惡意遠(yuǎn)程控制

　　遠(yuǎn)程控制實(shí)現(xiàn)的過程，由遠(yuǎn)程控制的“主控端”(服務(wù)器端)發(fā)出控制的數(shù)據(jù)信息包，然后由“客戶端”(被控制端)接受并執(zhí)行控制信息；最后再由客戶端發(fā)回反饋信息，使“控制端”了解被控制計(jì)算機(jī)的執(zhí)行情況。

　　黑客如果是直接利用系統(tǒng)自帶的遠(yuǎn)程控制功能(Windows 2000系統(tǒng)的終端服務(wù))，或者專用的控制軟件(如pcAnywhere)進(jìn)入系統(tǒng)，查看并且修改各種文件(具體權(quán)限受登錄用戶的權(quán)限限制)，我們是覺察不到的；如果使用專業(yè)的木馬程序(如冰河、廣外男生、網(wǎng)絡(luò)精靈)，就不一樣了，木馬程序的客戶端會破壞系統(tǒng)內(nèi)核，強(qiáng)制執(zhí)行控制程序，使計(jì)算機(jī)脫離當(dāng)前的合法用戶，簡單地說，會出現(xiàn)“不聽話”的現(xiàn)象。

　　黑客通過某種手段在對方計(jì)算機(jī)內(nèi)植入木馬控制的客戶端后，就可以在自己電腦上的控制端為所欲為了。

　　防范惡意遠(yuǎn)程控制

　　要防范惡意的控制，必須先了解出現(xiàn)什么樣的癥狀，就要懷疑是中木馬了！如：鼠標(biāo)不聽使喚，自動打開窗口，又或者出現(xiàn)對話框(文本框)，內(nèi)容為你的計(jì)算機(jī)已被控制等等，就仿佛是在看別人操作自己的計(jì)算機(jī)一樣。被合法程序?qū)崿F(xiàn)遠(yuǎn)程控制時，癥狀不會如此明顯，由于系統(tǒng)的多用戶設(shè)置，遠(yuǎn)程控制時的操作會在后臺執(zhí)行，當(dāng)前用戶不一定能夠察覺到。此時會出現(xiàn)如：硬盤狂轉(zhuǎn)、計(jì)算機(jī)性能下降，并伴隨一些系統(tǒng)的自我保護(hù)性的提示(針對Windows XP系統(tǒng)被控制時)。

　　意識到系統(tǒng)正在被控制后，就應(yīng)該采取相應(yīng)的措施。重新啟動計(jì)算機(jī)是第一步(最好是采取“硬啟動”，再厲害的黑客也不可能控制主機(jī)上的[Reset]按鈕和[Power]按鈕)；控制都是由網(wǎng)絡(luò)作為載體，切斷網(wǎng)絡(luò)是第二步；第三步當(dāng)然是具體問題具體分析了，遠(yuǎn)程控制同樣是由計(jì)算機(jī)的端口負(fù)責(zé)傳輸控制信息，前面所介紹的屏蔽所有未使用端口的方法可以運(yùn)用于此。刪除除“Administrator”以外所有用戶，并修改“Administrator”用戶的密碼是對付利用合法程序控制的方式；對付木馬控制的方式就不確定了，因?yàn)槊糠N木馬程序徹底清除的方法有所區(qū)別，一般的步驟是：

　　1. 系統(tǒng)進(jìn)入后不執(zhí)行任何EXE程序，進(jìn)行掃描殺毒；
　　2. 修改(修補(bǔ))注冊表被修改的部分，促使木馬的客戶端不被重新啟動；
　　3. 使用防火墻，監(jiān)視所有的UDP控制數(shù)據(jù)包，再查看日志是否有非法的IP進(jìn)行連接，由此確定木馬的清除是否成功。

　　與其清除木馬不如預(yù)防木馬，清除工作的難度會大大高于前期的預(yù)防工作。至于怎么個預(yù)防法，看看以往的介紹吧。