โทรจันสามารถสร้างความเสียหายทั้งทางศีลธรรมและทางการเงินแก่ผู้ใช้คอมพิวเตอร์ โปรแกรมป้องกันไวรัสและไฟร์วอลล์หยุดกระแสหลักของซอฟต์แวร์ที่เป็นอันตราย แต่โทรจันเวอร์ชันใหม่ปรากฏขึ้นทุกวัน บางครั้งผู้ใช้พีซีพบว่าตัวเองอยู่ในสถานการณ์ที่โปรแกรมป้องกันไวรัสไม่เห็นรหัสที่เป็นอันตราย จากนั้นเขาต้องจัดการกับโปรแกรมที่เป็นอันตรายด้วยตัวเขาเอง
คำแนะนำ
ขั้นตอนที่ 1
โทรจันประเภทหนึ่งที่ไม่พึงประสงค์มากที่สุดคือแบ็คดอร์ ซึ่งช่วยให้แฮ็กเกอร์สามารถควบคุมคอมพิวเตอร์ที่ติดไวรัสจากระยะไกลได้ ตามชื่อของมัน แบ็คดอร์เปิดช่องโหว่สำหรับผู้โจมตีซึ่งการดำเนินการใดๆ สามารถทำได้บนคอมพิวเตอร์ระยะไกล
ขั้นตอนที่ 2
แบ็คดอร์ประกอบด้วยสองส่วน: ไคลเอนต์ที่ติดตั้งบนคอมพิวเตอร์ของแฮ็กเกอร์ และเซิร์ฟเวอร์ที่อยู่บนคอมพิวเตอร์ที่ติดไวรัส ฝั่งเซิร์ฟเวอร์รอการเชื่อมต่ออยู่เสมอ "ค้าง" อยู่ที่พอร์ตบางพอร์ต มันอยู่บนพื้นฐานนี้ - พอร์ตที่ถูกครอบครอง - ที่สามารถติดตามได้หลังจากนั้นจะลบม้าโทรจันได้ง่ายขึ้นมาก
ขั้นตอนที่ 3
เปิดบรรทัดคำสั่ง: "เริ่ม - โปรแกรมทั้งหมด - อุปกรณ์เสริม - พร้อมรับคำสั่ง" ป้อนคำสั่ง netstat –aon แล้วกด Enter คุณจะเห็นรายการการเชื่อมต่อของคอมพิวเตอร์ของคุณ การเชื่อมต่อปัจจุบันจะถูกระบุในคอลัมน์ "สถานะ" เป็น ESTABLISHED การเชื่อมต่อที่รอดำเนินการจะถูกทำเครื่องหมายด้วยบรรทัด LISTENING แบ็คดอร์ที่รอการเชื่อมต่ออยู่ในสถานะฟัง
ขั้นตอนที่ 4
ในคอลัมน์แรก คุณจะเห็นที่อยู่ภายในเครื่องและพอร์ตที่ใช้โดยโปรแกรมที่ทำการเชื่อมต่อเครือข่าย หากคุณเห็นโปรแกรมในรายการของคุณอยู่ในสถานะรอการเชื่อมต่อ ไม่ได้หมายความว่าคอมพิวเตอร์ของคุณติดไวรัสอย่างแน่นอน ตัวอย่างเช่น บริการ Windows ใช้พอร์ต 135 และ 445
ขั้นตอนที่ 5
ในคอลัมน์สุดท้าย (PID) คุณจะเห็นหมายเลขรหัสกระบวนการ พวกเขาจะช่วยคุณค้นหาว่าโปรแกรมใดกำลังใช้พอร์ตที่คุณสนใจ พิมพ์ tasklist ในหน้าต่างบรรทัดคำสั่งเดียวกัน คุณจะเห็นรายการกระบวนการพร้อมชื่อและหมายเลขระบุ เมื่อดูที่ตัวระบุในรายการการเชื่อมต่อเครือข่าย คุณสามารถใช้รายการที่สองเพื่อพิจารณาว่าโปรแกรมนั้นเป็นของโปรแกรมใด
ขั้นตอนที่ 6
มีบางครั้งที่ชื่อกระบวนการไม่ได้บอกอะไรคุณ จากนั้นใช้โปรแกรม Everest (Aida64): ติดตั้ง เรียกใช้และดูรายการกระบวนการ Everest ทำให้ง่ายต่อการค้นหาเส้นทางที่มีไฟล์เรียกทำงาน หากคุณไม่คุ้นเคยกับโปรแกรมที่เริ่มกระบวนการ ให้ลบไฟล์ปฏิบัติการและปิดกระบวนการ ในระหว่างการบู๊ตเครื่องครั้งถัดไป หน้าต่างคำเตือนอาจปรากฏขึ้นเพื่อระบุว่าไม่สามารถเริ่มไฟล์ดังกล่าวได้ และคีย์การทำงานอัตโนมัติจะระบุไว้ในรีจิสทรี ใช้ข้อมูลนี้ลบคีย์โดยใช้ตัวแก้ไขรีจิสทรี ("Start - Run", คำสั่ง regedit)
ขั้นตอนที่ 7
หากกระบวนการที่อยู่ภายใต้การตรวจสอบเป็นของลับๆ จริงๆ ในคอลัมน์ "ที่อยู่ภายนอก" คุณจะเห็น IP ของคอมพิวเตอร์ที่เชื่อมต่อกับคุณ แต่นี่น่าจะเป็นที่อยู่ของพร็อกซีเซิร์ฟเวอร์ ดังนั้นคุณจึงไม่น่าจะสามารถค้นหาแฮ็กเกอร์