當(dāng)你發(fā)現(xiàn)自己的愛機(jī)中了木馬時(shí)一定很氣憤，很想知道是誰把馬放在你的愛機(jī)里。這里先簡單解釋一下原理，怎么去找出馬的主人吧！

現(xiàn)在很多木馬都有發(fā)IP信件的功能，“冰河”就是其中的佼佼者，也是國內(nèi)用得最多的木馬。它能把你上地的動(dòng)態(tài)IP，電腦里的隱藏密碼和個(gè)人信息等在受害密碼和個(gè)人信息等在受害者不知道的情況下記錄下來并發(fā)到指定的E－mail信箱。我們就利用它發(fā)的IP信是明文信息的特點(diǎn)（現(xiàn)在好像還沒有哪個(gè)木馬發(fā)的IP信有進(jìn)行過加密的），用sniffer類軟件把它記錄下來。這樣我們就能知道對(duì)你用過木馬那人的E－mail了。所以我們不要立即把愛機(jī)里的木馬清除掉（不入虎穴焉得虎子），因?yàn)槲覀冞€要靠它找出它的主人呢！

首先去下載必要的工具，http://www.xfocus.org/htm1/data/tools/winsniff.zip(在DOS下運(yùn)行）或HTTP://www.guanqian.com/starkun/tools/other/mpsnif01013.zip（在windos下運(yùn)行)。兩個(gè)不同環(huán)境下運(yùn)行的工具各有所長。

一、DOS下winsniff的用法

在c盤創(chuàng)建一個(gè)winsniff目錄，把包解壓，解壓后它里面有七個(gè)文件。

打開一個(gè)MS-DOS窗口(“點(diǎn)擊開始--程序--MS-DOS方式”)進(jìn)入winsniff目錄(在MSDOS方式下輸入cdwinsniff,跟著按車鍵)。接著輸入winsniff/1，按回車，檢查撥號(hào)適配器的編號(hào)(這里檢查結(jié)果為0)。

輸入winsniff/a 0 /a mail.txt,按回車，這時(shí)顯示，其中的“0”是表示你的撥號(hào)適配器即modem的編號(hào)，當(dāng)你還裝有其它網(wǎng)絡(luò)設(shè)備(如：局域網(wǎng)網(wǎng)卡)時(shí)它就不一定是0了，那時(shí)就要因應(yīng)不同的需要而改變，“mail.txt”是表示記錄文件的名字，可以任意取名字。

接著就是撥號(hào)上網(wǎng)或與網(wǎng)絡(luò)連接(局域網(wǎng)的用戶)，等著winsniff幫你截獲信息吧。

當(dāng)你看到顯示，出現(xiàn)“[mail]”時(shí)請(qǐng)按“ctrl+c”鍵結(jié)束程序，這時(shí)你就可以用筆記本打開“mail.txt”文件看看里面的信息了，是不是很驚訝呢，你的密碼什么的都給記錄下來了!記錄文件中的“TO：”后面顯示的E-mail地址就是木馬主人的E-mail地址了，跟闃想怎么利用這E-mail地址對(duì)付那可惡的人就你自已喜歡了，呵呵。但不要玩過火了!這軟件的優(yōu)點(diǎn)是比較穩(wěn)定不容易出錯(cuò)；缺點(diǎn)就是操作煩瑣，適合具備一點(diǎn)DOS操作經(jīng)驗(yàn)的人用，但我個(gè)人比較喜歡用它，因?yàn)榉€(wěn)定!

二、Windows下masnif的使用

在c盤創(chuàng)建一個(gè)mpsnif目錄，把它解壓，解壓后有四個(gè)文件。通過雙擊MPSnif文件運(yùn)行軟件。

首先要對(duì)它進(jìn)行一下設(shè)置，點(diǎn)擊一下設(shè)置，點(diǎn)擊一下“setup”按鈕就會(huì)出現(xiàn)所示對(duì)話框，Dicectory（目錄）”后原來填的是“c:”，把它改為“C：mpsnif”，而“DNS”可以忽略，點(diǎn)擊“OK”按鈕后它會(huì)再出現(xiàn)一個(gè)對(duì)話框，忽略它點(diǎn)擊“確定”即可。然后把軟件關(guān)掉再重新啟動(dòng)，這時(shí)剛才的設(shè)置就生效了。

選擇要監(jiān)視的設(shè)備，一般是選“撥號(hào)適配器”（如果你還裝了其它網(wǎng)絡(luò)設(shè)備，并且要對(duì)它進(jìn)行監(jiān)視才選你要監(jiān)視的設(shè)備）。還要選擇要監(jiān)視的協(xié)議，單擊“TCP ports”選中“Smtp(25)”，使它的前面有個(gè)鉤。

這時(shí)可以點(diǎn)擊“Start”按鈕使軟件開始工作，按著要做的就是撥號(hào)上網(wǎng)或與網(wǎng)絡(luò)連接(局域網(wǎng)的用戶)，等著MPsnif幫你截獲信息。我們也可以去干別的事，這時(shí)MPSnif會(huì)顯示很多數(shù)據(jù)記錄。

等下到網(wǎng)后再到“C：mpsnif”目錄中查找并打開文件名為XXX_XXX_XXX_XXX$XXX-XXX_XXX_XXX_XXX$25_XXXXXXX的文件(其中$XXXX為你在發(fā)信出去時(shí)在本機(jī)打開的承受機(jī)端口，而它前面的XXX_XXX_XXX_XXX是你該次上網(wǎng)的IP地址；$25為郵件服務(wù)器打開的S M T P 端口，它前面的XXXXXX為該郵件的大小)，在文件里“TO：”后面的E-mail地址就是木馬主人的E-mail地址了。這軟件的優(yōu)點(diǎn)是操作較為簡單方便，容易使用，功能比上面那個(gè)強(qiáng)(還有很多別的監(jiān)視功能，有興趣的可以自己研究。)；缺點(diǎn)是不夠穩(wěn)定，常提示你程序出錯(cuò)(可能是它還是測(cè)試版的原因吧，或是我的系統(tǒng)出了問題)，但不會(huì)影響到它的攔截?cái)?shù)據(jù)的功能，它適合那些對(duì)電腦了解不深的人應(yīng)用。

三、使用注意事項(xiàng)

1.運(yùn)行這兩個(gè)軟件時(shí)都必須要在撥號(hào)上網(wǎng)或與網(wǎng)絡(luò)連接前就運(yùn)行，因?yàn)檫@樣才能肯定攔截到木馬所發(fā)出的IP信；

2.在運(yùn)行這兩個(gè)軟件時(shí)不要作任何收發(fā)郵件的工作，因?yàn)檫@樣會(huì)影響到攔截?cái)?shù)據(jù)的準(zhǔn)確性，給你造成“誤報(bào)”的可能性；

3.這兩個(gè)軟件者不是百分之百的不會(huì)出問題，有時(shí)可能會(huì)攔截不到，請(qǐng)多試一兩次提高準(zhǔn)確率；

4.我們知道木馬主人的E-mail后，記得把愛機(jī)里的木馬給清除了，這樣才能徹底的杜絕其他人對(duì)你愛機(jī)進(jìn)行的木馬侵?jǐn)_；

5.在給木馬主人的懲罰時(shí)請(qǐng)適可而止，不要過火了，到時(shí)候造成別的人嚴(yán)重?fù)p失時(shí)理虧就會(huì)變成你了；

6.這兩個(gè)軟件都會(huì)牽涉到一些別的安全問題，請(qǐng)不要用來做違法的事。