引言：提起木馬后門程序，大家都不陌生。在傳統(tǒng)印象中，木馬一般都是“活躍”在電腦中，其手法是采用各種方式潛入系統(tǒng)，之后開啟后門，然后等待黑客對其執(zhí)行遠(yuǎn)程控制。其實，木馬不僅會藏身在電腦中，還會侵入智能手機(jī)，來危害移動通訊設(shè)備的安全。

木馬程序是比較流行電腦病毒之一，它具有極強(qiáng)的隱蔽性能，很好的避開一般的殺毒軟件。它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供電腦門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。有效的清除隱藏木馬，能很好的解決我們電腦使用中的隱藏隱患。提起木馬后門程序，在傳統(tǒng)印象中，木馬一般都是“活躍”在電腦中，其手法是采用各種方式潛入系統(tǒng)，之后開啟后門，然后等待黑客對其執(zhí)行遠(yuǎn)程控制。其實，木馬不僅會藏身在電腦中，還會侵入智能手機(jī)，來危害移動通訊設(shè)備的安全。現(xiàn)在智能手機(jī)已經(jīng)普及到了幾乎人手一部的情況，其強(qiáng)大的功能為人們的生活增加了許多樂趣。正因為如此，智能手機(jī)也成了病毒木馬等惡意程序覬覦的新目標(biāo)。于是，各種各樣的手機(jī)病毒木馬紛紛出籠，對用戶的手機(jī)安全構(gòu)成極大的威脅，

雖說現(xiàn)在各大安全廠家都針對智能手機(jī)開發(fā)了安全防護(hù)軟件，不過，當(dāng)狡猾的病毒木馬襲來時，僅僅依靠手機(jī)殺軟有時無法將其徹底識別和清除。這是因為手機(jī)和電腦畢竟存在很大的區(qū)別，手機(jī)殺軟目前功能還無法與電腦殺軟相比，對付一些狡猾的手機(jī)病毒木馬有時顯得力有不逮。這就要求我們善于利用相應(yīng)的工具程序，來發(fā)現(xiàn)和清除狡猾的手機(jī)木馬。這里就已常用的Android手機(jī)為例，來說明具體的操作方法。為了查殺手機(jī)木馬，需要ADB（即Android Debug Brige）這款小工具，其原是Android SDK開發(fā)包中的一個工具，使用該工具可以直接操作管理Android模擬器或者Android設(shè) 備。其工作模式比較特殊，通過監(jiān)聽Socket TCP 5554等端口的方式讓IDE和Qemu進(jìn)行通訊，在默認(rèn)情況下，ADB會監(jiān)控守護(hù)相關(guān)的所有端口。下載地址：http://www.cr173.com/soft/62321.html。

我們知道，木馬運(yùn)行后必然會開啟后門端口，在Windows中 運(yùn) 行“netstat”命令，可以查看所有的網(wǎng)絡(luò)連接信息，對其加以分析不難發(fā)現(xiàn)非法開啟的端口，進(jìn)而找到與之關(guān)聯(lián)的木馬程序，之后結(jié)束其運(yùn)行狀態(tài)，并將其木馬程序刪除，就可以解除其威脅。在對付Android木馬時，采用的方法與之很類似。Android木馬也會在手機(jī)中開啟非法端口，由此不難發(fā)現(xiàn)其蹤跡。先將Adnroid手機(jī)設(shè)置成調(diào)試模式，例如在其設(shè)置界面中打開“應(yīng)用程序”面板，勾選“調(diào)試”項即可。將手機(jī)通過USB線連接到電腦上，將ADB下載后解壓到C盤根目錄中，例如“C:adb”。之后在CMD窗口中切換到該路徑中，執(zhí)行“abd shell”命令，進(jìn)入Shell環(huán)境中。注意，如果無法進(jìn)入，程序顯示“adb server is out of date”的提示，說明Adb Server端口被別的進(jìn)程占用了。為此，先執(zhí)行“adb nodaemon server”命令，來查看Adb Server端口號，假設(shè)為5037。執(zhí)行“netstat–an | findstr "5037"”命令，在網(wǎng)絡(luò)連接信息中查找使用該端口號的進(jìn)程的ID號碼，假設(shè)為“9236”，執(zhí)行“tskill 9236”命令，將該進(jìn)程關(guān)閉。之后就可以執(zhí)行“abd shell”命令，順利進(jìn)入Shell環(huán)境中。

在Shell環(huán)境中顯示命令提示符，如果顯示為“$”，可以執(zhí)行“su”命令，將其變?yōu)椤?”號，表用擁有管理員權(quán)限。執(zhí)行“netstat”命令，顯示手機(jī)中的網(wǎng)絡(luò)連接信息，包括協(xié)議類型，收取，發(fā)送標(biāo)記，本機(jī)地址和端口，遠(yuǎn)程地址和端口以及連接狀態(tài)等內(nèi)容。當(dāng)然，在上述信息中無法顯示相關(guān)進(jìn)程的UID信息，這樣，即使在網(wǎng)絡(luò)連接列表中找到了可疑的端口。也無法確定該端口和哪個進(jìn)程相關(guān)聯(lián)。為此可以執(zhí)行“cat/proc/net/tcp”命令，可以在使用IPV4協(xié)議的模式下，顯示所有的TCP連接信息。如果使用的是IPV6協(xié) 議，則 執(zhí) 行“cat/proc/net/tcp6”命令。在顯示的連接信息中，可以看到每個連接的編號，本地地址和端口，遠(yuǎn)程地址和端口，進(jìn)程ID，超時等信息。例如，在每一行的“l(fā)ocal_adress”列中顯示本地地址和端口號，在“remote_address”列中顯示遠(yuǎn)程地址和端口號，

在“st”列中顯示連接狀態(tài)。對于該狀態(tài)，如果顯示為“00”，表示“ERROR_STATUS”，顯示為“01”，表示“TCP_ESTABLISHED”，顯示為“02”，表示“TCP_SYN_SENT”，顯示為“03”，表 示“TCP_SYN_RECV”，顯示為“04”，表示“TCP_FIN_WAIT1”，顯示為“05”，表 示“TCP_FIN_WAIT2”，顯示為“06”，表示“TCP_TIME_WAIT”，顯示為“07”，表示“TCP_CLOSE”，顯示為“08”，表示“TCP_CLOSE_WAIT”，顯示為“0A”，表示“TCP_LISTEN”顯示為“0B”，表示“TCP_CLOSING”，根據(jù)該狀態(tài)的數(shù)值，可以了解對應(yīng)的網(wǎng)絡(luò)連接的狀態(tài)。

根據(jù)以上網(wǎng)絡(luò)連接信息，經(jīng)過仔細(xì)分析，不難發(fā)現(xiàn)可疑連接的蹤跡，并據(jù)此找到對應(yīng)的進(jìn)程的ID號。在Windows中，可以打開任務(wù)管理器，來發(fā)現(xiàn)與該ID對應(yīng)的可疑進(jìn)程信息。在ADB Shell環(huán) 境中，可以執(zhí)行“dumpsys activity |grep uid”命令。來通過進(jìn)程ID來發(fā)現(xiàn)手機(jī)系統(tǒng)中對應(yīng)的進(jìn)程信息。例如根據(jù)對連接信息的分析，發(fā)現(xiàn)一個連接狀態(tài)為“TCP_SYN_SENT”，進(jìn)程ID為10091的進(jìn)程很可疑，執(zhí)行“dumpsys activity | grep 10091”命令，在顯示信息中可以發(fā)現(xiàn)對應(yīng)的進(jìn)程名稱。找到了可疑進(jìn)程后，在手機(jī)端進(jìn)入系統(tǒng)設(shè)置界面，在“應(yīng)用程序”面板中打開“正在運(yùn)行的程序”列表，找到對應(yīng)的程序，終止其運(yùn)行并將其卸載。當(dāng)然，也可以使用第三方的卸載程序，對該程序進(jìn)行卸載。當(dāng)然，前提是最好擁有手機(jī)的Root權(quán)限。