文章大纲：

• 1、什么是木马？它的工作原理是什么？如何应付它
• 2、为什么会感染上木马？怎样防止感染上木马
• 3、木马的工作原理是什么?
• 4、木马病毒的原理 如何防
• 5、什么是"木马"病毒以及他的运行原理和与之相对应的防范对策
• 6、木马病毒是怎么回事?预防的 *** 是什么?

什么是木马？它的工作原理是什么？如何应付它

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代 *** 的安全运行。

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如 *** 游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

详见百科：

为什么会感染上木马？怎样防止感染上木马

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话 故事 ，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将 木马 摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从 木马 中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在 计算机 安全学中，特洛伊 木马 是指一种 计算机 程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户 计算机 系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上， 木马 也可以称为是 计算机 病毒 。

由于很多用户对 计算机 安全问题了解不多，所以并不知道自己的 计算机 是否中了 木马 或者如何删除 木马 。虽然现在市面上有很多新版杀毒 软件 都称可以自动清除 木马 病毒 ，但它们并不能防范新出现的 木马 病毒 （哪怕宣传上称有查杀未知 病毒 的功能）。而且实际的使用效果也并不理想。比如用某些杀毒 软件 卸载 木马 后，系统不能正常工作，或根本发现不了经过特殊处理的 木马 程序。本人就测试过一些经 编程 人员改装过的著名 木马 程序，新的查杀毒 软件 是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的 病毒 库）。因此最关键的还是要知道特洛伊 木马 的工作原理，由其原理着手自己来检测 木马 和删除 木马 。用手工的 *** 极易发现系统中藏匿的特洛伊 木马 ，再根据其藏匿的方式对其进行删除。

二、 木马 工作的原理

在Windows系统中， 木马 一般作为一个 *** 服务 程序在种了 木马 的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该 木马 相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是 木马 ，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统 服务 程序就可以了。

好了，现在我们对 木马 的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的 *** 服务 器运行，那么它就要乘 计算机 刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始-程序-启动”中的项目！没错，这是Windows启动时要运行的东西，但要是 木马 服务 器程序明显地放在这就不叫 木马 了。

木马 基本上采用了Windows系统启动时自动加载应用程序的 *** ，包括有win.ini、system.ini和 注册表 等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目， 木马 可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的 计算机 就可能中上 木马 了。当然你也得看清楚，因为好多 木马 还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述 *** 就是这样。如果等号后面不仅仅是 explorer.exe，而是“shell=Explorer.exe 程序名”，那么后面跟着的那个程序就是 木马 程序，明摆着你已经中了 木马 。现在有些 木马 还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的 木马 都在 注册表 中作文章，因为 注册表 本身就非常庞大、众多的启动项目及易掩人耳目。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面这些主键下面的启动项目都可以成为 木马 的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等 注册表 编辑 工具 查看SAM主键，里面下应该是空的。

木马 驻留 计算机 以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与 木马 服务 器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或 工具 都可以检测到这些非法 *** 连接的存在。具体如何检测，在第三部分有详细介绍。

三、检测 木马 的存在

知道 木马 启动运行、工作的原理，我们就可以着手来看看自己的 计算机 有没有 木马 存在了。

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”

，如果不是这样，就可能中了 木马 了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，

极有可能就是 木马 了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都

屏蔽掉了

4、查看 注册表

由“开始-运行”，输入regedit，确定就可以运行 注册表 编辑器。再展开至：

“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己

不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的 木马 程序生成的

服务 器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery 木马 ，它会在 注册表 项

“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“CWINDOWSexpiorer.exe”， 木马 服务 器程序与系统自身的真正的Explorer之间只有一个字母

的差别！

通过类似的 *** 对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是 木马 了。正常情况下，该主键下面是空的。

当然在 注册表 中还有很多地方都可以隐藏 木马 程序，上面这些主键是 木马 比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为 木马 的藏身之处。更好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到 木马 程序的文件名，再通过其文件名对整个 注册表 进行全面搜索就知道它有几个藏身的地方了。

如果有留意， 注册表 各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是 木马 了。

4、其它 ***

上网过程中，在进行一些 计算机 正常使用操作时，发现 计算机 速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是 木马 客户端在远程控制你的 计算机 。

如果怀疑你现在正在被 木马 控制，那么不要慌张地去拔了网线或抽了Modem上的 *** 线。有可能的话，更好可以逮到“黑”你的那个家伙。下面就介绍一下相应的 *** ：

由“开始-运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本 计算机 建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto： 协议 ，Local Address：本地地址，Foreign Address

：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000

），而Foreign Address中的地址又不为正常 *** 浏览的地址，那么可以判断你的机器正被

Foreign Address中表示的远程 计算机 所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非

法连接你 计算机 的 木马 客户端。

当 *** 处于非活动状态，也就是目前没什么活动 *** 连接时，在MS-DOS窗口中用netstat命令将看不

到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示 计算机 中目前处于监听状态的端口

。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI 协议 ）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何 *** 服务 操作，那么在监听该

端口的就是特洛伊 木马 了！如下图所示的23456和23457端口都处于监听状态，很明显是 木马 造成的。

注意，使用此 *** 查询处于监听状态的端口，一定要保证在短时间内（更好5分钟以上）没有运行任何

*** 冲浪 软件 ，也没有进行过任何 *** 操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除 木马

好了，用上面的一些 *** 发现自己的 计算机 中了 木马 ，那怎么办？当然要将 木马 删除了，难道还要保留它！首先要将 *** 断开，以排除来自 *** 的影响，再选择相应的 *** 来删除它。

1、由 木马 的客户端程序

由先前在win.ini、system.ini和 注册表 中查找到的可疑文件名判断 木马 的名字和版本。比如“netbus”、“netspy”等，很显然对应的 木马 就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地 计算机 地址： 127.0.0.1和端口号，就可以与 木马 程序建立连接。再由客户端的卸除 木马 服务 器的功能来卸除 木马 。端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除 木马 的 *** 。不过也存在一些弊端，如果 木马 文件名给另外改了名字，就无法通过这些特征来判断到底是什么 木马 。如果 木马 被设置了 密码 ，既使客户端程序可以连接的上，没有 密码 也登陆不进本地 计算机 。当然要是你知道该 木马 的通用 密码 ，那就另当别论了。还有，要是该 木马 的客户端程序没有提供卸载 木马 的功能，那么该 *** 就没什么用了。当然，现在多数 木马 客户端程序都是有这个功能的。

2、手工

不知道中的是什么 木马 、无登陆的 密码 、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的 木马 吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开 注册表 编辑器，对 注册表 进行编辑。先由上面的 *** 找到 木马 的程序名，再在整个 注册表 中搜索，并删除所有 木马 项目。由查找到的 木马 程序注册项，分析 木马 文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将 木马 文件删除。如果 木马 文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测 木马 的 *** 对系统进行检查，以确保 木马 的确被删除了。

目前也有一些 木马 是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到运行， 木马 也就启动了。这种 木马 可以感染可执行文件，那就更象 病毒 了。由手工删除文件的 *** 处理 木马 后，一运行 Explorer.exe， 木马 又得以复生！这时要删除 木马 就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的 计算机 中将该文件 Copy过来就可以了。

木马的工作原理是什么?

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机 *** 中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从 *** 上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开， *** 传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种 *** 往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是 *** 数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般 *** 常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过 *** 的连接来实现的，因此如果发现可疑的 *** 连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何 *** 服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的 *** 不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种 *** 来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种 *** 被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的 *** 连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具 *** 置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着 *** 的普及和 *** 游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的 *** 。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则更好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时更好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在之一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种更好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自 *** 的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想之一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)： *** 靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是 *** 靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于 *** 靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制 *** 输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过 *** 发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程 *** 是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接 *** 。任何程序连接 *** 它都会通告并询问。比如安装完该软件“之一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接 *** ，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了， *** 游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

木马病毒的原理 如何防

1。防为主，不点从没上过的网站和任何链接。

2。不用任何作弊外挂等软件。

3。不上黄色和一些有目的性的推销网站。

4。不上私服游戏和以任何名意的中奖网站上。

5。只上你所对应的证券的官方网站。

什么是"木马"病毒以及他的运行原理和与之相对应的防范对策

1、木马病毒是一种专门用来偷取用户资料的病毒.

2、不会破坏程序.但会把你的 *** 密码.游戏帐号和密码.等发给编写病毒的人

3、可以用木马克星这个软件来查。（在网上搜索）

4、不要打开陌生的链接。不要轻易在网上下载文件。

5、无明显表现。只有你的 *** 丢了。或者邮箱丢了。你才会发现。

6、可以杀木马的软件来杀。比如木马克星。噬菌体等。

建议你用卡巴杀毒软件+瑞星防火墙+360安全卫士+系统优化大师更好再加上 *** 医生,这样系统就会很安全,我现在的系统就是这样的,可以称的上百毒不侵了,你也试试看,关键你还得会用这些软件!

木马病毒是怎么回事?预防的 *** 是什么?

简单来说,就是一个病毒程序,有三种用法,一种是将木马病毒装在自己的机上,别人用你的机来上网的时候可以用它来偷取别人的密码,二是用某种密码破解软件或程序来破解密码,三是把这种木马病毒发给别人,让别人接收到他的电脑里面,那么你就可以偷取了.