木马也称特洛伊木马，在当今互联网迅速发展的同时，木马成为了当前数量最多的有害程序，与传统病毒不同，它不会自我繁殖，也不“刻意”感染其他文件，但是它却会隐藏在正常系统中，破坏和删除文件、发送密码、记录键盘和Dos攻击等，对用户的系统安全和私人信息产生巨大的威胁。所以，无论是反病毒软件生产商还是普通电脑用户都为对付这个不速之客而伤透了脑筋！
    最近，为了使电脑免受流行木马荼毒，我试用了一款专业反木马软件——木马防线2005+。坦白说我自己的计算机水平属于菜鸟级，但为了和木马说“不”，我还是浅入深出地把木马防线2005+使用了一番，在这里写一些心得体会和大家分享！
    据我所知，目前反病毒软件多是基于特征码查毒的技术，这种技术属于后发式的，就是必须先捕获病毒样本对其进行分析，然后提取特征码，这些特征码的集合就形成了病毒库。在这样的技术背景下，病毒库的重要性可见一斑。木马防线2005+拥有国内最大的木马库，能够彻底查杀6万余种木马(Trojan)、蠕虫(Worm)、后门(Backdoor)、间谍软件(Spyware)、广告软件(Adware)等有害程序，并且保证木马库每日更新，我想，有这样雄厚的反木马实力，就算遇到再强悍的木马也能够抵挡一阵子了！
木马防线2005+还有一个很突出的亮色，就是它集成了多个专业的安全管理工具，给您的系统提供最大限度地安全保护。下面我主要介绍一下我非常喜欢的两个工具：启动项管理和端口进程管理。
    这两个工具都在专业界面左侧的系统工具栏中，学问都在这了！木马有一个非常厉害的特性就是隐蔽性，它会通过伪装自身悄悄的越过千道屏障（防火墙）潜入用户的电脑，一旦进入它更会想方设法的隐藏好自己，通常会内置到注册表中，或在system.ini等处藏身！因为这些地方文件名都比较复杂，而且不乏有系统的自启动项。
    木马隐形于自启动组之后，根本不用担心自己的启动方式了，一旦系统启动木马就能自动加载到系统中了。遇到此类情况发生,不要手足无措，打开系统工具中的启动项管理。

图1 木马防线2005+ 启动项管理界面
    查看某些字段后面，如果多出file.exe文件名，就可以判断file.exe就是木马服务端程序，例如在system.ini中shell=Explorer.exe C:\WINNT\ws32.exe，如果出现ws32.exe.file.exe就说明中木马了，因为木马本身就是隐藏在正常程序下的木马类程序，解决它其实很简单，可以到system.ini自启动模块中，找到shell字段勾掉前面选项就OK了。
    还有一项是对付木马的高招就是端口进程管理，顾名思义就是可以查看哪个程序打开了哪个端口，也可以知道该应用程序的路径，如C:\WINNT\system32\tcpsvcs.exe。它对发现客户端/服务器端后门工具是非常有用的。因为端口是木马的生命之源，没有端口它就无法和外界通信，更不要说远程控制了。首先打开端口进程关联这一项，在界面中您可以看到协议、本地IP、本地端口，及该端口所对应的程序，在下方窗口您还可以看到该程序的描述、生产公司、产品版本等信息，可谓是十分详尽！
 
图2 木马防线2005+ 端口进程管理界面
    我们应该对常用端口有所了解，例如：
端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。
大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。
    入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
当然最简单的方法木马防线2005+已经帮我们想到了，可以在点中某端口后点击右键后联机查看端口信息。
 
图3 安天web 进程和端口信息
    一旦发现有异常的端口开启，就很可能是一个“后门”，要立即“终止进程”！如果某个进程终止不了，它很可能是关联了某个服务，就得利用“服务管理”先关掉相关的服务了。但要提醒大家，这一项功能的使用应该小心谨慎，毕竟是专业级系统工具嘛！
在界面上方还设有一个“查找”按钮，你可以输入相关信息进行快速查找。如果还需要更专业的分析，你可以点击“导出文件”，把端口进程信息保存成文本文件发给安天的“大虾”们。
现在我们来总结一下，要对狡猾的木马进行全面的围剿，除了要掌握很多必备的安全知识以外，还要有一款既实用又有效的软件来帮忙，才能完全彻底地把木马拒之门外!!!

（出处：网友提供）