三、检测木马

对于本地电脑，可以通过以下方式查看是否含有木马：

首先是查看开放端口，作为远程控制软件，木马同样具备远程控制软件的特征。为了与其主人联系，它必须给自己开道门（即端口），因此我们可以通过查看机器开放的端口，来判断是否有木马经过。通过上面说到的netstat -an命令即可，其中“ESTABLISHED表示已经建立连接的端口“LISTENING表示打开并等待别人连接的端口。在打开端口中寻找可疑分子，如7626（冰河木马），54320（Back Orifice 2000）等。

然后查看注册表，为了实现随系统启动等功能，木马都会对注册表进行修改，我们可以通过查看注册表来寻找木马的痕迹，在“运行中输入“regedit，回车后打开注册表编辑器，

定位到：HKEY_CURRENT_USER/Software/microsoft/Windows/CurrentVersion/Explorer下，分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键，检查里边是否有可疑的内容。

注册表

再定位到HKEY_LOCAL_MacHINE/Software/Microsoft/Windows/CurrentVersion/Explorer下，分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序，就要提高警惕了。

再查看系统配置文件，很多木马文件都会修改系统文件，而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行中输入“%systemroot%，回车后会打开“Windows文件夹，找到里边的win.ini文件，在里边搜索“windows字段，如果找到形如“load=file.exe，run=file.exe这样的语句（file.exe为木马程序名），就要格外小心了，这很可能是木马的主程序。类似的，在system.ini文件中搜索“boot字段，找到里边的“Shell=ABC.exe，默认应为“Shell=Explorer.exe，如果是其他程序则也可能是中了木马。

除此之外，你还可以通过查看系统进程和使用专用木马检测软件的方法，来推断系统中是否存在木马。

四、木马防御

mshta.exe是执行hta文件的，一些网站上有恶意hta文件都是通过这个程序来运行。在系统中搜索mshta.exe文件，将其改名。再在“运行中输入“%windows%coMMand，将里边debug.exe和ftp.exe也改名。

打开注册表编辑器，定位到：HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ，在里边找到“Active Setup controls子键（如没有需手动建立），再在其下创建新子键，命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C}，在右侧的空白处单击鼠标右键，选择“新键→“DWord值，键名为“Compatibility，设定键值为“0x00000400即可。