电脑中是否已被安装了木马的简单检测方法
2009年07月10日星期五 15:06
众所周知，木马从来都以它的隐蔽性让人防不胜防，更不易让人察觉的。

对于刚刚接触电脑不久的人来说，尤其是当手头上还没有完善的工具来检测它们的时候。

其实，我们不妨可以先用一些基本的命令就可以查出电脑是否中了木马，这样可以在保护网络安全上起到很大的作用。

现在，笔者就教给大家三个简单的检测方法。

一、检测网络连接
如果我们怀疑自己的电脑上可能已经被别人安装了木马，或者是中了病毒，但是到底是不是真有这样的事情发生呢？这时我们完全可以使用Windows自带的网络命令来看看都有谁目前在连接我们的计算机。

方法就是在命令行下输入“netstat -an”这个命令就能看到所有和本地计算机建立连接的IP，当我们运行这个命令后，DOS窗口内显示出来的内容主要包含以下四个部分:Proto(连接方式)、Local Address(本地连接地址)、Foreign Address(和本地建立连接的地址)、State(当前端口状态)。

其中State(当前端口状态)下面一般显示有:LISTENING(侦听或监听)、ESTABLISHED(已连接)、CLOSE_WAIT(关闭等待)、TIME_WAIT(时间等待)、SYN_SENT(同步传送)、LAST_ACK(最后确认)。

通过“netstat -an”这个命令所显示出来的详细信息，我们就可以完全监控电脑上的所有和本地计算机建立连接的IP，让我们看到目前都有谁在连接我们的计算机，具体哪些是我们自己开启的连接，哪些是我们不请自来而非法访问的，从而来达到安全控制计算机的目的。

二、停用不明服务
当我们在某一天系统重新启动后，却突然发现电脑速度明显变慢了，不管怎么优化都还是慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵我们的计算机后给开放了特别的某种服务，比如IIS 信息服务等，这样我们的杀毒软件是查不出来的。

但是我们先别着急，可以通过“net start”这个命令来查看系统中究竟都有哪些服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地来停止这个服务了。

方法就是在命令行下输入“net start”这个命令来查看服务，譬如，我们发现其中有个“Messenger”并不是我们自己所开启的服务，这时我们就用“net stop Messenger”这个命令来停止此项服务。

希望大家以此类推并能够举一反三的去操作。

三、轻松检查账户
恶意的攻击者非常喜欢使用克隆账号的方法来控制我们的电脑，他们采用的方法就是激活一个系统中的默认账户，但这个账户是我们不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。

恶意的攻击者可以通过这个账户任意地控制我们的计算机。

为了避免这种情况，我们可以用很简单的方法对电脑中的账户进行检测。

首先在命令行下输入“net user”这个命令来查看计算机上都有些什么用户，然后再使用“net user Name”这个命令来具体查看这个用户是属于什么权限的，一般除了Administrator是Administrators
组的，其它都不是。

当然我们自己另建的用户要除外了。

如果我们自己并没有另建用户然而却发现还有另外一个系统内置的用户是属于Administrators组的，这时就说明入侵者已在我们的计算机上克隆了账户，我们的电脑已经被入侵了。

如果是这样的话，那么我们就应立即使用“net user Name/del”这个命令来删除掉这个非法用户！
说明：
1、开始-->运行-->输入cmd-->敲回车后即可进入命令行。

2、本篇中所提及到的命令在输入时都不包含双引号在内的。

3、命令中所使用的“Name”指代的就是我们使用“net user”命令后所查看到的计算机上的那些用户名字。

请大家要记得自己去替换它（Name）哦！。