木马程序怎么清除_木马程序驻留内存

电脑木马是什么啊?

分类: 电脑/网络 反病毒

解析:

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

参考资料：bbs.51ww/365000/ShowPost.aspx

马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等

从对基本的地方了解木马

端口

你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑。

黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。举个例子，有一种典型的木马软件，叫做spy.exe。如果你不小心运行了spy.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，spy.exe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的7306端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。接下来，你可以利用软件--

如何发现自己电脑中的木马

再以spy.exe为例，现在知道spy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中了spy.exe，只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入 10.10.10.10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的spy.exe的版本，那么你的电脑中了spy.exe木马了。这是最简单最直接的办法，但是需要你知道各种木马所开放的端口，已知下列端口是木马开放的：7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口，也还是不能完全防范这些木马的，我们需要--

进一步查找木马

曾经做了一个试验：我知道spy.exe开放的是7306端口，于是我用工具把它的端口修改了，经过修改的木马开放的是7777端口了，你现在再用老办法是找不到spy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着，并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止，其中139端口是正常的，首先找个端口扫描器，推荐“代理猎手”，你上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对0到65535端口扫描，如果除了139端口以外还有其他的端口开放，那么很可能是木马造成的。 排除了139端口以外的端口，你可以进一步分析了，用浏览器进入这个端口看看，它会做出什么样的反映，你可以根据情况再判断了。

扫描这么多端口是不是很累，需要半个多小时傻等了，现在好了，我汉化了一个线程监视器，Tcpview.exe可以看电脑有什么端口是开放的，除了139端口以外，还有别的端口开放，你就可以分析了，如果判定自己的电脑中了木马，那么，你就得--

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了，Netvrv病毒防护墙可以帮你删除spy.exe和bo.exe木马，但是不能删除bus木马。

下面就bus木马为例讲讲删除的经过。

简单介绍一下bus木马，bus木马的客户端有两种，开放的都是12345端口，一种以Mring.exe为代表（472,576字节），一种以SysEdit.exe为代表（494,592字节）。Mring.exe一旦被运行以后，Mring.exe就告诉WINDOWS，每次启动就将它运行，WINDOWS将它放在了注册表中，你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值，你再到WINDOWS中找到Mring.exe删除。注意了，Mring.exe可能会被黑客改变名字，字节长度也被改变了，但是在注册表中的位置不会改变，你可以到注册表的这个位置去找。另外，你可以找包含有“bus”字符的可执行文件，再看字节的长度，我查过了，WINDOWS和其他的一些应用软件没有包含“bus”字符的，被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后，并不加到WINDOWS的注册表中，也不会自动挂到其他程序中，于是有人认为这是傻瓜木马，笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中，你就有痕迹可查了，就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中，只要你不碰这个软件，SysEdit.exe也就不发作，一旦运行了被安装SysEdit.exe的程序，SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验，将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来，Abcwin.exe是智能ABC输入法，当我开启电脑到上网，只要没有打开智能ABC输入法打字聊天，SysEdit.exe也就没有被运行，你就不能进入我的12345端口，如果我什么时候想打字了，一旦启动智能ABC输入法（Abcwin.exe），那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了，我的12345端口被打开，别人就可以黑到我的电脑中来了。同样道理，SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上，甚至可以捆绑到拨号工具上，电脑中的几百的程序中，你知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

有的时候知道自己中了bus木马，特别是SysEdit.exe，能发现12345端口被开放，并且可以用bus客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，你可以检视内存，请打开C:\WINDOWS\DRWATSON.EXE，然后对内存拍照，查看“高级视图”中的“任务”标签，“程序”栏中列出的就是正在运行的程序，要是发现可疑的程序，再看“路径”栏，找到这个程序，分析它，你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面，但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了，来回顾一下，要知道自己的电脑中有没有木马，只要看看有没有可疑端口被开放，用代理猎手、Tcpview.exe都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包含相应的可执行程序，比如，被开放的端口是7306，就找包含“spy”的可执行程序，三是检视内存，看有没有可以的程序在内存中。

你的电脑上的木马，来源有两种，一种是你自己不小心，运行了包含有木马的程序，另一种情况是，“网友”送给你“好玩”的程序。所以，你以后要小心了，要弄清楚了是什么程序再运行，安装容易排除难呀。排除了木马以后，你就可以监视端口--

悄悄等待黑客的来临

介绍两个软件，首先是NukeNabber，它是端口监视器，你告诉NukeNabber需要监视7306端口，如果有人接触这个端口，就马上报警。在别人看来，你的电脑的7306端口是开放的，但是7306不是由spy控制了，当NukeNabber发现有人接触7306端口或者试图进入你的7306端口，马上报警，你可以在NukeNabber上面看到黑客对你做了些什么，黑客的IP地址是哪里，然后，你就可以反过来攻击黑客了。当NukeNabber监视139的时候，你就可以知道谁在用IP炸弹炸你。另外提一下，如果NukeNabber告诉你不能监视7306端口，说这个端口已经被占用了，那么说明你的电脑中存在spy了。第二个软件就是Tcpview.exe，这个软件是线程监视器，你可以用它来查看有多少端口是开放的，谁在和你通讯，对方的IP地址和端口分别是什么

发现劫持木马在内存中隐蔽执行怎么办？

电脑上安装360安全卫士，手机上可以安装360手机卫士对系统进行扫描，如果有“木马”风险可以及时处理

什么是“木马”？

分类: 电脑/网络 反病毒

问题描述:

什么是“木马”？什么又是“大木马”和“下木马”？

“大木马”是干嘛的？有什么危害？

“小木马”又是什么？

解析:

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

可是我不知道什幺小木马、大木马、下木马

木马的种类

1、破坏型

惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

2、密码发送型

可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。

3、远程访问型

最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

4.键盘记录木马

这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。

5.DoS攻击木马

随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

6.代理木马

黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Tel,ICQ,IRC等程序，从而隐蔽自己的踪迹。

7.FTP木马

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。

8.程序杀手木马

上面的木马功能虽然形形 *** ，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。

9.反弹端口型木马

木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。

木马是什么意思?

分类: 电脑/网络 反病毒

解析:

什么是木马？

木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听（Listen），如果有客户机向服务器的这一端口提出连接请求（Connect Request），服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

8.51.2 怎样在注册表中发现木马？

多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具 *** 置在：

l HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。

l HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。

l HKEY_USERS\.Default\Sofare\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。

如木马冰河的启动键值是：

[HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run] @="C:\\Windows\\SYSTEM\\KERNEL32.EXE"

广外女生1.51版的启动键值是：

[HKEY_LOCAL_MACHINE\Sofare\

Microsoft\Windows\CurrentVersion\RunServices]

"Diagnostic Configuration"="

C:\\Windows\\SYSTEM\\DIAGCFG.EXE"

蓝色火焰0.5的启动键值是：

[HKEY_LOCAL_MACHINE\Sofare\

Microsoft\Windows\CurrentVersion\Run]

"Neork Services"="

C:\\Windows\\SYSTEM\\tasksvc.exe"

8.51.3 怎样在一些重要文件中查找木马？

1．在Win.ini中启动

在Win.ini的[Windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，就要小心了。

2．在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样：shell=Explorer.exe window.exe，注意这里的window.exe就是木马程序。另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

3．在Autoexec.bat和Config.sys中加载运行

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。

4．在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及 Windows自动生成，在执行了Win并加载了多数驱动程序之后开始执行（这一点可通过启动时按【F8】键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

5．应用*.INI文件

即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

8.51.4 怎样查找其他方式加载的木马？

1．启动组

木马隐藏在启动组中虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:\Windows\ Start Menu\Programs\StartUp，在注册表中的位置：HKEY_CURRENT_USER\Sofare\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders Startup

="C:\Windows\start menu\programs\startup"。

2．修改文件关联

修改文件关联是木马常用手段（主要是国产木马，国外的木马大都没有这个功能），比方说正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则TXT文件打开方式就会被修改为用木马程序打开，如著名的国产木马“冰河”就是这样做的。“冰河”通过修改HKEY_CLASSES_ROOT\txtfile \shell\open\mand下的键值，将“C:\Windows\ Notepad.exe %1”改为“C:\Windows\System\ SYSEXPLR.EXE %1”，这样一旦想打开一个TXT文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\ mand主键，查看其键值是否正常。

3．捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。如果绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行的，通过按【Ctrl+Alt+ Del】组合键是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了（提示正在被使用）那就应该注意了。

8.51.5 怎样手工清除木马？

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在机器里面，此时就应该想办法清除。

那么如何清除木马而不误删其他有用文件呢？当通过上述方法找到可疑程序时，可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年而不应该是最近的时间（安装最新的Windows 2000、Windows XP的系统除外），文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那可能就有问题了。

首先查进程，检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉后，然后再看看原来怀疑的端口有没有开放（有时需重启），如果没有了那说明正确，再把该程序删掉，这样就手工删除了这匹木马了。

如果该木马改变了TXT、EXE或ZIP等文件的关联，应把注册表改过来，如果不会改，那就把注册表改回到以前的姿态，也可以恢复文件关联，可通过在DOS下执行 scanreg/restore命令来恢复注册表，不过这条命令只能恢复前五天的注册表（这是系统默认的）。此举可轻松恢复被木马改变的注册表键值，简单易用。

8.51.6 怎样通过网络连接和进程来发现木马？

1．通过网络连接

由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。

一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“stat -a”，“-a”用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

2．通过系统进程

木马即使再狡猾，它也是一个活动着的应用程序，一经运行，它就时刻驻留在电脑系统的内存中，通过查看系统进程可发现可疑进程，并以此来推断木马的存在。

在Windows 2000/XP中按下【Ctl+Alt+Del】组合键，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Windows 98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用，下面是比较著名的两款工具，一个是Prcview，它非常小巧，不到90KB，功能却很强大，它是一个免费的绿色软件，下载地址为：ln.sky/down/PrcView.zip；另外一款工具名为winproc，功能也比较齐全，下载地点为：apchwin。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着。

8.51.7 怎样使用软件杀木马？

1．常用的杀病毒工具软件

木马从某种意义上来说也是一种病毒，我们常用的病毒防护软件也都可以实现对木马的查杀，这些病毒防护软件包括KV3000、Kill3000、瑞星等，这类软件查杀其他病毒很有效，对木马的检查也比较成功，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载。总的说来，杀病毒软件作为防止木马的入侵来说更有效。

2．常用的网络防火墙软件

现在的网络防火墙软件比较多，常见的如国外的Lockdown，国内的天网、金山网镖等。以“天网防火墙个人版”为例，防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。

利用防火墙来实现对木马的查杀，只能检测发现木马并加以预防攻击，但不能彻底清除它。

3．专用的木马查杀软件

我们对木马不能只采用防范手段，还要将其斩草除根、彻底地清除，专用的木马查杀软件一般都带有这些特性，这类软件目前也比较多，比如：The Cleaner、木马克星、木马终结者等。

8.51.8 怎样预防木马？

随着网络的普及，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。

1．不要执行任何来历不明的软件

很多木马病毒都是通过绑定在其他的软件中来实现传播的，一旦运行了这个被绑定的软件就会被感染，因此在下载软件的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒后再使用。

2．不要随意打开邮件附件

现在绝大部分木马病毒都是通过邮件来传递的，而且有的还会连环扩散，因此对邮件附件的运行尤其需要注意。

3．重新选择新的客户端软件

很多木马病毒主要感染的是Microsoft的OutLook和OutLook Express的邮件客户端软件，因为这两款软件全球使用量最大，黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件，例如Foxmail等，收到木马病毒攻击的可能性就将减小，至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱，这样就能大大降低木马病毒的感染概率。

4．将资源管理器配置成始终显示扩展名

将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

5．尽量少用共享文件夹

如果因工作等原因必须将电脑设置成共享，则最好单独设置一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

6．运行反木马实时监控程序

木马防范重要的一点就是在上网时最好运行反木马实时监控程序，The Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

7．经常升级系统

很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

为何杀完木马要重启电脑

木马1般安排驻留程序，随机器启动而重新启动，重启时应当是掉电硬重启，而不是点击电脑的重新启动

电脑系统安全的方法

现在的木马种类繁多，而且有些木马十分顽固，根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?

你所说的木马，也就是一种能潜伏在受害者计算机里，并且秘密开放一个甚至多个数据传输通道的远程控制程序，一般由两部分组成:客户端(Client)和服务器端(Server)，客户端也称为控制端。

木马的传播感染其实指的就是服务器端，入侵者必须通过各种手段把服务器端程序传送给受害者运行，才能达到木马传播的目的。当服务器端被受害者计算机执行时，便将自身复制到系统目录，并把运行代码加入系统启动时会自动调用的区域里，借以达到跟随系统启动而运行，这一区域通常称为“启动项”。当木马完成这部分操作后，便进入潜伏期——偷偷开放系统端口，等待入侵者连接。

阻止木马运行——查杀更彻底

任何操作系统都会在启动时自动运行一些程序，用以初始化系统环境或额外功能等，这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行，这些区域就是“启动项”，不同的系统提供的“启动项”数量也不同，对于Win9x来说，它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys，Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项，分别是:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

到了2000/XP系统时代，DOS环境被取消，却新增了一种称之为“服务”的启动区域，注册表也在保持原项目不变的基础上增加了2个“启动项”:

项目 键名

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows run

这么多的启动入口，木马自然不会放过，于是我们经常在一些计算机的启动项里发现陌生的程序名，这时候就只能交由你或者病毒防火墙来判断了，毕竟系统自身会在这里放置一些必要的初始化程序，还有一些正常工具，包括病毒防火墙和网络防火墙，它们也必须通过启动项来实现跟随系统启动。

此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统路径遍历优先级欺骗”，Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位的，这就意味着，如果有两个同样名称的文件分别放在C:和C:Windows下，Windows会执行C:下的程序，而不是C:Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会，木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里，Windows就会想当然的执行了木马程序，系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”，因为无论哪个Windows版本的启动项里，它都是没有设置路径的。

要提防这种占用启动项而做到自动运行的木马，用户必须了解自己机器里所有正常的启动项信息，才能知道木马有没有混进来。至于利用系统路径漏洞的`木马，则只能靠用户自己的细心了。

根除木马——文件并联型木马的查杀

某些用户经常会很郁闷，自己明明已经删除了木马文件和相应的启动项，可是不知道什么时候它自己又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有应用程序都打不开了。这时候，如果用户对计算机技术的了解仅限于使用杀毒软件，那可只能哭哭啼啼的重装系统了!

为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单，因为这种木马修改了应用程序(EXE文件)的并联方式。

什么是“并联方式”呢?在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %*”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程，最终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复自身文件，所以在一般用户看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源，并不是木马更改了系统核心，更没必要因此重装整个系统。

根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序，立即停止这个程序的进程，如果它还产生了其他木马文件的话，也一起停止，然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项(HKEY_CLASSES_ROOTexefileshellopencommand)改回原来的“”%1” %*”即可。

如果删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候不要着急，如果你是Win9x用户，请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进入Windows只剩下一个注册表编辑器了，赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。

对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。