你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑。

黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netspy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，你可以利用软件--

如何发现自己电脑中的木马

再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中了netspy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 http://10.10.10.10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法，但是需要你知道各种木马所开放的端口，已知下列端口是木马开放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口，也还是不能完全防范这些木马的，我们需要--

进一步查找木马

曾经做了一个试验：我知道netspy.exe开放的是7306端口，于是我用工具把它的端口修改了，经过修改的木马开放的是7777端口了，你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。

扫描这么多端口是不是很累，需要半个多小时傻等了，现在好了，我汉化了一个线程监视器，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得--

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马，但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马，netbus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表中的位置不会改变，你可以到注册表的这个位置去找。另外，你可以找包含有“netbus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是傻瓜木马，笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

有的时候知道自己中了netbus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用netbus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“netspy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。

你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。排除了木马以后，你就可以监视端口--

悄悄等待黑客的来临

介绍两个软件，首先是NukeNabber，它是端口监视器，你告诉NukeNabber需要监视7306端口，如果有人接触这个端口，就马上报警。在别人看来，你的电脑的7306端口是开放的，但是7306不是由netspy控制了，当NukeNabber发现有人接触7306端口或者试图进入你的7306端口，马上报警，你可以在NukeNabber上面看到黑客对你做了些什么，黑客的IP地址是哪里，然后，你就可以反过来攻击黑客了。当NukeNabber监视139的时候，你就可以知道谁在用IP炸弹炸你。另外提一下，如果NukeNabber告诉你不能监视7306端口，说这个端口已经被占用了，那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe，这个软件是线程监视器，你可以用它来查看有多少端口是开放的，谁在和你通讯，对方的IP地址和端口分别是什么。

木马病毒详解视频

什么是木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

什么叫木马病毒

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有

两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

GEN:variant.graftor.69466是什么病毒啊,全是视频文件？！！！

这个视频文件里确实有病毒，确切地说，它是一种变异的木马，名字叫做木马移植器，如果电脑中了这种木马病毒，会使电脑运行速度变慢，甚至出现蓝屏死机现象，所以这种情况需要用杀毒软件杀毒。

电脑病毒是一种程序，具有再生能力，它会自动修改其它程序并把本身复制到其它存储介质中，感染其它程序，在满足一定条件后，病毒会干扰电脑正常工作，破坏系统的信息，甚至引起整个电脑系统不能正常工作。

电脑病毒具有如下特点：

传染性强——能在几星期内扩散到几百台电脑中。

潜伏期长——能在电脑里潜伏几个月或更长的时间后重新激活。

感染快——电脑病毒扩散非常迅速，一个典型的网络攻击只用几个小时就能感染整个网络。

不易发现——电脑病毒传播范围广，传播途径复杂，发现病毒感染源很困难，病毒的首次攻击不易被人们察觉。

危害大——恶性病毒扩散到全球后，整个电脑系统就会瘫痪。

如何处理代木马的视频

防护系统比喻成一个蚊帐,那么漏洞就相当蚊帐的缺口.你最好是把它补上,方法如下:

1.利用瑞星漏洞扫描自动修复漏洞(下载补丁后安装即可)

2.利用系统更新打补丁(开始--?\\\\

二、什么是计算机病毒与木马

计算机病毒是一个程序，一段可执行码。它和我们常用的各种软件如播放器、QQ聊天软件等一样都属于应用程序，计算机病毒与普通应用程序的区别在于它一般具有传染性、隐蔽性、破坏性等特点。计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马程序通常由客户端(Client)和服务端(Server)两部分组成，服务端被种植到远程计算机上，客户端由黑客在自己的主机上运行，客户端可以向服务端发送各种指令来控制服务端的电脑。

计算机病毒和木马都是一种应用程序，病毒的主要特点在于传染性和破坏性，木马的主要特点在于远程控制，木马与病毒相比更具有潜在的危险性。

三、什么是计算机漏洞

顾名思义，计算机漏洞就是指计算机软件在程序设计上的缺陷，留下了隐患。黑客利用计算机漏洞可能完全控制你的电脑。微软的操作系统本身就存在着大量的漏洞（微软的主要操作系统有：MS-DOS，Windows 98/Me，Windows NT，Windows 2000，Windows XP，Windows 2003等），比较著名的漏洞有MS05039溢出漏洞、MS0601图形呈形引擎导致的远程执行代码漏洞、HELP控件跨域执行代码漏洞等，黑客利用这些漏洞曾一度使互联网病毒泛滥。

四、流行木马工作过程详解

1. 密码窃取木马，在此以QQ窃密木马“阿拉QQ大盗”为例：

阿拉QQ大盗在互联网上很流行，通过对木马程序进行初步的配置后它可以自动生成一个木马程序，如果你的计算机不幸运行此程序后，你的QQ将会在指定的时间内被强行关闭，当你再次登陆QQ时，你的号码及密码就会被此木马程序悄悄的发送到木马制造者指定的收信程序中，从此你的QQ号就不再是你的了。

2. 远程控制木马，在此以让人望而生畏的“灰鸽子”为例：

灰鸽子是一款很有名的远程控制软件，它由服务端和控制端两部分组成。它属于反弹端口型的木马程序，当你的电脑不幸中了灰鸽子服务端后，服务端会自动向木马制造者设置的地址发送连接请求，当服务端与客户端建立网络连接后，木马制造者将拥有你的电脑的完全控制权，包括密码窃取（如窃取你的宽带上网帐号进行网上消费）、屏幕监控（木马制造者可以远程看到你的桌面，你在做什么他可是了如指掌）、数据下载（你的所有资料都可以被他窃取）、格式化硬盘（让你的所有数据灰飞烟灭）、远程开启视频（如果你安装了摄像头的话，对方可以悄悄的打开你的视频而不被你察觉，真实的你也会展现在黑客面前）。

五、木马、病毒的传播途径

通过上面的介绍，相信大家对木马、病毒的危害巳经有一个感观的认识了，你也许会问：木马、病毒是如何进入我的计算机的呢？下面我就对木马、病毒的几种主要传播手段做一个简单介绍。

1. 通过硬件存储介质传播

前面讲过计算机病毒有自动复制传染的特性，所以如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后，其本身可能也会被感染病毒，如果再接入没有被感染病毒的计算机后，该计算机可能也会被传染病毒。

2. 通过局域网共享传播

前面提到了计算机的漏洞，微软的IPC共享就存在严重漏洞，许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。（我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的）

3. 通过与应用软件捆绑传播

此种手段较为高明，木马制作者把木马程序捆绑到一个比较常用的应用软件上，比如Photoshop、QQ、Realplayer、Word等软件上，然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载，当你下载下来安装这些软件的时候，被捆绑其上的木马也被你同时安装到自己的电脑中了，这一过程是不被你察觉的。

4. 通过电子邮件附件传播

木马制作者可以直接把木马程序作为附件发送给你，利用社会工程学的知识来骗你打开附件，比如说是你的同学，发给你一张新拍的照片，如果你信以为真，那可能就中计了。直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的，因为木马程序既然是应用程序，那么它的后缀名必定是.EXE。更高级的附件发送木马手法还是挺高明的，比如把木马程序的图标改为图片文件的图标或是Word文档的图标来进行鱼目混珠，还可以利用Word的宏命令直接把木马程序写入Word文档中，这样就更难察觉了。

5. 通过网页木马传播

什么是网页木马？答：网页木马就是利用计算机漏洞构造出的具有特殊功能的网页，当你打开此网页且你的计算机有此网页利用的漏洞时，你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的，对于你来说，你只不过就是打开了一个网页而巳，没有进行任何其它操作，但是你的电脑巳经中毒了。相对于其它传播手段而言，此种传播手段的传播效率最高！大约90％以上的木马程序都是通过网页木马来进行传播的。你也许会说你没有上什么不正规的网站，怎么也会中毒？事实上目前的许多网站都存在着各种各样的漏洞，黑客利用这些漏洞可以入侵网站，包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。黑客入侵网站后如果在这些网站的首页加上一段调用网页木马的代码，那么当你浏览这一网站时你就可能中了木马了。

6. 通过邮件网页木马传播

前面巳讲到什么是网页木马，那么邮件网页木马顾名思义就是通过邮件传播的网页木马了，木马制造者通过编辑电子邮件的源代码，可以发送一封网页格式的电子邮件给你，此种格式的邮件如果在源代码中加入调用网页木马的代码就称为邮件网页木马，此中邮件没有附件，你只要打开了这封邮就会中马，不需要进行其它任何操作！它相对于网页木马的优点在于可以发送到指定的邮箱指定目标进行攻击。

7. 通过影音文件网页木马传播

不知大家是否有过这样的经历，下载到一部自己喜爱的电影，正在观看时突然弹出来一个网页，这个网页就有可能是网页木马了（也有可能只是做广告），视频文件是可以添加事件的，可以让它在播放到指定时间时打开一个网页，如果打开的网页是网页木马，那么你的电脑从此就中毒了。此种木马常见于一些不正规的小网站提供的电影下载中或是BT等共享视频中。

六、杀毒软件与防火墙的工作原理

杀毒软件杀毒的一个重要依据就是根据自己病毒库中的特征码定义，所谓特征码就是某程序所特有的代码段，病毒特征码就是指某病毒所特有的代码，杀毒软件在对文件进行杀毒时对文件内的内码逐一进行检查，一旦发现此文件中含有某种病毒的特征码那么它就认为是某种病毒，无论这个文件到底是不是病毒。比较高级的杀毒软件通常对同一种病毒有两种特征码定义：文件特征码和内存特征码。程序是运行于内存中的，内存中的代码与文件本身的代码是不同的，有些文件直接用杀毒软件查杀是没有病毒的，但是你一旦运行它就会查出有病毒就是这个原因。

“黑客会打上我的主意吗？”这么想就对了，黑客就想钻鸡蛋缝的苍蝇一样，看到一丝从系统漏洞发出的光亮就会蠢蠢欲动！好，如何保护你的网络呢？计算机的高手们也许一张嘴就提议你安装网络的防火墙，那么第一个问题就来了：到底什么是防火墙呢？防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。天下的防火墙至少都会说两个词：Yes或者No。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。值得一提的是，只要你想上网，你的防火墙就一定会对一些程序和端口说“YES”来放行的。

七、道高一尺魔高一丈，木马病毒如何逃过防火墙与杀毒软件的拦截查杀

前面讲到杀毒软件杀毒的一个重要依据就是特征码，那么如果一个程序中不含有病毒库中定义的所有特征码的话，杀毒软件就自然不会认为这个程序是病毒了！黑客高手们通常的做法是做出来一个木马、病毒程序后，用各种杀毒软件去杀它，而后取得各种杀毒软件对此程序的特征码的定义，然后就是修改特征码，把征征码的代码改用其它的程序代码来实现相同的功能，经过大多数杀毒软件的轮攻与修改后，这个病毒就可以顺利逃过各种杀毒软件的查杀了！前面亦有提到只要你想上网，防火墙就会对某些程序（如IE浏览器）和端口放行，那么病毒木马通过线程插入系统进程的技术可以将自身置入系统进程之中，木马程序通常会利用80端口进行远程连接（WEB服务默认端口），这样只要你的电脑可以上网，那么木马程序同样也会被防火墙放行！对于黑客高手而言，普通的杀毒软件和防火墙（普通用户用到的杀毒软件及防火墙）就等于是花边，对们来说是不起什么作用的！所以当你用杀毒软件把你的所有硬盘都扫了一遍而没有发现病毒时你也不要沾沾自喜，很可能你中了做了免杀处理的病毒，这样虽然你中毒了你的杀毒软件也会视若无睹。-

八、木马隐藏技术，木马程序藏身何处

木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术：Windows 98的后门

在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

第二代进程隐藏技术：进程插入

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。

一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，这里以盗QQ密码的木马为便进行简单讲解。

普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！

不要相信自己的眼睛：恐怖的进程“蒸发”

严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。

什么是Hook？Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏

利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干：反杀毒软件外壳

木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

什么是壳？顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

九、普通用户网络安全的出路：防胜于杀

综上可见，依赖于防火墙和杀毒软件想做到百毒不侵那是不可能办到的事情！可以这样说，只要你接入互联网那就有可能中毒，而且有可能中了毒也查不出有毒，那么对于没有专业的网络安全知识的普通用户来说，如何才能保障自身的网络安全呢？

1. 打好系统补丁，修复系统漏洞

前面讲到病毒的最大来源就是网页木马，而网页木马必定依赖于系统漏洞而生存，如果你的系统没有网页木马所利用的漏洞，自然它就不能发挥任何作用了！所以防范木马病毒进入电脑的最佳办法就是及时打好系统补丁，然后用漏洞扫描工具检测一下系统是否存在漏洞，直到修复到没有任何巳公布的漏洞而巳。

2. 及时更新杀毒软件的病毒库

虽然杀毒软件不是万能的，但是安装一个好的杀毒软件还是很有必要的，微软公司每年都会公布出大量的系统漏洞，然后在官方网站提供漏洞补丁供用户下载，然而仍然有许多未被发现的漏洞有可能被黑客利用，所以装个比较好的杀毒软件还是很必要的，推荐卡巴斯基和瑞星，卡巴斯基除了利用特征码杀毒外，还启用了虚拟机技术和行为跟踪技术，其文件查杀与内存查杀能力可谓是出类拔萃！瑞星与其它杀毒软件相比最出色的地方就在于内存查杀能力相当强大，缺点就是许多病毒木马都特别针对瑞星做了反查杀处理。

3. 做好系统备份，做好灾难恢复的准备

既然打补丁和安装杀毒软件都不是万能的，那么就要做好中毒的准备，及时做好系统备份，一旦出现灾难性故障可以迅速恢复操作系统，免去数据丢失的风险和重装系统的麻烦。

什么是木马病毒？？？

马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

如何用木马病毒盗取他人信息？？？

它是样盗取的！你中了木马的服务端后，木马服务端就会在你的电脑上开端口（也就是所说的后门），等待远程的客户端的主到连接（这是主到连接式木马，但这种木马不好，如果你开防火墙了，他可以就连接不到你，因为它在连接你的时候，防火墙会向你寻问是否允许连接），还有一种是反弹式木马，服务端运行后会主动去连接客户端，一但连接上了客户端（也就是制作这个木马的人的电脑），那他就能通过一些“益出”漏洞什么的，拿到你电脑的一定权限，然后再通过一些提权的方法，最终在你的电脑上建个管理账号，就能远程控制你的电脑，通过一些命令，如xcopy等或架设个小型ftp服务器把你的文件烤到自己的电脑上，或在你的电脑上看！

也有一些木马能记录你键盘输入的口令，并自动发送到指定邮箱或空间！这样你的信息就被盗走了！

说的点乱，但就是这样的！你将就看看吧！希望你能看懂！

谁能详解木马与病毒，并详解它们的关系。

1.先介绍一下木马和病毒的解释和产生。

木马：

是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。

病毒：

计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

1987年，第一个真正具备完整特征的电脑病毒C-BRAIN诞生。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。

2.再介绍一下它们的区别。

虽然木马和病毒的危害性难分伯仲，甚至现在已经把木马作为病毒的一种进行归类，但实际上在互联网普及之前，木马和病毒是并驾齐驱的。

早期的木马和病毒的主要区别，就是病毒具有自传播性，即能够自我复制，而木马则不具备这一点。

这主要是因为，病毒的创造者当时主要是为了炫耀自己天才的创意，而可以自我复制传播并做出不可思议的效果（花屏、死机、甚至仅仅是一些有趣的画面），仿佛具有生命的电脑病毒，极大地满足了他们的成就感。与此相反，木马的创造者虽然也有恶搞的成分，但是有目的性的破坏与损害特定软件的名誉，这种成分更多一些，其中安插系统后门和盗取用户资料是典型的木马使用方式。

3.在互联网高度发达的今天，木马和病毒的区别正在逐渐变淡消失。

木马为了进入进入并控制更多的电脑，糅合了病毒的编写方式，不仅能够自我复制，而且还能够通过病毒的手段防止专门软件的查杀。

而病毒为了获取更多的信息（在这个信息时代，信息就是金钱），会定期发作，有意破坏电脑系统的变种也越来越少，基本都是后台隐蔽，长期埋伏，以木马的方式获取用户信息。

所以，现在常有“木马”已经被称呼成了“木马病毒”。如果你想详细分辨它们的危害那个更大，恐怕是不太可能了，它们正在走向融合。

发表评论

评论列表

馥妴邶谌（2022-05-29 01:15:21）回复取消回复

的网址下载木马程序到你的电脑上并自动运行。这一切都是在隐蔽状态下进行的，对于你来说，你只不过就是打开了一个网页而巳，没有进行任何其它操作，但是你的电脑巳经中毒了。相对于其它传播手段而言

拥嬉俗欲（2022-05-29 05:40:14）回复取消回复

”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“netbus”字符的，被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他

b2c信息网

热点事件

木马病毒详解视频（木马病毒视频大全）

什么是木马病毒？