黑客攻防实例前段时间由于我表弟要学ASP，所以我去把他的操作系统换成了Wi
dows2000高级服务器版（SP4）。他兴奋地对我说以后要写一个比动网还好的论坛。可惜好景不长，两周过后他打来电话向我求救，说是中病毒了。发现黑客我火速赶到表弟家一看，那些“病毒”文件无一例外都存放在Dwi
tsystem32hack下，有
cexe、ope
tel
etexe等。明显这些不是病毒，而是黑客工具，表弟的电脑被黑客入侵了。开工了！凭着玩网络安全两年多的经验，我进入了DDocume
tsa
dsetti
gs，发现除了表弟使用的Admi
istrator用户和默认的ALLUSERS文件夹之外，还多出了一个Justme文件夹。这类黑客都是先给系统添加一个合法用户，再打开服务器的终端服务登入，最后把这些服务器作为跳板来入侵别人的。于是，我打开servicesmsc，发现服务中果然多了一个Termi
alServices。拒绝黑客从服务器管理中删除这个Justme用户后，我开始查找黑客可能留下的后门。运行cmdexe并输入
etstata
，发现在一些正常的端口中多出了一个7777端口（如图1）。这个端口看起来非常可疑，我用TELNET去连接它，返回了一个指向Dwi
tsystem32hack的路径，并且随意输入一个命令它都能够正确执行。看来这的确是黑客留下的一个后门，那它使用的是哪个程序呢？下面我要查看系统的进程。
电脑中可疑的7777端口
在进程管理中，我看到了一个十分不愿意看到的进程svchostsexe。它无法手工结束，每次结束的操作都会弹出一个拒绝访问的提示框。看来是我目前的权限不够，那么这个比Admi
istrators权限还要高的进程一定是以System权限运行的。当我再次打开servicemsc时，
f发现一个叫Ke
t的服务，所执行的文件就是这个svchostsexe。于是我马上终止了这个服务，并找工具删除了它。就这样，可恶的进程和它的7777端口一起消失了。我再仔细地通查了注册表和服务的DLL，直到确定全部安全为止。这个黑客是怎么进来的呢？我看了看表弟安装过的安全补丁，发现只有微软MS03049号安全公告中的补丁未打上，并且Wi
dows事件查看器里也有WORKSTATION服务异常的记录。这下可以确定黑客是通过MS03049的安全漏洞进入了表弟的电脑。接下来的事情就是打补丁，安装并开启防火墙。骚扰黑客本来事情到此就结束了，可是表弟捏紧拳头对我说：“这黑客太可恶了，你一定要帮我抓他杀了出气！”我顿时CrazyFai
t。唉，现在的小家伙！最后我决定只轻轻地警告这个黑客。我从hack文件夹里复制了
cexe到C盘，然后把其他文件删除。运行cmdexe后，我笑着对表弟说耍猴r