文章大纲：

• 1、我要学手工查杀木马病毒的 ***
• 2、不会处理电脑病毒，感觉杀毒软件大都不很好用，我想学习一下木马病毒方面的知识，请懂得朋友帮忙介绍下，
• 3、什么专业学习病毒木马
• 4、怎么编辑木马病毒？（详细点）更好有教程！

我要学手工查杀木马病毒的 ***

发现木马

由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如IE一般会打开连续的端口:1025，1026，1027等。

在DOS命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。

查找木马

要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具 *** 置在：HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:\windows\file.exe或load=c:\windows\file.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种 *** 并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

手工清除木马

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起， *** 连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“Ctrl+Alt+Del”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。

那么，如何清除木马而不误删其他有用文件呢？当你通过上述 *** 找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年，而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。

首先，查进程。检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。

如果该木马改变了TXT、EXE或ZIP等文件的关联，那应把注册表改过来，如果不会改，那就把注册表改回到以前的，就可以恢复文件关联，可通过在DOS下执行“scanreg/restore”命令来恢复注册表，不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值，简单易用。

不会处理电脑病毒，感觉杀毒软件大都不很好用，我想学习一下木马病毒方面的知识，请懂得朋友帮忙介绍下，

广告软件

广告软件是一种通过弹出窗口或通过显示在计算机屏幕上的栏显示横幅广告的软件。 这些广告单元通常无法清除，因此会始终显示。 连接数据可以对使用行为进行很多推断，在数据安全方面存在问题。

后门程序

后门程序可以绕过计算机访问安全机制而获取对计算机的访问权限。

正在后台运行的程序通常可赋予攻击者无限的权限。 在后门程序的帮助下，可以窥探用户的个人数据，但主要用于在相关的系统中安装更多的计算机病毒或蠕虫。

启动扇区病毒

硬盘的启动扇区或主启动扇区主要会感染启动扇区病毒。 它们覆盖系统运行所需的重要信息。 其中一种麻烦的结果是： 计算机系统无法加载…

僵尸 ***

僵尸 *** 是一系列自动运行的软件僵尸。 僵尸 *** 可能包含一系列在通用命令和控制结构下正在运行程序（通常是指蠕虫、特洛伊木马之类的程序）的被入侵的计算机。 僵尸 *** 服务器有多种用途，包括拒绝服务攻击等，部分用途不为受影响的计算机用户所知。 僵尸 *** 主要可能情况是该 *** 可能达到数千台计算机的规模，其总带宽可以堵塞大多数常规的 Internet 访问。

拨号器

拨号器是一种计算机程序，它通过 *** 线或数字 ISDN *** 建立一个到 Internet 或其他计算机 *** 的连接。 行骗者在用户不知道的情况下，使用拨号器拨入 Internet 以收取用户高额费用。

分布式拒绝服务 (DDoS)

僵尸 *** 靶标通常也可以攻击服务器：通过从许多受感染的客户端同时向服务器发送大量请求，它们会降低服务器的运行速度，从而导致服务器无法再响应正常的用户请求。

EICAR 测试文件

EICAR 测试文件是由欧洲电脑反病毒研究协会 (European Institute for Computer Antivirus Research) 开发的一个测试样本，目的是测试防病毒程序的功能。 它是一个 68 字符长的文本文件，它的文件扩展名是“.COM”，所有病毒扫描程序都应将其识别为病毒。

攻击

攻击（漏洞）是一种计算机程序或脚本，它利用计算机系统中可导致特权提升和拒绝服务的缺陷、故障或漏洞。 例如，一种攻击形式是在 Internet 上利用伪造的数据包进行的攻击。 程序可以被注入以便获取更高的访问权限。

灰色软件

灰色软件运行方式与恶意软件类似，但是它不传播，不直接为用户带来危害。 它同样不影响系统功能。 通常，它收集有关使用模式的信息，以便出售这些数据或系统地刊登广告。

恶作剧程序

用户常年从 Internet 收到病毒警报以及在其他 *** 中通过电子邮件传播的防病毒警报。 这些警报通过电子邮件传播，要求用户必须将其发送给尽可能多的同事或其他用户，以便警告每个人应对“危险”。

蜜罐

蜜罐是安装在 *** 中的一个服务（程序或者服务器）。

它的功能是监控 *** 和记录攻击。 这个服务对合法用户来说是未知的 - 因此从未针对合法用户设计。 如果攻击者检查 *** 的弱点，并使用蜜罐提供的服务，则会对此进行记录并引起警报。

按键记录

按键记录是一个在软件开发中使用的诊断工具，用于捕获用户按键。 它有助于在计算机系统中确定错误来源，有时用于衡量员工在某些文书工作中的工作效率。 与此类似，机密数据或个人数据（如密码或 PIN）也可能通过 Internet 被人窥探或发送到其他计算机上。

宏病毒

宏病毒是一些用应用程序（如 WinWord 6.0 中的 WordBasic）的宏语言编写的小程序，一般情况下只会随着这个应用程序的文档传播。 正因如此，它们也被称作文档病毒。 为了处于活动状态，它们需要激活相应的应用程序并且执行其中一个被感染的宏。 与“普通”的病毒不同，宏病毒并不攻击可执行文件，但是会攻击相应宿主应用程序的文档。

多态病毒

多态病毒是真正的伪装高手。 它们可以改变自己的编程代码 - 因此也非常难以检测。

程序病毒

计算机病毒是一种在运行后能够将其自身附加到其他程序上并引起感染的程序。 病毒不像逻辑炸弹和特洛伊木马，病毒进行自我繁殖。 和蠕虫相比，病毒始终需要一个程序作为宿主，以在其中寄存恶性代码。 一般来说宿主自身的程序运行是不会改变的。

恐吓软件

恐吓软件这一术语是指旨在引起人们忧虑和恐慌的软件。 受害者可能会上当并感觉受到威胁，他们通常会接受付款建议，以排除并不存在的威胁。 在某些情况下，会诱使受害者自己引发攻击， *** 是使其相信这一操作将成功排除威胁。

脚本病毒和蠕虫

这类病毒非常容易设计，如果手头有所需的技术，几小时之内就可以通过电子邮件扩散到全世界。

脚本病毒和蠕虫使用 Javascript、VBScript 之类的脚本语言嵌入其他新的脚本中，或者利用操作系统中的某些功能激活来传播。 它们经常通过电子邮件或文件（文档）交换传播。

蠕虫是一种自我繁殖但并不感染宿主的程序。 因此蠕虫不会构成其他程序序列的组成部分。 在具有严格安全措施的系统中，通常只有蠕虫才有可能嵌入任何类型的破坏性程序。

安全隐私风险 (SPR)

“SPR”（安全或隐私风险）这一术语是指一种程序，它可以破坏系统安全性、引发不希望或对私人环境造成损害的程序活动。

间谍软件

间谍软件之所以称为间谍程序，是因为它在用户不知情的情况下拦截或者部分控制一台计算机的操作。 间谍软件旨在利用被感染的计算机牟取商业利益。 为实现这一目的的典型手段包括发送不请自来的弹出窗口广告。 AntiVir 能够检测到这类软件，将其归类于“ADSPY”或“adware-spyware”（广告软件-间谍软件）。

特洛伊木马（简称木马）

现在木马很常见。 我们谈论的是那些貌似具有特定功能，但在运行后却露出本来面目的程序（在多数情况下，它们执行的是破坏性的功能）。 木马与病毒和蠕虫不同，它们不能自我繁殖。 大多数木马都有个让人感兴趣的名称（例如 SEX.EXE 或 STARTME.EXE），目的在于引诱用户启动木马。 它们在执行后就会立即激活，然后就能够进行如格式化硬盘之类的操作。 植入程序是一种特殊形式的木马，它“投放”病毒，即在计算机系统中植入病毒。

僵尸

僵尸计算机是指被恶意程序感染、并且能够让黑客通过远程控制为犯罪目的而滥用的计算机。 例如，受到影响的计算机可以根据命令启动拒绝服务 (DoS) 攻击或者发送垃圾邮件和钓鱼邮件。

告诉你一个最简单的 *** ：当你感觉中毒之后，打开任务管理器，看看那个进程是你不知道的，那就肯定是病毒，把这个进程结束即可。不过这个法子只能对付小病毒，遇到厉害的病毒我劝你还是去重装系统吧。

什么专业学习病毒木马

计算机没有这样的专业。

但是可以这么说，会用计算机语言编程的人都会编写木马病毒，因为病毒本身也是一个程序，但这个程序和正常的程序运行结果不同而已，病毒运行的结果是具有某种破坏性的，如删除系统文件等。

怎么编辑木马病毒？（详细点）更好有教程！

您好：

建议您不要编辑或使用木马病毒，木马病毒会对您的电脑造成损害的，如果您曾使用过此类不安全的木马软件的话，为了您电脑的安全，建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧，打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以，您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载

腾讯电脑管家企业平台：