尤其是木马常用端口被占用，那么机器有可能被植入了“木马”。图七

注册表中的RUN键值

    为了确定机器被植入了木马程序，可以继续检查注册表的以下几个位置。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。
    HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。

    如果上述键值中加载了可疑的程序，那么机器肯定被植入了木马程度。除了注册表之外，Win.ini、system.ini等系统文件中，也是木马的藏身之所。找到了木马的藏身之所，查杀木马病毒就容易多了。不过，查杀木马时，尽量断开网络，在操作系统的安全模式下查杀，更重要的是，一定要把木马程序的所有加载项目查清楚，否则，机器重新启动之后，木马仍然会驻留在机器中。