引言：提起木馬后門程序，大家都不陌生。在傳統(tǒng)印象中，木馬一般都是“活躍”在電腦中，其手法是采用各種方式潛入系統(tǒng)，之后開啟后門，然后等待黑客對(duì)其執(zhí)行遠(yuǎn)程控制。其實(shí)，木馬不僅會(huì)藏身在電腦中，還會(huì)侵入智能手機(jī)，來危害移動(dòng)通訊設(shè)備的安全。

木馬程序是比較流行電腦病毒之一，它具有極強(qiáng)的隱蔽性能，很好的避開一般的殺毒軟件。它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供電腦門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。有效的清除隱藏木馬，能很好的解決我們電腦使用中的隱藏隱患。提起木馬后門程序，在傳統(tǒng)印象中，木馬一般都是“活躍”在電腦中，其手法是采用各種方式潛入系統(tǒng)，之后開啟后門，然后等待黑客對(duì)其執(zhí)行遠(yuǎn)程控制。其實(shí)，木馬不僅會(huì)藏身在電腦中，還會(huì)侵入智能手機(jī)，來危害移動(dòng)通訊設(shè)備的安全?，F(xiàn)在智能手機(jī)已經(jīng)普及到了幾乎人手一部的情況，其強(qiáng)大的功能為人們的生活增加了許多樂趣。正因?yàn)槿绱?，智能手機(jī)也成了病毒木馬等惡意程序覬覦的新目標(biāo)。于是，各種各樣的手機(jī)病毒木馬紛紛出籠，對(duì)用戶的手機(jī)安全構(gòu)成極大的威脅，

雖說現(xiàn)在各大安全廠家都針對(duì)智能手機(jī)開發(fā)了安全防護(hù)軟件，不過，當(dāng)狡猾的病毒木馬襲來時(shí)，僅僅依靠手機(jī)殺軟有時(shí)無法將其徹底識(shí)別和清除。這是因?yàn)槭謾C(jī)和電腦畢竟存在很大的區(qū)別，手機(jī)殺軟目前功能還無法與電腦殺軟相比，對(duì)付一些狡猾的手機(jī)病毒木馬有時(shí)顯得力有不逮。這就要求我們善于利用相應(yīng)的工具程序，來發(fā)現(xiàn)和清除狡猾的手機(jī)木馬。這里就已常用的Android手機(jī)為例，來說明具體的操作方法。為了查殺手機(jī)木馬，需要ADB（即Android Debug Brige）這款小工具，其原是Android SDK開發(fā)包中的一個(gè)工具，使用該工具可以直接操作管理Android模擬器或者Android設(shè) 備。其工作模式比較特殊，通過監(jiān)聽Socket TCP 5554等端口的方式讓IDE和Qemu進(jìn)行通訊，在默認(rèn)情況下，ADB會(huì)監(jiān)控守護(hù)相關(guān)的所有端口。下載地址：http://www.cr173.com/soft/62321.html。

我們知道，木馬運(yùn)行后必然會(huì)開啟后門端口，在Windows中 運(yùn) 行“netstat”命令，可以查看所有的網(wǎng)絡(luò)連接信息，對(duì)其加以分析不難發(fā)現(xiàn)非法開啟的端口，進(jìn)而找到與之關(guān)聯(lián)的木馬程序，之后結(jié)束其運(yùn)行狀態(tài)，并將其木馬程序刪除，就可以解除其威脅。在對(duì)付Android木馬時(shí)，采用的方法與之很類似。Android木馬也會(huì)在手機(jī)中開啟非法端口，由此不難發(fā)現(xiàn)其蹤跡。先將Adnroid手機(jī)設(shè)置成調(diào)試模式，例如在其設(shè)置界面中打開“應(yīng)用程序”面板，勾選“調(diào)試”項(xiàng)即可。將手機(jī)通過USB線連接到電腦上，將ADB下載后解壓到C盤根目錄中，例如“C:adb”。之后在CMD窗口中切換到該路徑中，執(zhí)行“abd shell”命令，進(jìn)入Shell環(huán)境中。注意，如果無法進(jìn)入，程序顯示“adb server is out of date”的提示，說明Adb Server端口被別的進(jìn)程占用了。為此，先執(zhí)行“adb nodaemon server”命令，來查看Adb Server端口號(hào)，假設(shè)為5037。執(zhí)行“netstat–an | findstr "5037"”命令，在網(wǎng)絡(luò)連接信息中查找使用該端口號(hào)的進(jìn)程的ID號(hào)碼，假設(shè)為“9236”，執(zhí)行“tskill 9236”命令，將該進(jìn)程關(guān)閉。之后就可以執(zhí)行“abd shell”命令，順利進(jìn)入Shell環(huán)境中。

在Shell環(huán)境中顯示命令提示符，如果顯示為“$”，可以執(zhí)行“su”命令，將其變?yōu)椤?”號(hào)，表用擁有管理員權(quán)限。執(zhí)行“netstat”命令，顯示手機(jī)中的網(wǎng)絡(luò)連接信息，包括協(xié)議類型，收取，發(fā)送標(biāo)記，本機(jī)地址和端口，遠(yuǎn)程地址和端口以及連接狀態(tài)等內(nèi)容。當(dāng)然，在上述信息中無法顯示相關(guān)進(jìn)程的UID信息，這樣，即使在網(wǎng)絡(luò)連接列表中找到了可疑的端口。也無法確定該端口和哪個(gè)進(jìn)程相關(guān)聯(lián)。為此可以執(zhí)行“cat/proc/net/tcp”命令，可以在使用IPV4協(xié)議的模式下，顯示所有的TCP連接信息。如果使用的是IPV6協(xié) 議，則 執(zhí) 行“cat/proc/net/tcp6”命令。在顯示的連接信息中，可以看到每個(gè)連接的編號(hào)，本地地址和端口，遠(yuǎn)程地址和端口，進(jìn)程ID，超時(shí)等信息。例如，在每一行的“l(fā)ocal_adress”列中顯示本地地址和端口號(hào)，在“remote_address”列中顯示遠(yuǎn)程地址和端口號(hào)，

在“st”列中顯示連接狀態(tài)。對(duì)于該狀態(tài)，如果顯示為“00”，表示“ERROR_STATUS”，顯示為“01”，表示“TCP_ESTABLISHED”，顯示為“02”，表示“TCP_SYN_SENT”，顯示為“03”，表 示“TCP_SYN_RECV”，顯示為“04”，表示“TCP_FIN_WAIT1”，顯示為“05”，表 示“TCP_FIN_WAIT2”，顯示為“06”，表示“TCP_TIME_WAIT”，顯示為“07”，表示“TCP_CLOSE”，顯示為“08”，表示“TCP_CLOSE_WAIT”，顯示為“0A”，表示“TCP_LISTEN”顯示為“0B”，表示“TCP_CLOSING”，根據(jù)該狀態(tài)的數(shù)值，可以了解對(duì)應(yīng)的網(wǎng)絡(luò)連接的狀態(tài)。

根據(jù)以上網(wǎng)絡(luò)連接信息，經(jīng)過仔細(xì)分析，不難發(fā)現(xiàn)可疑連接的蹤跡，并據(jù)此找到對(duì)應(yīng)的進(jìn)程的ID號(hào)。在Windows中，可以打開任務(wù)管理器，來發(fā)現(xiàn)與該ID對(duì)應(yīng)的可疑進(jìn)程信息。在ADB Shell環(huán) 境中，可以執(zhí)行“dumpsys activity |grep uid”命令。來通過進(jìn)程ID來發(fā)現(xiàn)手機(jī)系統(tǒng)中對(duì)應(yīng)的進(jìn)程信息。例如根據(jù)對(duì)連接信息的分析，發(fā)現(xiàn)一個(gè)連接狀態(tài)為“TCP_SYN_SENT”，進(jìn)程ID為10091的進(jìn)程很可疑，執(zhí)行“dumpsys activity | grep 10091”命令，在顯示信息中可以發(fā)現(xiàn)對(duì)應(yīng)的進(jìn)程名稱。找到了可疑進(jìn)程后，在手機(jī)端進(jìn)入系統(tǒng)設(shè)置界面，在“應(yīng)用程序”面板中打開“正在運(yùn)行的程序”列表，找到對(duì)應(yīng)的程序，終止其運(yùn)行并將其卸載。當(dāng)然，也可以使用第三方的卸載程序，對(duì)該程序進(jìn)行卸載。當(dāng)然，前提是最好擁有手機(jī)的Root權(quán)限。