为了保护自己不受特洛伊木马的侵害，可使用不同的防护工具，再加上一点儿常识。

首先，务必弄清谁能访问您的计算机。当不用计算机时，把计算机锁定，用密码进行保护，或断开与网络的连接。

其次，在获得软件时要十分小心。任何时候，如果有人通过电子邮件、聊天室，或即时消息给您提供程序，那么您就要小心了！这个程序有可能感染了特洛伊木马，而发送者可能知道，也可能不知道。

当下载软件时，只从软件发布者的正式站点下载。如果从其他站点下载，也许有人在程序中植入了木马程序。很多黑客站点甚至把盗版的软件和黑客工具发布到站点上，供人下载，其中的一些文件有可能会感染特洛伊木马程序。

但无论您多么小心地保护计算机，有人也能趁您不在场之际把特洛伊木马偷偷复制到您的计算机。为进一步自我保护，建议安装回滚程序、反病毒程序、防火墙和反特洛伊木马程序。

6.4.1 回滚程序

现在的软件最大的问题之一是，很多软件安装以后会把好好的计算机搞得一团糟。回滚程序跟踪对硬盘的修改，并且为硬盘的内容定期地照“快照”，从而可以防止这些问题。这样，如果新安装的程序造成计算机崩溃，可以运行回滚程序撤销对硬盘的修改，把计算机恢复到以前的状态。

虽然回滚程序最初的设计目的是防止软件冲突，但它也能保护计算机不受病毒或特洛伊木马的侵害。在特洛伊木马删除您的数据的时候，马上运行回滚程序，把计算机恢复到木马程序删除硬盘数据之前的状态。

回滚程序虽然能够让计算机从特洛伊木马、病毒，甚至是硬盘崩溃造成的损失中恢复过来，但它们却无法预先防止问题的发生。但如配合频繁的备份，回滚程序也能为重要数据提供保险，并减少特洛伊木马攻击带来灾难性后果的机会。

可以购买的几个比较流行的回滚程序包括ConfigSafe(http://www.imagine-lan.com)、FlashBack(http://www.aladdinsys.com)、GoBack(http://www.roxio.com)、EasyRestore (http://www. powerquest.com)和Undelete(http://www.execsoft.com)。

6.4.2 反病毒程序

虽然反病毒程序是用来查杀计算机病毒的，但大部分也能查杀比较常见的RAT的客户文件。然而，反病毒程序可能只能识别最流行的特洛伊木马，所以它们无法防止较少有人知道的、具有破坏性的特洛伊木马、RAT，或自定义的特洛伊木马。只宜把反病毒程序当作计算机防护的补充手段，不要把它作为防止特洛伊木马的惟一屏障。

6.4.3 防火墙

防火墙能把您的计算机和任何外部威胁隔离开来(见图6-4)。虽然防火墙不能删除特洛伊木马，但它能监控和关闭计算机上任何打开端口的外部通信。通过关闭端口，防火墙能阻止黑客通过RAT访问计算机。防火墙还能跟踪和记录试图访问计算机的所有举动，追踪在计算机上搜索打开端口的入侵者，并在有人试图未经允许访问您的计算机时，发出警告。

图6-4 防火墙能监控具体的端口，如果某个端口在您不知情的情况下被使用就会通知您

比较常见的防火墙有BlackICE PC Protection (http://www.iss.net)、Personal Firewall (http://www.mcafee.com)、Norton Internet Security (http://www.symantec.com)、Outpost and Jammer (http://www.agnitum.com)和ZoneAlarm (http://www.zonelabs.com)。

6.4.4 反特洛伊木马程序

对特洛伊木马的最好防御手段是安装一个专门扫描和删除任何特洛伊木马的程序。反特洛伊木马程序包含一个数据库，数据库中是每种特洛伊木马特有的签名(见图6-5)。程序扫描硬盘，查看是不是有哪些文件的内容匹配它数据库中的特洛伊木马的签名。如果程序发现有匹配的签名，它知道是发现了一个特洛伊木马，然后就删掉这个入侵的程序，并修复它可能对硬盘的其他修改部分，如对Windows注册表所作的任何修改。

图6-5 反特洛伊木马程序知道如何在危险的特洛伊木马有机会攻击计算机之前，检测并删掉它们

防火墙是关闭允许通过网络或Internet访问计算机的端口，而反特洛伊木马程序能监控打开的端口，检查是否有和特洛伊木马的活动有关的可疑行为。从RAT试图访问或打开计算机端口的那一刻，反特洛伊木马程序就能检测到这个举动，并找到特洛伊木马，然后杀死它。

和反病毒程序一样，反特洛伊木马程序必须不断更新，以识别最新的特洛伊木马。流行的反特洛伊木马程序有：Hacker Eliminator (http://hacker-eliminator.com)、Tauscan (http://www.agnitum.com)、TDS-3: Trojan Defence Suite (http://tds.diamondcs.com.au)、NetSpyHunter (http://www.netspyhunter.com)、Anti-Trojan (http://www.anti-trojan.net)和The Cleaner (http://www.moosoft.com)。

6.4.5 黑客的反特洛伊木马工具

由于黑客经常彼此攻击，很多黑客自己编写工具，从他们的计算机删除特定的特洛伊木马。和一般的扫描所有已知木马的反特洛伊木马程序不同的是，黑客的反特洛伊木马的工具用于检测和删除某个特定的特洛伊木马(要小心，有些心存恶意的黑客会用真正的特洛伊木马感染反特洛伊木马程序，然后诱使您下载)。

要找到黑客的反特洛伊木马程序，需注意他们的程序中包含这样的名字：Back Orifice Eradicator、Busjack、NetBus Remover、Nemesis、Anti Socket、Anti BD、Backfire、BO2K Server Sniper、TW-Trojan Scanner或Toilet Paper。