惡意遠程控制

　　遠程控制實現的過程，由遠程控制的“主控端”(服務器端)發出控制的數據信息包，然后由“客戶端”(被控制端)接受并執行控制信息；最后再由客戶端發回反饋信息，使“控制端”了解被控制計算機的執行情況。

　　黑客如果是直接利用系統自帶的遠程控制功能(Windows 2000系統的終端服務)，或者專用的控制軟件(如pcAnywhere)進入系統，查看并且修改各種文件(具體權限受登錄用戶的權限限制)，我們是覺察不到的；如果使用專業的木馬程序(如冰河、廣外男生、網絡精靈)，就不一樣了，木馬程序的客戶端會破壞系統內核，強制執行控制程序，使計算機脫離當前的合法用戶，簡單地說，會出現“不聽話”的現象。

　　黑客通過某種手段在對方計算機內植入木馬控制的客戶端后，就可以在自己電腦上的控制端為所欲為了。

　　防范惡意遠程控制

　　要防范惡意的控制，必須先了解出現什么樣的癥狀，就要懷疑是中木馬了！如：鼠標不聽使喚，自動打開窗口，又或者出現對話框(文本框)，內容為你的計算機已被控制等等，就仿佛是在看別人操作自己的計算機一樣。被合法程序實現遠程控制時，癥狀不會如此明顯，由于系統的多用戶設置，遠程控制時的操作會在后臺執行，當前用戶不一定能夠察覺到。此時會出現如：硬盤狂轉、計算機性能下降，并伴隨一些系統的自我保護性的提示(針對Windows XP系統被控制時)。

　　意識到系統正在被控制后，就應該采取相應的措施。重新啟動計算機是第一步(最好是采取“硬啟動”，再厲害的黑客也不可能控制主機上的[Reset]按鈕和[Power]按鈕)；控制都是由網絡作為載體，切斷網絡是第二步；第三步當然是具體問題具體分析了，遠程控制同樣是由計算機的端口負責傳輸控制信息，前面所介紹的屏蔽所有未使用端口的方法可以運用于此。刪除除“Administrator”以外所有用戶，并修改“Administrator”用戶的密碼是對付利用合法程序控制的方式；對付木馬控制的方式就不確定了，因為每種木馬程序徹底清除的方法有所區別，一般的步驟是：

　　1. 系統進入后不執行任何EXE程序，進行掃描殺毒；
　　2. 修改(修補)注冊表被修改的部分，促使木馬的客戶端不被重新啟動；
　　3. 使用防火墻，監視所有的UDP控制數據包，再查看日志是否有非法的IP進行連接，由此確定木馬的清除是否成功。

　　與其清除木馬不如預防木馬，清除工作的難度會大大高于前期的預防工作。至于怎么個預防法，看看以往的介紹吧。