exe木马病毒制作（木马病毒生成器）

本文目录一览：

• 1、有将exe文件都改为特洛伊木马病毒的病毒吗？
• 2、电脑中了exe病毒，怎么办？
• 3、谁能教我简单的木马程序，我不是想做木马病毒，而是像知道它的程序是怎么的，最好就是有说明
• 4、怎么样制作木马？
• 5、木马病毒.exe

有将exe文件都改为特洛伊木马病毒的病毒吗？

有一种叫做LOGO1的木马病毒，能够感染所有的EXE应用程序，你发现后杀掉也没有用，必须把所有的EXE应用程序删除掉卸载掉或者格式化硬盘重装，不然当你再次点击某个应用程序的话，就会再次中毒。

这种病毒可以修改你的首页，而且大开后门，盗取资料和帐号~~

电脑中了exe病毒，怎么办？

把U盘插入到一台电脑后，发现U盘内生成了以文件夹名字命名的文件，扩展名为exe，这是电脑应该是中病毒了，可以通过杀毒软件，或者去掉隐藏已知文件类型的扩展名删除。

1、首先在电脑中点击开始菜单，点击控制面板选项，如下图所示。

2、然后在打开的控制面板中，选择外观和主题。

3、接着在打开的页面中，点击文件夹选项，如下图所示。

4、然后选中显示所有文件和文件夹，去掉隐藏已知文件类型的扩展名。

5、最后返回刚才的盘，发现同时出现两个新建文件夹，将带exe文件夹删掉就行了 。

谁能教我简单的木马程序，我不是想做木马病毒，而是像知道它的程序是怎么的，最好就是有说明

这个涉及到高级编程~~~~不是容易做的

只要学习如何发现电脑中的木马就可以了~~~~

木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如 “AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－ MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－ USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY－ USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在 “HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=” 和 “load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell= explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－ MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马” 如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此 “木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

怎么样制作木马？

网络时代可不太平，谁没有遭遇过病毒或木马？从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是网友经常懈逅的对象。怎么避免这些“艳遇”是广大用户孜孜以求的目标，不过，“道高一尺，魔高一丈”，“防”永远是落后的，主动消灭它们才是积极主动的。

要消灭它们，首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及木马的入侵招数的文章很多，但都不太全面，编者偶然间发现了一篇作者不详，但内容颇为全面的文章，特意整理出来，希望对大家有所帮助。

一、修改批处理

很古老的方法，但仍有人使用。一般通过修改下列三个文件来作案：

Autoexec.bat(自动批处理，在引导系统时执行)

Winstart.bat(在启动GUI图形界面环境时执行)

Dosstart.bat(在进入MS-DOS方式时执行)

例如：编辑C:\\windows\\Dosstart.bat，加入：start Notepad，当你进入“MS-DOS方式”时，就可以看到记事本被启动了。

二、修改系统配置

常使用的方法，通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的，涉及范围有：

在Win.ini文件中：

[windows]

load=程序名

run=程序名

在System.ini文件中：

[boot]

shell=Explorer.exe

其中修改System.ini中Shell值的情况要多一些，病毒木马通过修改这里使自己成为Shell，然后加载Explorer.exe，从而达到控制用户电脑的目的。

三、借助自动运行功能

这是黑客最新研发成果，之前该方法不过被发烧的朋友用来修改硬盘的图标而已，如今它被赋予了新的意义，黑客甚至声称这是Windows的新BUG。

Windows的自动运行功能确实很烂，早年许多朋友因为自动运行的光盘中带有CIH病毒而中招，现在不少软件可以方便地禁止光盘的自动运行，但硬盘呢？其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容：

[autorun]

open=Notepad.exe

保存后进入“我的电脑”，按F5键刷新一下，然后双击D盘盘符，怎么样？记事本打开了，而D盘却没有打开。

当然，以上只是一个简单的实例，黑客做得要精密很多，他们会把程序改名为“.exe”(不是空格，而是中文的全角空格，这样在Autorun.inf中只会看到“open=”而被忽略，此种行径在修改系统配置时也常使用，如“run=”；为了更好地隐藏自己，其程序运行后，还会替你打开硬盘，让你难以查觉。

由此可以推想，如果你打开了D盘的共享，黑客就可以将木马和一个Autorun.inf存入该分区，当Windows自动刷新时，你也就“中奖”了，因此，大家千万不要共享任何根目录，当然更不能共享系统分区（一般为C:）。

四、通过注册表中的Run来启动

很老套的方法，但80%的黑客仍在使用，通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值，可以比较容易地实现程序的加载，黑客尤其方便在带”Once”的主键中作手脚，因此带“Once”的主键中的键值，在程序运行后将被删除，因此当用户使用注册表修改程序查看时，不会发现异样。另外，还有这样的程序：在启动时删除Run中的键值，而在退出时（或关闭系统时）又添加键值，达到隐蔽自己的目的。(这种方法的缺点是：害怕恶意关机或停电，呵呵！)

五、通过文件关联启动

很受黑客喜爱的方式，通过EXE文件的关联(主键为：exefile)，让系统在执行任何程序之前都运行木马，真的好毒！通常修改的还有txtfile(文本文件的关联，谁不用用记事本呢？)、regfile(注册表文件关联，一般用来防止用户恢复注册表，例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表，用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序，阻碍用户修复。

六、通过API HOOK启动

这种方法较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能（特别提示：木马可不一定是EXE，还可以是DLL、VXD），这样既方便又隐蔽（不上网时根本不运行）。中此绝毒的虫子，只有两种选择：Ghost或重装系统，幸好此毒廖廖无几，实属万虫之幸！

API的英文全称为：Application Programming Interface，也就是应用程序编程接口。在Windows程序设计领域发展初期，Windows程序员所能使用的编程工具唯有API函数，这些函数是Windows提供给应用程序与操作系统的接口，他们犹如“积木块”一样，可以搭建出各种界面丰富，功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石，在它的下面是Windows的操作系统核心，而它的上面则是所有华丽的Windows应用程序。

七、通过VXD启动

此法也是高手专用版，通过把木马写成VXD形式加载，直接控制系统底层，极为罕见。它们一般在注册表[HKEY_ LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VxD]主键中启动，很难发觉，解决方法最好也是用Ghost恢复或重新干净安装。

八、通过浏览网页启动

通过此种途径有两种方法：

利用MIME漏洞：这是2001年黑客中最流行的手法，因为它简单有效，加上宽带网的流行，令用户防不胜防，想一想，仅仅是鼠标变一下“沙漏”，木马就安装妥当，Internet真是太“方便”了！不过今年有所减少，一方面许多人都改用IE6.0；另一方面，大部分个人主页空间都不允许上传.eml文件了。

MIME被称为多用途Internet邮件扩展（Multipurpose Internet Mail Extensions），是一种技术规范，原用于电子邮件，现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的，在它出现前，邮件内容如果包含声音和动画，就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准，而接收方必须经过解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法，这与原来的邮件是大大不同的。而现在MIME已经成为了HTTP协议标准的一个部分。

九、利用Java applet

划时代的Java更高效、更方便——不过是悄悄地修改你的注册表，让你千百次地访问黄(黑)色网站，让你关不了机，让你……，还可以让你中木马。这种方法其实很简单，先利用HTML把木马下载到你的缓存中，然后修改注册表，指向其程序。

十、利用系统自动运行的程序

这一条主要利用用户的麻痹大意和系统的运行机制进行，命中率很高。在系统运行过程中，有许多程序是自动运行的，比如：磁盘空间满时，系统自动运行“磁盘清理”程序(cleanmgr.exe)；启动资源管理器失败时，双击桌面将自动运行“任务管理器”程序(Taskman.exe)；格式化磁盘完成后，系统将提示使用“磁盘扫描”程序(scandskw.exe)；点击帮助或按F1时，系统将运行Winhelp.exe或Hh.exe打开帮助文件；启动时，系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。

这为恶意程序提供了机会，通过覆盖这些文件，不必修改任何设置系统就会自动执行它们！而用户在检查注册表和系统配置时不会引起任何怀疑，例如“注册表检查” 程序的作用是启动时检查和备份注册表，正常情况不会有任何提示，那么它被覆盖后真可谓是“神不知、鬼不觉”。当然，这也许会被“系统文件检查器”检查（但勤快的人不多）出来。

黑客还有一高招“偷天换日”！不覆盖程序也可达到这个目的，方法是：利用System目录比Windows目录优先的特点，以相同的文件名，将程序放到System目录中。你可以试试，将Notepad.exe(记事本)复制到System目录中，并改名为Regedit.exe(注册表编辑器)，然后从“开始”→“运行”中，输入“Regedit”回车，你会发现运行的竟然是那个假冒的Notepad.exe！同样，如果黑客将程序放到System中，然后在运行时调用真正的Regedit，谁知道呢？(这种方法由于大部分目标程序不是经常被系统调用，因此常被黑客用来作为被删除后的恢复方法，如果某个东东被删除了又出现，不妨检查检查这些文件。)

十一、还有什么“高招”

黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“.exe”就是一例，另外常见的有在修改文件关联时，使用“ ”（ASCII值255，输入时先按下Alt键，然后在小键盘上输入255）作为文件名，当这个字符出现在注册表中时，人们往往很难发现它的存在。此外还有利用字符相似性的，如：“Systray.exe”和“5ystray”(5与大写S相似)；长度相似性的，如：“Explorer.exe”和“Explore.exe”(后者比前者少一个字母，心理学实验证明，人的第一感觉只识别前四个字母，并对长度不敏感)；运行假象则是指运行某些木马时，程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程序，地球人都知道不是什么好东西；但对于一个提示“内存不足的程序，恐怕还在埋怨自己的内存太少哩！

木马病毒.exe

可能是QQ的魔法表情吧,

我有时候都会发些魔法表情整蛊一下同学,

一些魔法表情会显示"你的电脑已经中毒了"

然后电脑屏幕就全黑了,过一会就会好的.

为了安全起见,

你还是用最新版本的杀毒软件全盘杀一下吧.

还可以到系统盘哪里看看有什么陌生的文件夹.