让我告知你什么是木马病毒木马的认知.docx

1、让我告知你什么是木马病毒木马的认知什么是木马病毒（Trojan）木马（Trojan）那个名字来源于(中的故事,Trojan一词的 特洛伊木马本意是的,即代指,也确实是木马计的故事)。 “木马”是目前比较流行的文件，与一样的病毒不同，它可不能自我繁衍，也并非“刻意”地去感染其他文件，它通过将自身假装吸引用户下载执行，向施种者提供打开被种者电脑的门户，使施种者能够任意损坏、窃取被种者的文件，乃至远程操控被种者的。“木马”与中常常要用到的有些相似，但由于远程操纵软件是“善意”的，因此通常不具有隐蔽性；“木马”那么完全相反，木马要达到的是“偷窃”性的远程操纵，若是没有很强的隐蔽性的话，那确实是“毫无价

2、值”的。 它是指通过一段特定的程序（木马程序）来操纵另一台运算机。木马通常有两个可执行 程序：一个是客户端，即操纵端，另一个是，即被操纵端。植入被种者电脑的是“效劳器”部份，而所谓的“黑客”正是利用“操纵器”进入运行了“效劳器”的电脑。运行了木马程序的“效劳器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客能够利用这些打开的端口进入电脑系统，平安和个人隐私也就全无保障了！ 木马的设计者为了避免木马被发觉，而采纳多种手腕隐藏木马。木马的效劳一旦运行并被操纵端连接，其操纵端将享有效劳端的大部份操作权限，例如给运算机增加，阅读、移动、复制、删除文件，修改注册表，更改运算机配置等。 随着病毒编写

3、技术的，木马程序对用户的要挟愈来愈大，尤其是一些木马程序采纳了极为狡猾的手腕来隐蔽自己，使一般用户很难在中毒后觉察。 木马病毒的原理一个完整的特洛伊木马套装程序含了两部份：效劳端（效劳器部份）和客户端（操纵器部份）。植入对方电脑的是效劳端，而黑客正是利用客户端进入运行了效劳端的电脑。运行了木马程序的效劳端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地址发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客乃至能够利用这些打开的端口进入电脑系统。 特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包括或安装一个存心不良的程序的， 它可能看起来是有效或有趣的打算

4、（或至少无害）对一不疑心的用户来讲，可是事实上有害当它被运行。 特洛伊木马可不能自动运行，它是暗含在某些用户感爱好的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。 特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，一般是程序设计者为了能在往后随意进入系统而设置的。 特洛伊木马有两种，universal的和transitive的，universal确实是能够操纵的，而transitive是不能操纵，刻死的操作。 木马病毒的特点特洛伊木马不经电脑用户准予就可取得电脑的利用权。程序容量十分轻小，运行时可不能浪费太多资源，因此没有利用杀毒软件是难以

5、觉察的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，以后每次在Windows加载时自动运行；或立刻自动变更文件名，乃至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。 木马病毒的进展木马程序技术进展能够说超级迅速。主若是有些年轻人出于好奇，或是急于显示自己实力，不断改良木马程序的编写。至今木马程序已经经历了四代的改良： 第一代，是最原始的木马程序。主若是简单的密码窃取，通过电子邮件发送信息等，具有了木马最大体的功能。 第二代，在技术上有了专门大的进步，冰河是中国木马的典型代表之一。 第三代，要紧改良在数据传递技术方面，显现了ICMP等类型的木马，利用畸形报文传

6、递数据，增加了杀毒软件查杀识别的难度。 第四代 在进程隐藏方面有了专门大改动，采纳了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或挂接PSAPI，实现木马程序的隐藏，乃至在Windows NT/2000下，都达到了良好的隐藏成效。灰鸽子和蜜蜂大盗是比较出名的DLL木马。 第五代, 驱动级木马。驱动级木马多数都利用了大量的Rootkit技术来达到在深度隐藏的成效，并深切到内核空间的，感染后针对杀毒软件和网络防火墙进行解决，可将系统SSDT初始化，致使杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，而且很难查杀。 第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术

7、类型和特殊反显技术类型木马慢慢开始系统化。前者要紧以盗取和窜改用户灵敏信息为主，后者以动态口令和硬证书解决为主。PassCopy和暗黑蜘蛛侠是这种木马的代表。 木马病毒的种类1. 网络游戏木马随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限愈来愈模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之进展泛滥起来。 网络游戏木马通常采纳记录用户键盘输入、Hook游戏进程API函数等方式获取 特洛伊木马病毒用户的密码和帐号。窃取到的信息一样通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量，在国产木马

8、病毒中都数一数二。流行的网络游戏无一不受网游木马的要挟。一款新游戏正式发布后，往往在一到两个礼拜内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公布销售也是网游木马泛滥的缘故之一。 2. 网银木马网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，乃至平安证书。此类木马种类数量尽管比不上网游木马，但它的危害加倍直接，受害用户的损失加倍惨重。 网银木马通常针对性较强，木马作者可能第一对某银行的网上交易系统进行认真分析，然后针对平安薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成平安性能较差、但仍然能够运转的老

9、版页面，然跋文录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份平安证书功能，能够盗取平安证书；2005年的“新网银大盗”，采纳API Hook等技术干扰网银登录平安控件的运行。 随着我国网上交易的普及，受到外来网银木马要挟的用户也在不断增加。 3. 即时通信软件木马此刻，国内即时通信软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈网上谈天的用户群十分庞大。常见的即时通信类木马一样有3种： a、发送消息型。通过即时通信软件自动发送含有歹意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多老友发送病毒消息。此类病毒经常使用技术是搜索谈天窗口，进而操纵该窗

10、口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，能够通过MSN、QQ、UC等多种谈天软件发送带毒网址，其要紧功能是盗取传奇游戏的帐号和密码。 b、盗号型。要紧目标在于即时通信软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥谈天记录等隐私内容，或将帐号卖掉。 c、传播自身型。2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵以后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ谈天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒

11、排行榜上排列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类的进化，采纳的大体技术都是搜寻到谈天窗口后，对谈天窗口进行操纵，来达到发送文件或消息的目的。只只是发送文件的操作比发送消息复杂很多。 4. 网页点击类木马网页点击类木马会歹意模拟用户点击广告等动作，在短时刻内能够产生数以万计的点击量。病毒作者的编写目的一样是为了赚取高额的广告推行费用。此类病毒的技术简单，一样只是向效劳器发送HTTP GET请求。 5. 下载类木马这种木马程序的体积一样很小，其功能是从网络上下载其他病毒程序或安装。由于体积很小，下载类木马更易传播，传播速度也更快。通常功能壮大、体积也专门大的后门类病毒

12、，如“”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会把后门主程序下载到本机运行。 6. 代理类木马用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理效劳功能。黑客把受感染运算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。 第一找到感染文件,其手动方式是终止相关进程然后删除文件,可是此刻有很多木马专杀的软件.能够借助软件删除。 木马和病毒都是一种人为的程序,都属于,什么缘故木马要单独提出来讲呢?大伙儿都明白以前的电脑病毒的作用,其实完全确实是为了弄破坏,破坏电脑里的资料数据,除破坏之外其它无非确实是有些病毒制造者为了达到某些目的而进行的威慑和敲诈敲

13、诈的作用,或为了夸耀自己的技术. 木马不一样,木马的作用是赤裸裸的偷偷监视他人和盗窃他人密码,数据等,如盗窃治理员密码-子网密码弄破坏,或好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,乃至网上银行帐户等.达到偷窥他人隐私和取得经济利益的目的.因此木马的作用比初期的电脑病毒加倍有效.更能够直接达到利用者的目的!致使许多别有效心的程序开发者大量的编写这种带有偷窃和监视他人电脑的侵入性程序,这确实是目前网上大量木马泛滥成灾的缘故.鉴于木马的这些庞大危害性和它与初期病毒的作用性质不一样,因此木马尽管属于病毒中的一类,可是要单独的从病毒类型中间剥离出来.独立的称之为木马程序。 一样来讲一种杀毒软件程序

14、,它的木马专杀程序能够查杀某某木马的话,那么它自己的一般杀毒程序也固然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有利,事实上一样的一般杀毒软件里都包括了对木马的查杀功能.若是此刻大伙儿说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也仿佛有点过意不去,即便它的一般杀毒软件里固然的有杀除木马的功能。 还有一点确实是,把查杀木马程序单独剥离出来,能够提高查杀效率,此刻很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查一般病毒库里的病毒代码,也确实是说当用户运行木马专杀程序的时候,程序只挪用木马代码库里

15、的数据,而不挪用病毒代码库里的数据,大大提高木马查杀速度.咱们明白查杀一般病毒的速度是比较慢的,因为此刻有太多太多的病毒.每一个文件要通过几万条木马代码的查验,然后再加上已知的差不多有近10万个病毒代码的查验,那速度岂不是很慢了.省去一般病毒代码查验,是不是就提高了效率,提高了速度呢? 也确实是说此刻好多杀毒软件自带的木马专杀程序只查杀木马而一样不去查杀病毒,可是它自身的一般病毒查杀程序既查杀病毒又查杀木马! 木马病毒的危害一、盗取咱们的网游账号，要挟咱们的虚拟财产的平安。 木马病毒会盗取咱们的网游账号，它会盗取咱们帐号后，并当即将帐号中的游戏装备转移，再由木马病毒利用者出售这些盗取的游戏装备

16、和游戏币而获利。 二、盗取咱们的网银信息，要挟咱们的真实财产的平安。 木马采纳键盘记录等方式盗取咱们的网银帐号和密码，并发送给黑客，直接致使咱们的经济损失。 3、利用即时通信软件盗取咱们的身份，传播木马病毒。 中了此类木马病毒后，可能致使咱们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确信的危害性。如恶作剧等。 4、给咱们的电脑打开后门，使咱们的电脑可能被黑客操纵。 如灰鸽子木马等。当咱们中了此类木马后，咱们的电脑就可能沦为，成为黑客手中的工具。 如何防御木马病毒？木马查杀（查杀软件很多，有些病毒软件都能杀木马） 防火墙（分硬件和软件）家里面的就用软件好了 防火墙若是是

17、公司或其他地址就硬件和软件一路用 大体能防御大部份木马，可是此刻的软件都不是全能的，是不？还要学点专业知识，有了这些，你的电脑就平安多了 此刻高手也很多，只要你不随意访问来历不明的网站，利用来历不明的软件（很多盗版或破解软件都带木马，那个看你自己体会去区分），若是你都做到了，木马，病毒。就不容易进入你的电脑了。 如何查出木马的一些方式在利用目前常见的木马查杀软件及杀软件的同时，系统自带的一些大体命令也能够发觉木马病毒： 一、检测网络连接若是你疑心自己的运算机上被他人安装了木马，或是中了病毒，可是手里没有完善的工具来检测是不是真有如此的情形发生，那能够利用Windows自带的网络命令来看看谁在连

18、接你的运算机。 具体的命令格式是：netstat -an那个命令能看到所有和本地运算机成立连接的IP，它包括四个部份proto(连接方式)、local address(本地连接地址)、foreign address(和本地成立连接的地址)、state(当前端口状态)。通过那个命令的详细信息，咱们就能够够完全监控运算机上的连接，从而达到操纵运算机的目的。 二、禁用不明效劳很多朋友在某天系统从头启动后会发觉运算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，那个时候极可能是他人通过入侵你的运算机后给你开放了专门的某种效劳，比如IIS信息效劳等，如此你的杀毒软件是查不出来的。可是别急，能够通

19、过“net start”来查看系统中究竟有什么效劳在开启，若是发觉了不是自己开放的效劳，咱们就能够够有针对性地禁用那个效劳了。 方式确实是直接输入“net start”来查看效劳，再用“net stop server”来禁止效劳。 三、轻松检查账户很长一段时刻，歹意的解决者超级喜爱利用克隆账号的方式来操纵你的运算机。他们采纳的方式确实是激活一个系统中的默许账户，但那个账户是不常经常使用的，然后利用工具把那个账户提升到治理员权限，从表面上看来那个账户仍是和原先一样，可是那个克隆的账户却是系统中最大的平安隐患。歹意的解决者能够通过那个账户任意地操纵你的运算机。 为了幸免这种情形，能够用很简单的方式

20、对账户进行检测。 第一在命令行下输入net user，查看运算机上有些什么用户，然后再利用“net user 用户名”查看那个用户是属于什么权限的，一样除Administrator是administrators组的，其他都不是!若是你发觉一个系统内置的用户是属于administrators组的，那几乎确信你被入侵了，而且他人在你的运算机上克隆了账户。快利用“net user用户名/del”来删掉那个用户吧! 联网状态下的客户端。关于没有联网的客户端，当其联网以后也会在第一时刻内收到更新信息将病毒特点库更新到最新版本。不仅省去了用户去手动更新的烦琐进程，也利用户的运算机时刻处于最正确的爱惜环境之

21、下。四、对照“和1。点击“开始，运行”输入“回车，打开”系统配置有效程序，然后 在“效劳”选项卡中勾选“隐藏所有Microsoft效劳”，这时列表中显示的效劳项都是非系统程序。 2。再点击“开始，运行”，输入回车，打开“系统效劳治理”，对照两张表，在该“效劳列表”中能够一一找出适才显示的非系统效劳项。 3。在“系统效劳”治理界面中，找到那些效劳后，双击打开，在“常规”选项卡中的可执行文件途径中能够看到效劳的可执行文件位置，一样正常安装的程序，比如杀毒，MSN，防火墙，等，都会成立自己的系统效劳，不在系统目录下，若是有第三方效劳指向的途径是在系统目录下，那么他确实是“木马”。选中它，选择表中的“

22、禁止”，从头启动运算机即可。 4要点：有一个表的左侧：有被选中的效劳程序说明，若是没用，它确实是木马。 如何删除木马病毒 ？一、禁用系统还原（Windows Me/XP）若是您运行的是 Windows Me 或 Windows XP，建议您临时关闭“系统还原”。此功能默许情形下是启用的，一旦运算机中的文件被破坏，Windows 可利用该功能将其还原。若是病毒、蠕虫或特洛伊木马感染了运算机，那么系统还原功能会在该运算机上备份病毒、蠕虫或特洛伊木马。 Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的要挟。如此，系

23、统还原就可能将受感染文件还原到运算机上，即便您已经清除所有其他位置的受感染文件。 另外，病毒扫描可能还会检测到 System Restore 文件夹中的要挟，即便您已将该要挟删除。 注意：蠕虫移除干净后，请依照上述文章所述恢复系统还原的设置。 二、将运算机重启到平安模式或 VGA 模式关闭运算机，等待至少 30 秒钟后从头启动到平安模式或 VGA 模式 Windows 95/98/Me/2000/XP 用户：将运算机重启到平安模式。所有 Windows 32-bit 作系统，除Windows NT，能够被重启到平安模式。更多信息请参阅文档 如何以平安模式启动运算机 。 Windows NT 4

24、 用户：将运算机重启到 VGA 模式。 扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫描所有文件。运行完整的系统扫描。若是检测到任何文件被 感染，请单击“删除”。如有必要，清除 Internet Explorer 历史和文件。若是该程序是在 Temporary Internet Files 文件夹中的紧缩文件内检测到的，请执行以下步骤： 启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部份中，单击“删除文件”，然后在显现提示后单击“确信”。在“历史”部份，单击“清除历史”，然后在显现提示后单击“是”。

25、3、关于病毒的危害，会 执行以下操作： 进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。 完成下载后，特洛伊木马程序将执行它们。 中了木马不能打开杀毒软件能够用平安启动来先修复一下 木马病毒最爱藏身的几个地址木马是一种基于远程操纵的病毒程序，该程序具有很强的隐蔽性和危害性，它能够在人不知鬼不觉的状态下操纵你或监视你。下面确实是木马暗藏的诡招，看了以后不要忘记采取绝招来对付这些损招。 一、集成到程序中其实木马也是一个效劳器客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一路，然后上传到效劳

26、端覆盖原文件，如此即便木马被删除，只要运行捆绑了木马的应用程序，木马又会被上去了。到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 二、隐藏在配置文件中木马实在是太狡猾，明白菜鸟们平常利用的是图形化界面的操作系统，关于那些已经不过重要的配置文件大多数是漠不关心了，这正好给木马提供了一个藏身的地方。而且利用配置文件的特殊作用，木马很容易就能够在大伙儿的运算机中运行、发作，从而偷窥或监视大伙儿。只是，此刻这种方式不是很隐蔽，容易被发觉，因此在和中加载木马程序的并非多见，但也不能因此而掉以轻心。 3、暗藏在中木马要想达到操纵或监视运算机的目的，必需要运行，但是没有人会傻

27、到自己在自己的运算机中运行那个该死的木马。固然，木马也早有心理预备，明白人类是高智商的动物，可不能帮忙它工作的，因此它必需找一个既平安又能在系统启动时自动运行的地址，于是在中是木马感觉比较惬意的地址。大伙儿不妨打开来看看，在它的windows字段中有启动命令“load=”和“run=”，在一样情形下“=”后面是空白的，若是有后跟程序，例如说是那个样子：run=c：windowsfile. Exeload=c：。这时你就要警惕了，那个极可能是木马。 4、假装在一般文件中那个方式显现的比较晚，只是此刻很，关于不熟练的操作者，很容易被骗。具体方式是把可执行文件假装成图片或文本在程序中把图标改成Win

28、dows的图片图标，再把文件名改成*.，由于Win98默许设置是“不显示已知的文件后缀名”，文件将会显示为*.jpg，不注意的人一点那个图标就中木马了（若是你在程序中嵌一张图片就更了）。 五、内置到注册表中上面的方式让木马实在舒畅了一阵，既没有人能找到它，又能运行，真是快哉！但是，人类专门快就把它的马脚了出来，并对它进行了严厉的处惩！可是它还心有不甘，总结了失败教训后，以为上面的藏身的地方很容易找，此刻必需躲在不容易被人发觉的地址，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜爱藏在那个地址快活，赶快检查一下，有什么程序在其下，睁大眼睛认真看了，别放过木马： HKEY_LOCAL_MA

29、CHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值； HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值； 下所有以“run”开头的键值。 六、在中藏身木马真是无处不在呀！什么地址有，它就往哪里！这不，Windows安装目录下的也是木马喜爱隐蔽的地址。仍是警惕点，打开那个文件看看，它与正常文件有什么不同，在该文件的boot字段中，是不是有如此的内容，那确实是shell=，若是确实有如此的内容，那你就不幸了，因为那个地址的确实是木马效劳端程序

30、！另外，在中的386Enh字段，要注意检查在此段内的“driver=途径程序名”，那个地址也有可能被木马所利用。再有，在中的mic、drivers、drivers32这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，此刻你该明白也要注意那个地址。 7、隐形于启动组中有时木马并非在意自己的行踪，它更注意的是可否自动到系统中，因为一旦木马加载到系统中，任你用什么方式你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此依照那个逻辑，启动组也是木马能够藏身的好地址，因为那个地址的确是自动加载运行的好场所。启动组对应的文件夹为： C：windowsstartmenuprograms

31、startup 在注册表中的位置： HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFoldersStartup= “C：windowsstartmenuprogramsstartup” 要注意常常检查启动组。 八、隐蔽在中依照上面的逻辑理论，凡是利于木马能自动加载的地址，木马都喜爱呆。这不，也是一个能自动被Windows加载运行的文件，它多数情形下为应用程序及Windows自动生成，在执行了并加载了多数驱动程序以后开始执行（这一点可通过启动时按F8键再选择慢慢跟踪启动进程的启动方式可得知）。由于的功能能够由代替完成，因此木马完全能够像在中那样被加载运行，危险由此而来。 九、捆绑在启动文件中即应用程序的启动配置文件，操纵端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到效劳端覆盖这同名文件，如此就能够够达到启动木马的目的了。 10、设置在超级连接中木马的主人在网页上放置，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随意点击网页上的链接，除非你了解它，信任它