文章大纲：

• 1、怎么判断木马病毒？
• 2、杀毒软件是如何判断病毒（木马）？
• 3、病毒的种类，以及怎样区分他们，木马病毒怎样识别！！！
• 4、怎么分辨自己中的是病毒还是木马?

怎么判断木马病毒？

木马病毒算是一种比较高级的电脑病毒了，它的伪装是很复杂的。别说我们普通人了，就连一些杀毒软件都可能被它欺骗，无法查杀的。

你要是要查杀木马的话，可以试试腾讯电脑管家。管家的木马查杀能力还是很厉害的。它有个TAV引擎，有脱壳技术，增强版识别技术，就像X光眼一样可以看破病毒伪装，高效杀毒。

这个TAV引擎今年还得到了国际四大杀软测评之一的VB100认证，实力很强的。快试试吧。

杀毒软件是如何判断病毒（木马）？

杀毒软件判断病毒木马的方式如下：

特征库扫描法：检查文件中是否存在与常见病毒相同的代码。如果匹配，则说明存在病毒。由于该 *** 较慢，因此现在一般使用通配符扫描法进行代替。

云扫描法：将可疑文件上传到云服务器进行检查。需要 *** 连接。

虚拟机脱壳法：使用虚拟机引擎进行文件脱壳（仅支持部分壳类型）。脱壳后的文件将会进一步接受上两种扫描方式的检查。

病毒的种类，以及怎样区分他们，木马病毒怎样识别！！！

你好：

一.病毒的分类

二.木马的识别

一.病毒的分类

E-mail 蠕虫：E-mail 蠕虫通过E-mail来进行传播。大部分情况下，该类蠕虫通过将其自身的副本作为邮件的附件或正文中的链接发送，再诱骗接收者运行附件或点击链接下载文件的方式来进行传播。

IM 蠕虫：该类蠕虫通过IM（即时通讯工具）客户端进行传播，这一类的客户端包括：ICQ，MSN，AOL Instant Messenger，雅虎通， *** 或 Skype。

通常，这一类蠕虫都会使用联系人列表来发送包含一个链接的信息，这个链接可能会引导用去到其网站上下载一个包含该蠕虫副本的文件，当用户下载并运行该类文件后，蠕虫将激活。

IRC 蠕虫：这一类的蠕虫通过互联网多线聊天系统（IRC，一种用于多人在互联网上实时聊天的服务系统）来进入用户的计算机。

该类蠕虫将会在互联网聊天室中发布包含其副本的文件或是到此类文件的链接。当用户下载并打开此类文件时，病毒将被激活。

Net-蠕虫:该类蠕虫通过 *** 进行传播。

与其它种类的蠕虫不同， *** 蠕虫实在没有用户的参与下进行传播的。它们会搜索本地 *** 中使用了包含漏洞程序的计算机。为了实现搜索，它们会发送特殊的包含其自身代码或部分此类代码的 *** 数据包。如果 *** 中存在一个具有漏洞的计算机，这类计算机就将收到此类数据包。一旦蠕虫成功地完全感染该计算机，它就将激活。

P2P-蠕虫:文件交换蠕虫将通过点到点的文件交换 *** 进行传播，如：Kazaa，Grokster，EDonkey，FastTrack， *** 或 Gnutella。

其它蠕虫:其它的 *** 蠕虫还包括：

通过 *** 资源传播其副本的蠕虫。如通过可用的 *** 文件夹等进行传播。

使用不包含在以上表格中所列方式进行传播的蠕虫。

压缩包炸弹型木马程序:一类压缩包，当对它们进行解压缩时，它们的大小将会增大到足以让计算机工作中断的地步。当您尝试解开这一类压缩包时，计算机将会开始工作缓慢或是停滞，硬盘中将会被空的数据文件填满。压缩包炸弹对于文件和邮件服务器是最为危险的。

远程管理型木马程序:这一类的程序是木马程序中最为危险的，黑客可以通过它们随时对计算机进行远程管理。这些程序是在用户毫不知晓的情况下进行安装的， 然后其会将计算机的远程管理权限提供给入侵者。

木马:木马包含以下的恶意程序：

经典的木马程序： 该类木马只会执行木马程序的主要功能，如阻止、修改或清除数据，中断计算机或计算机 *** 的运行。它们不会具备该表格中描述的其它种类木马程序的特征。

多目的的木马程序：该类的木马具有其它木马程序的附加功能。

勒索敲诈型木马程序:该类木马程序会劫持用户计算机上的“人质”信息，修改或是隐藏这些信息，或是中断计算机的工作使用户无法使用这些数据。然后，入侵者会向用户要求赎金，以交换用户恢复数据的程序。

点击型木马:该类程序会从用户计算机来访问网页 - 它们会通过向网页浏览器发送命令或是替换存储在系统文件中的网页地址来实现这一操作。

入侵者通过使用这样的程序，就能够阻止针对某个网站的 *** 攻击，或是帮助某些网站增加访问量，提高广告条的播出率。

下载型木马:该类木马程序将会访问入侵者的网页，从其上下载其它的恶意程序，并将其安装在用户计算机上。它们会将可下载的恶意程序文件名存储在自身中或是在登录网站时从网站获取。

释放型木马:该类程序自身会包含其它的木马程序，能够将它们释放至计算机磁盘上并且安装。

入侵者可以使用释放型木马：

在用户不知情的情况下安装恶意程序：释放型木马在安全恶意程序时不会显示任何信息或是显示假冒的报错信息。如，提示压缩包有错误，或是与操作系统版本不兼容等；

保护其它的已知恶意程序不被发现：并不是所有的反病毒程序都能够检测出包含在释放型木马中的恶意程序。

通知型木马:这类木马程序会通知入侵者受感染的计算机已联网，并且把该计算机的相关信息发送给入侵者，包括：IP地址、开放端口号或邮件地址等。它们会通过邮件、FTP、访问入侵者网页或其它的方式与入侵者联系。

*** 型木马:这类木马将会帮助入侵者匿名使用用户的计算机作为访问网页的 *** ，也会使用户计算机发送垃圾邮件。

盗取密码型木马:会盗取密码的木马程序。它们会盗取用户的账户信息，如软件的注册信息等。它们会在注册表和文件系统中搜寻用户的私密信息，然后通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

间谍程序型木马:该类程序用于对用户的行为进行刺探，它们会收集用户在计算机上的操作信息。如，它们会截取用户通过键盘输入的数据，对屏幕进行截屏，以及收集活动程序列表等。然后，它们会通过电子邮件、FTP或登录入侵者网站等方式将其传送给入侵者。

*** 攻击型木马:该类程序会从用户计算机端向远端的服务器发送大量的数据请求，服务器的资源就会被这样的攻击耗尽，从而停止服务(拒绝服务 (DoS))。该类程序常被用于感染大量的计算机，然后通过它们对服务器发起攻击。

等等，还有很多，以上只是一个简单的分类。要想查看更多相关信息，请访问：查询,该网站是卡巴斯基的网站。

二.木马的识别

1.简单分析（分析其行为）

2.逆向工程工具分析（IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB）

1.利用工具查看该程序做了哪些操作（需要一定的专业知识）

2.病毒分析人员利用工具分析

1）精通X86，C,C++等

2）系统底层知识

3）熟悉各种常用互联网协议

4）熟练运用IDAPro, OllyDBG, Immunity DBG, SoftICE,GDB等逆向工程工具

5）熟悉Perl, Python等脚本语言

卡巴斯基Eric

怎么分辨自己中的是病毒还是木马?

因为根据病毒的课传染性，你可以插上一根空白的U盘，然后再把文件夹选项改下，看看U盘里面的空间是不是比没插前多了几K到几百K。当然假如是最新的病毒的话杀毒软件是不会报出来的。

而木马就不同了，木马是固定的程序，比如灰鸽子，damewareNT，盗Q木马，游戏木马....而只是他们生成的SERRVER.EXE只要他们的免杀技术到位，杀毒软件一般不会报出来的，他们种类也就那么多，这是和病毒本质的区别。

木马还有一种区分 *** ：你在进程里面看system.exe或者是IEXPLORER.EXE的用户权限假如是system的话，说明你的机子中灰鸽子木马了。

还有就是木马不可以传染给别的机子。他是不可传染性的，木马一般是你下的软件或者视频文件捆绑了它的，或者你浏览的网站被别人挂马的。而病毒 *** 是根据系统漏洞可以进行整个互联网的传播。除了ARP病毒。。所以想确定机子是