隨著網絡時代進程的加快，黑客技術對網絡安全形成了極大的威脅。黑客的主要攻擊手段之一，就是使用木馬，滲透到對方的主機系統里，實現對遠程操作目標主機。從BO到國產“冰河”，從“廣外女生”到“網絡神偷”，無不是我們廣大用戶預防的對象。那么如何檢測木馬的存在呢?下面介紹三種檢測木馬的辦法，來揭開它神秘的面紗。

1．“端口”檢測法

要設置端口，必須明白什么是端口。服務器可以向外提供多種服務。比如，一臺服務器可以是Web服務器，也可以是FTP服務器，同時，它還可以是郵件服務器。為什么一臺服務器可以同時提供那么多的服務呢?其中一個很主要的方面，就是各種服務采用不同的端口分別提供不同的服務。比如：Web采用80端口，FTP采用21端口等。這樣，通過不同端口，計算機與外界進行互不干擾的通信。同樣每個木馬都有自己的端口，比如冰河的端口號是7626。

由于木馬的運行常通過網絡的連接來實現的，因此如果發現可疑的網絡連接就可以推測木馬的存在，最簡單的辦法是利用Windows自帶的Netstat命令來查看。一般情況下，如果沒有進行任何上網操作，在MS-DOS窗口中用Netstat命令將看不到什么信息，此時可以使用“netstat-a”，“-a”選項用以顯示計算機中目前所有處于監聽狀態的端口。如果出現不明端口處于監聽狀態，而目前又沒有進行任何網絡服務的操作，那么在監聽該端口的很可能是木馬。

2．進程檢測法

木馬即使再狡猾，它也是一個活動著的應用程序，一經運行，它就時刻駐留在電腦系統的內存中，通過查看系統進程可發現可疑進程，并以此來推斷木馬的存在。在Windows2000／XP中按下“Ctl+Alt+Del”鍵，進入任務管理器，就可看到系統正在運行的全部進程，一一清查即可發現木馬的活動進程。而在Windows 98下，查找進程的方法不那么方便，但有一些查找進程的工具可供使用，如Prcview和Winproc，具體的使用很容易，這里不作詳細介紹。

通過查看系統進程這種方法來檢測木馬非常簡便易行，但是操作員對系統必須熟悉。因為Windows系統在運行時本身就有一些我們不是很熟悉的進程在運行著，因此這個時候一定要擦亮眼睛，不過大多數木馬總是可以通過這種方法被檢測出來的。

3．啟動加載檢測法

木馬的隱蔽性非常強，在電腦開機的時候一般都會自動加載，大部分在啟動之后還會更改文件名，因此從系統自動加載文件的方式入手來分析木馬的存在并清除就很有意義。木馬加載的條件，大致出現在下面八個地方。

(1)注冊表：打開HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVer-sion＼下的Run和RunServices主鍵，在其中尋找可能是啟動木馬的鍵值。

(2)Win．ini：C：＼WINDOWS目錄下有一個配置文件win．ini，用文本方式打開，在[windows]字段中有啟動命令load=和run=，在一般情況下是空白的，如果有啟動程序，可能是木馬。

(3)system．ini：C：＼WINDOWS目錄下有個配置文件system．ini，用文本方式打開，在[386Enh]、[mic]、[drivers32]中有命令行，在其中尋找木馬的啟動命令。

(4)Autoexec．bat和Config．sys：在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務器端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務器端覆蓋這兩個文件才行。

(5)*．ini：即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務器端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。

(6)注冊表：打開HKEY_CLASSES_ROOT＼文件類型＼shell＼open＼command主鍵，查看其鍵值。舉個例子，“冰河”就是修改了HKEY_CLASSES_ROOT＼txtfile＼shell＼open＼command下的鍵值，將“C：＼WINDOWS LNOTEPAD．EXEl”改為“C：＼WINDOWS＼SYSTEM＼SYSEXP-LR．EXEl”，這時雙擊一個TXT文件后，原本應用NOTEPAD打開文件的，現在卻變成啟動木馬程序了。還要說明的是不只是TXT文件，通過修改HTML、EXE、ZIP等文件的啟動命令的鍵值都可以啟動木馬，不同之處只在于“文件類型”這個主鍵的差別，

(7)捆綁文件：實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起，然后上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。    (8)啟動菜單：在“開始／程序／啟動”選項下也可能有木馬的加載條件。