那么我们如何才能发现系统中的“黑洞”木马呢？其实“黑洞”木马和其他木马一样，都有共同点，其隐藏技术也是大同小异的。例如上文中我们演示时提到“黑洞”木马可以创建DLL插入版本的服务端程序，也就是说木马会释放dll文件到正常的系统进程中，达到隐藏进程的目的。明白了隐藏技术的原理就好办了，运行“Windows优化大师”，运行其“进程管理”模块，点击任一系统进程，例如svchost.exe，在下方的进程详细信息窗口中切换到“模块列表”，会出现该进程包含的dll文件，这些dll文件的发行商都是“Microsoft”，如果发现进程中存在发行商为空的dll文件时，就应该小心了。当然这不一定是感染“黑洞”木马，有可能是其他的木马或病毒，也可能是正常的驱动文件。

    “黑洞”木马还具有隐藏服务端文件、进程、注册表和服务的功能，这就是rootkit技术在起作用了。不过也不必担心，即使它再怎么隐藏，也还是有办法把它找出来的。用我们曾经介绍过的安全工具icesword，或者“超级巡警”，都可以显示使用rootkit技术隐藏的内容。总之，定时使用上文中提到的安全工具对系统做体检是很有必要的，这样可以尽早发现系统中存在的木马。当系统出现异样时，尤其是当系统出现游戏帐号被盗，杀毒软件无法启动等问题时，就更应该彻底地检查一下。

    知道了如何发现系统的黑洞木马，我们再来了解一下如何将“黑洞”木马清除。“黑洞”木马的清除是比较简单的，因为它具有简单的卸载功能，而不像其他木马程序需要手工清除所有的文件。运行“黑洞”木马的服务端后，如果黑客设置了“在任务栏显示图标”，那么在任务栏中会有“黑洞”木马的图标，点击图标，选中“卸载服务”即可卸载服务端。

    不过这种情况是比较少见的，因为很少有黑客会傻到故意暴露自己，因此我们就不必太指望能在任务栏中找到“黑洞”木马的图标。不过当我们确定系统中存在的木马是“黑洞”时，可以点击系统的“开始”菜单→“运行”，输入“brc_Server.exe /setup”并回车，将弹出“黑洞”木马的设置窗口，然后点击"卸载服务"即可卸载服务端。

防范摄像头木马，安全意识很重要

    像“黑洞”这样具备远程开启用户摄像头功能的木马，我们可以称之为摄像头木马。“黑洞”属于摄像头木马中危害不甚严重的一种，因为它的名气比较大，目前杀毒软件都能够将其查杀。而危害更大的则是那种传播范围小的摄像头木马，这类摄像头木马的样本文件很难被提取到，所以杀毒软件就很难将其查杀，因此它就可能一直存在于用户的系统中，每天监视用户的一举一动。

    网络上有很多网站都可以提供木马定制的服务，只要支付一定的费用，就可以让编程人员制作一款个人版的木马软件，当然摄像头监控功能也可以加入其中。这种定制出来的木马软件，如果不对其进行传播，杀毒软件公司就无法拿到样本，是不可能对其查杀的。如果要防范这种木马程序，就只能使用一些具有系统底层监控功能的安全工具，例如我们曾介绍过的System Safety Monitor，可以阻止所有木马程序的运行。总的来说，一般用户如果想防范摄像头木马，可以注意以下几点：

    1.隐藏自己的摄像头
    在我们上网的过程中，我们计算机上存在摄像头这一情况很可能被外人得知，例如使用QQ就会在个人信息中显示本机摄像头的情况，任何一位QQ的使用者都可以通过“查找”＼“有摄像头的用户”发现你的行踪，黑客可能会利用这一点，寻找带有摄像头的用户进行攻击，因此在网络上隐藏本机的摄像头是很有必要的。首先让我们来关闭QQ中的摄像头显示功能。

    点击QQ面板中的“菜单”按钮→设置→个人设置，且换到“状态显示”标签，选中其中的“不被列入在线视频用户列表中”，点击“确定”即可。这样在QQ上陌生人就不能发现你存在摄像头了。
图5.在QQ上隐藏自己的摄像头

    2.不用时管好摄像头
    在不使用摄像头的时候，最好将摄像头的镜头对着墙，或者其他物体，但不要对着自己，黑客技术再高超也不能让摄像头调转方向吧。或者使用一块手帕或其他东西将摄像头的镜头挡住，当使用时再将挡住的东西移开。也可以将摄像头从USB接口中拔出，这样即使中了摄像头木马也没有什么关系了。

    此外还有一种摄像头具备辅助灯源，当摄像头处于工作状态时，摄像头上的辅助灯会开启，通过这一点我们就可以很明确的知道摄像头当前处于什么状态。就能判断是否有人悄悄地开启了摄像头。

    3.做好本机的安全防护
    首先要安装一款杀毒能力强劲的杀毒软件，并及时升级杀毒软件的病毒库，注意开启杀毒软件的病毒防火墙。其次不要接收和运行陌生人发来的文件。谁能保证这不是摄像头木马的服务呢？最后要少逛陌生的网站，以避免网页中夹杂的网页木马。

上一页  [1] [2]