木马病毒通信隐藏的主要方式（木马病毒的原理）

电脑病毒有哪些隐藏方式

有时候我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下，如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

当然，还有另外的讲法。

1、集成到程序中

其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe

这时你就要小心了，这个file.exe很可能是木马哦。

4、伪装在普通文件中

这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。

5、内置到注册表中

上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉!然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚!但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表!的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

6、在System.ini中藏身

木马真是无处不在呀!什么地方有空子，它就往哪里钻!这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序!另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

7、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

8、隐蔽在Winstart.bat中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

9、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

10、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗!奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等。

木马的传播途径主要有哪些？

木马的传播途径很多，常见的有如下几类：

1.

通过电子邮件的附件传播。这是最常见，也是最有效的一种方式，大部分病毒（特别是蠕虫病毒）都用此方式传播。首先，木马传播者对木马进行伪装，方法很多，如变形、压缩、脱壳、捆绑、取双后缀名等，使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装，再使用杀毒程序将伪装后的木马查杀测试，如果不能被查到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内，发送出去。

2.

通过下载文件传播。从网上下载的文件，即使大的门户网站也不能保证任何时候他的问件都安全，一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种，一种是直接把下载链接指向木马程序，也就是说你下载的并不是你需要的文件。另一种是采用捆绑方式，将木马捆绑到你需要下载的文件中。

3.

通过网页传播。大家都知道很多VBS脚本病毒就是通过网页传播的，木马也不例外。网页内如果包含了某些恶意代码，使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。顺便说一句，很多人在访问网页后IE设置被修改甚至被锁定，也是网页上用脚本语言编写的的恶意代码作怪。

4.

通过聊天工具传播。目前，QQ、ICQ、MSN、EPH等网络聊天工具盛行，而这些工具都具备文件传输功能，不怀好意者很容易利用对方的信任传播木马和病毒文件。

什么叫木马的通信隐藏

3.1 本地隐藏

本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段, 主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。这些手段可以分为三类:

将木马隐藏(附着、捆绑或替换) 在合法程序中；

修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理；

利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。

1． 启动隐藏

启动隐藏，是指目标机自动加载运行木马程序， 而不被用户发现。在Windows 系统中,比较典型的木马启动方式有：修改系统“启动”项；修改注册表的相关键值；插入常见默认启动服务；修改系统配置文件(Config.sys、Win.ini和System.ini 等)；修改“组策略”等。这些启动方式，通常要修改系统的相关文件, 容易被检测工具发现。此外，还有些特殊的木马启动方式，如:文件关联和寄生启动( 注入普通进程)等。

2.文件隐藏

文件隐藏包括两方面，一是通过伪装, 达到迷惑用户的目的；二是隐藏木马文件自身。对于前者，除了修改文件属性为“隐藏”之外,大多通过一些类似于系统文件的文件名来隐蔽自己。对于后者，可以修改与文件系统操作有关的程序, 以过滤掉木马信息；特殊区域存放( 如对硬盘进行低级操作，将一些扇区标志为坏区，将木马文件隐藏在这些位置，或将文件存放在引导区中)等方式达到隐藏自身的目的。在Windows NT/2000 中,如果文件系统采用的是NTFS，可以用NTFS 流来实现木马文件的隐藏。

3.进程隐藏

进程通常被定义为一个正在运行的程序的实例，它由两个部分组成：

（1）一个是操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。

（2）另一个是地址空间，它包含所有可执行模块或DLL模块的代码和数据。它还包含动态内存分配的空间。如线程堆栈和堆分配空间。

一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程。Windows 2000/XP系统中的任务管理器能查看到系统中正在运行哪些进程。只要平时多看任务管理器中的进程列表，熟悉系统的基本进程，就可以随时发现可疑进程，这对防范木马和病毒大有裨益！所以，要想木马在服务端运行，就必须做到在任务管理器里面消失，也就是进程隐藏。

木马的进程隐藏包括两方面：伪隐藏和真隐藏。伪隐藏，就是指木马程序的进程仍然存在， 只不过是消失在进程列表里；真隐藏，则是让程序彻底消失， 不以一个进程或者服务的方式工作。进程隐藏方式，主要运用于Windows 系统中。

木马病毒一般都隐藏在哪里？

楼主你好

不一定在C盘的，如果感染等因素，那就更广了。遇到这类的杀毒才是首选

1、电脑杀毒建议安装专业的杀毒软件，用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底，推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。如果遇到顽固木马，可以用首页——工具箱——顽固木马克星，强力查杀，效果相当不错的。

2、安全模式下，将该目录的所有文件按修改时间重新排列，将该病毒以及修改时间和病毒一样的文件删除（先纪录名字）。安全模式下，在运行中输入msconfig，在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下，把刚才的名字一个一个在注册表中查找一遍，一样路径和名称的键都删除

3、如果遇到所有安全类软件打不开，就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了，可以尝试挂盘杀毒，也可以制作一个引导杀毒的工具，很多杀毒软件都有引导杀毒工具，或者是重装系统。

4、建议你在用杀毒软件检测出木马病毒后，第一时间进行清除。一般当扫描出木马后，都会帮您勾选好所有木马，只需要点击“立即清除”就可以了。有些木马需要重启电脑，为了彻底清除危害千万不要嫌麻烦哦。

如果遇到这类隐藏性很高的、又释放驱动的病毒，很难处理。所以要先对病毒灭活，杀掉活体病毒之后就很容易查杀了

如果遇到木马或病毒杀不掉，一般是由于木马病毒正在运行，或者有其他的病毒进程守护，造成的。

木马入侵主要手段

木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序，是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看，木马都是网络客户/服务模式，它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵，一般都要完成“向目标主机传播木马”，“启动和隐藏木马”，“建立连接”，“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征：隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性：隐蔽性是木马的生命力，也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒（或杀马）软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面：

a.不产生图标。木马虽然在系统启动时会自动运行，但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性：木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名，如dll、win、sys、explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常常修改几个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中而已。

(3)顽固性：很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。当木马被检查出来以后，仅仅删除木马程序是不行的，有的木马使用文件关联技术，当打开某种类型的文件时，这种木马又重新生成并运行。

(4)危害性：当木马被植入目标主机以后，攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码，控制系统的运行，进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高，木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式，主要有以下几种：

1)电子邮件（E-mail）进行传播：攻击者将木马程序伪装成E-mail附件的形式发送过去，收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播：一般的木马服务端程序都不是很大，最大也不超过200K，有的甚至只有几K。如果把木马捆绑到其它正常文件上，是很难发现的。一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播：由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面，他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播：这种方法利用Java Applet编写出一个HTML网页，当我们浏览该页面时，Java Applet会在后台将木马程序下载到计算机缓存中，然后修改注册表，使指向木马程序。

4)利用系统的一些漏洞进行传播：如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可把IIS服务器崩溃，并且同时在受控服务器执行木马程序。

5)远程入侵进行传播：黑客通过破解密码和建立IPC$远程连接后登陆到目标主机，将木马服务端程序拷贝到计算机中的文件夹（一般在C:\WINDOWS\system32或者C:\WINNT\system32）中，然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛，但也很容易引起用户的警觉，所以一些新的入侵手段也相继出现，主要有：

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序，然后在目标主机中选择特定目标进程（如系统文件或某个正常运行程序），由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Load Library函数来加载木马DLL，从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动，而使用E-mail传播效率又太低，系统漏洞很快又被打上补丁，所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力，将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性，在网络上大批量地进行传播、复制，这就加快了木马的传播速度，扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害，我们可以从两方面来有效地防范木马：使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是，仍然有一些木马可以绕过防火墙进入目标主机（比如反弹端口木马），还有一些将端口寄生在合法端口上的木马，防火墙对此也无能为力。因此，我们必须要能迅速地查杀出已经入侵的木马。木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件,现在很多杀毒软件能删除网络上最猖獗的木马。但是，由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是：

1)检查主机开放的端口

木马进行通讯时大都会开启一个通讯端口，这个端口一般是用户不常见的。检查端口可以使用专门的端口扫描器，也可以在“命令行提示符”下使用“net stat –an”命令进行查看，如图1所示。除了服务器默认使用的端口外，其它的开放端口都要引起警觉。

因为在注册表中可以设置一些启动加载项目，所以很多木马程序都会利用注册表来启动自己。事实上，只要是Run\RunOnce\RunonceEx\RunServices\RunServicesOnce等都是木马程序加载的入口，如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once；HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once或Run Services或RunServicesOnce。检查这些键值下是否有可疑的文件名，如果有，先关闭其进程，再删除键值和相应的应用程序。 对于一些文本(.txt)文件关联木马（比如“冰河”）和应用程序(.exe)文件关联木马（比如“广外女生”），除了以上步骤外，还要将HKEY_Classes_ROOT\txtfile\shell\open\command中的键值改为“c：\windows\notepad.exe %1”以及将HKEY_Classes_ROOT\exefile\shell\open\command中的键值改为“”%1” %*”。

3)检查启动组

虽然木马隐藏在启动组并不是十分安全，但这里的确是自动加载运行的好场所，因此还是有木马在这里驻留。启动组对应的文件夹为“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”，要经常检查这个地方。

除了以上防范措施外，用户上网时应该避免访问一些非正规的网站或者下载文件；在收到带有附件的E-mail时，应该先对附件进行病毒扫描确保安全后再打开。

4 结束语

多年以来，木马与网络安全技术一直较量着，并且不断向前发展。未来的计算机木马将更注重底层的通讯编程，如针对网卡和Modem的通讯编程，这样可以有效地逃过安全检测，对网络安全形成新的威胁，我们对它的防范也将更加困难。

木马是怎么做到很好隐蔽性的?

“隐蔽性”就是病毒的一个最基本特征，任何病毒都希望在被感染的计算机中隐藏起来不被发现，因为病毒都只有在不被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通用户头痛的病毒隐藏形式。由于木马后门的行为特征已具备病毒条件，因此这里把木马后门也统一归纳为病毒来描述。

不过现在的杀毒软件技术也是很强的，

例如腾讯电脑管家就可以及时发现这些病毒的存在

腾讯电脑管家是中国首创，第一款响应国际主流，集杀毒+管理功能为一体的产品

腾讯电脑管家拥有 管家云引擎、管家自研第二代“鹰眼”引擎、金山云引擎、Avira引擎，以及管家系统修复引擎，能够及时拦截钓鱼网站及木马病毒，

业界首创将CPU虚拟执行技术运用到杀毒软件中，能够根除顽固病毒、大幅度提升深度查杀能力，并且大大降低了杀毒软件对用户电脑系统资源的占用率。

腾讯电脑管家已经连续数次通过VB100、AV-C等五项国际权威认证，病毒查杀率极高，误杀率极低

请分析哪些是病毒，木马，在电子邮件的传播方式

建议楼主下载安装腾讯电脑管家来进行杀毒，

重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描----顽固木马克星--深化扫描--完成重启电脑就可以了

腾讯电脑管家为国内首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件，

应用腾讯自研第二代反病毒引擎“鹰眼”，

资源占用少，基于CPU虚拟执行技术能够根除顽固病毒，

大幅度提升深度查杀能力。