木马病毒如何学习（如何制作木马病毒教学）

不会处理电脑病毒，感觉杀毒软件大都不很好用，我想学习一下木马病毒方面的知识，请懂得朋友帮忙介绍下，

广告软件

广告软件是一种通过弹出窗口或通过显示在计算机屏幕上的栏显示横幅广告的软件。 这些广告单元通常无法清除，因此会始终显示。 连接数据可以对使用行为进行很多推断，在数据安全方面存在问题。

后门程序

后门程序可以绕过计算机访问安全机制而获取对计算机的访问权限。

正在后台运行的程序通常可赋予攻击者无限的权限。 在后门程序的帮助下，可以窥探用户的个人数据，但主要用于在相关的系统中安装更多的计算机病毒或蠕虫。

启动扇区病毒

硬盘的启动扇区或主启动扇区主要会感染启动扇区病毒。 它们覆盖系统运行所需的重要信息。 其中一种麻烦的结果是： 计算机系统无法加载…

僵尸网络

僵尸网络是一系列自动运行的软件僵尸。 僵尸网络可能包含一系列在通用命令和控制结构下正在运行程序（通常是指蠕虫、特洛伊木马之类的程序）的被入侵的计算机。 僵尸网络服务器有多种用途，包括拒绝服务攻击等，部分用途不为受影响的计算机用户所知。 僵尸网络主要可能情况是该网络可能达到数千台计算机的规模，其总带宽可以堵塞大多数常规的 Internet 访问。

拨号器

拨号器是一种计算机程序，它通过电话线或数字 ISDN 网络建立一个到 Internet 或其他计算机网络的连接。 行骗者在用户不知道的情况下，使用拨号器拨入 Internet 以收取用户高额费用。

分布式拒绝服务 (DDoS)

僵尸网络靶标通常也可以攻击服务器：通过从许多受感染的客户端同时向服务器发送大量请求，它们会降低服务器的运行速度，从而导致服务器无法再响应正常的用户请求。

EICAR 测试文件

EICAR 测试文件是由欧洲电脑反病毒研究协会 (European Institute for Computer Antivirus Research) 开发的一个测试样本，目的是测试防病毒程序的功能。 它是一个 68 字符长的文本文件，它的文件扩展名是“.COM”，所有病毒扫描程序都应将其识别为病毒。

攻击

攻击（漏洞）是一种计算机程序或脚本，它利用计算机系统中可导致特权提升和拒绝服务的缺陷、故障或漏洞。 例如，一种攻击形式是在 Internet 上利用伪造的数据包进行的攻击。 程序可以被注入以便获取更高的访问权限。

灰色软件

灰色软件运行方式与恶意软件类似，但是它不传播，不直接为用户带来危害。 它同样不影响系统功能。 通常，它收集有关使用模式的信息，以便出售这些数据或系统地刊登广告。

恶作剧程序

用户常年从 Internet 收到病毒警报以及在其他网络中通过电子邮件传播的防病毒警报。 这些警报通过电子邮件传播，要求用户必须将其发送给尽可能多的同事或其他用户，以便警告每个人应对“危险”。

蜜罐

蜜罐是安装在网络中的一个服务（程序或者服务器）。

它的功能是监控网络和记录攻击。 这个服务对合法用户来说是未知的 - 因此从未针对合法用户设计。 如果攻击者检查网络的弱点，并使用蜜罐提供的服务，则会对此进行记录并引起警报。

按键记录

按键记录是一个在软件开发中使用的诊断工具，用于捕获用户按键。 它有助于在计算机系统中确定错误来源，有时用于衡量员工在某些文书工作中的工作效率。 与此类似，机密数据或个人数据（如密码或 PIN）也可能通过 Internet 被人窥探或发送到其他计算机上。

宏病毒

宏病毒是一些用应用程序（如 WinWord 6.0 中的 WordBasic）的宏语言编写的小程序，一般情况下只会随着这个应用程序的文档传播。 正因如此，它们也被称作文档病毒。 为了处于活动状态，它们需要激活相应的应用程序并且执行其中一个被感染的宏。 与“普通”的病毒不同，宏病毒并不攻击可执行文件，但是会攻击相应宿主应用程序的文档。

多态病毒

多态病毒是真正的伪装高手。 它们可以改变自己的编程代码 - 因此也非常难以检测。

程序病毒

计算机病毒是一种在运行后能够将其自身附加到其他程序上并引起感染的程序。 病毒不像逻辑炸弹和特洛伊木马，病毒进行自我繁殖。 和蠕虫相比，病毒始终需要一个程序作为宿主，以在其中寄存恶性代码。 一般来说宿主自身的程序运行是不会改变的。

恐吓软件

恐吓软件这一术语是指旨在引起人们忧虑和恐慌的软件。 受害者可能会上当并感觉受到威胁，他们通常会接受付款建议，以排除并不存在的威胁。 在某些情况下，会诱使受害者自己引发攻击，方法是使其相信这一操作将成功排除威胁。

脚本病毒和蠕虫

这类病毒非常容易设计，如果手头有所需的技术，几小时之内就可以通过电子邮件扩散到全世界。

脚本病毒和蠕虫使用 Javascript、VBScript 之类的脚本语言嵌入其他新的脚本中，或者利用操作系统中的某些功能激活来传播。 它们经常通过电子邮件或文件（文档）交换传播。

蠕虫是一种自我繁殖但并不感染宿主的程序。 因此蠕虫不会构成其他程序序列的组成部分。 在具有严格安全措施的系统中，通常只有蠕虫才有可能嵌入任何类型的破坏性程序。

安全隐私风险 (SPR)

“SPR”（安全或隐私风险）这一术语是指一种程序，它可以破坏系统安全性、引发不希望或对私人环境造成损害的程序活动。

间谍软件

间谍软件之所以称为间谍程序，是因为它在用户不知情的情况下拦截或者部分控制一台计算机的操作。 间谍软件旨在利用被感染的计算机牟取商业利益。 为实现这一目的的典型手段包括发送不请自来的弹出窗口广告。 AntiVir 能够检测到这类软件，将其归类于“ADSPY”或“adware-spyware”（广告软件-间谍软件）。

特洛伊木马（简称木马）

现在木马很常见。 我们谈论的是那些貌似具有特定功能，但在运行后却露出本来面目的程序（在多数情况下，它们执行的是破坏性的功能）。 木马与病毒和蠕虫不同，它们不能自我繁殖。 大多数木马都有个让人感兴趣的名称（例如 SEX.EXE 或 STARTME.EXE），目的在于引诱用户启动木马。 它们在执行后就会立即激活，然后就能够进行如格式化硬盘之类的操作。 植入程序是一种特殊形式的木马，它“投放”病毒，即在计算机系统中植入病毒。

僵尸

僵尸计算机是指被恶意程序感染、并且能够让黑客通过远程控制为犯罪目的而滥用的计算机。 例如，受到影响的计算机可以根据命令启动拒绝服务 (DoS) 攻击或者发送垃圾邮件和钓鱼邮件。

告诉你一个最简单的方法：当你感觉中毒之后，打开任务管理器，看看那个进程是你不知道的，那就肯定是病毒，把这个进程结束即可。不过这个法子只能对付小病毒，遇到厉害的病毒我劝你还是去重装系统吧。

那个大哥告诉我病毒怎么呀.我很想学习木马跟病毒呀. ..刚开始怎么学？

如果是想自己编的话建议先学好基础吧,必经没有一定的积累要想编出复杂的＊＊是很难的。如果是想要使用的话到网上买吧，网上鸽子很便宜而且包教会,一般好的鸽子向360这样的一般都能穿。建议楼主不要尝试做任何有损于国家或他人的事情，要知道不管你做什么都会留下蛛丝马既的。以上仅用于技术交流

需要了解一下病毒和木马,高手请进来给我讲一下!

没有这么多废话，木马还是病毒只看他的意图与行动方式，窃取文件就是木马，具有猛传染力与高破坏性的就是病毒，那些无意义存在只是复制复制的就是蠕虫，Trojan—特洛伊木马总称，Backdoor，懒得废话了，

什么专业学习病毒木马

计算机没有这样的专业。

但是可以这么说，会用计算机语言编程的人都会编写木马病毒，因为病毒本身也是一个程序，但这个程序和正常的程序运行结果不同而已，病毒运行的结果是具有某种破坏性的，如删除系统文件等。

我要学手工查杀木马病毒的方法

发现木马

由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如IE一般会打开连续的端口:1025，1026，1027等。

在DOS命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。

查找木马

要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:\windows\file.exe或load=c:\windows\file.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

手工清除木马

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“Ctrl+Alt+Del”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。

那么，如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年，而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。

首先，查进程。检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。

如果该木马改变了TXT、EXE或ZIP等文件的关联，那应把注册表改过来，如果不会改，那就把注册表改回到以前的，就可以恢复文件关联，可通过在DOS下执行“scanreg/restore”命令来恢复注册表，不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值，简单易用。

计算机病毒，木马的查杀及其原理？

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

请问学习电脑木马病毒需具备什么条件

反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：病毒前缀.病毒名.病毒后缀 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里糇诺牟《臼悄母霰渲帧? 下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

如何制造木马病毒

如何制造木马病毒

问题一：怎么制作木马病毒，望详细你的基本功很差，如果你真的想学，我给你教一种，你制作一个桌面快捷关机，然后用QICQ给对方发去，只要对方打开，对方页面会出现一个对话框，对话框里写着60秒自动关机，对方无论如何都关不了那个对话框，他的机子就要关机了，你可以附加文字，比如说“叫爷，不叫60秒关机。”对方以为是病都，呵呵！这个简单吧！你应该会作吧！shutdown.exe－S－T60－C叫爷，不叫关机。有啥不懂的追问我，现把你那5分给我，再追问我。

问题二：我想做个简单的木马病毒，怎么做，用什么软件你好！这就需要用到一款远程控制软件，例如灰鸽子等等有了这款远控软件需要有一个自己的动态域名然后用动态域名在远程控制软件上生成一个木马病毒这样你就可以发给别人，别人中罚木马病毒之后他的电脑完全就会被控制你就可以对他的电脑重启、关机等操作了不过我劝你最好还是打消这个念头即便是你拥有了远程控制软件成功生成了木马病毒给别人发过去也是无法起到任何作用的原因就是木马病毒不是免杀的现在的杀毒软件不是吃素的如果不是免杀的病毒给别人发过去杀毒软件立马就查杀了没什么作用最重要的就是你做的病毒免杀对方的杀毒软件查杀不出来是病毒这样就可以了但是不要抱幻想网上绝对不会出现免杀远控的有的打着名字的旗号捆绑后门病毒试想一下别人辛辛苦苦制作出来的免杀远控会轻易的给别人或者发布到网上么？况且免杀病毒最好不要发到网上否则能免杀一个星期左右的病毒发到网上估计第二天就被杀了本人纯手打觉得有帮助请采纳谢谢!!

问题三：木马病毒是怎么制造出来的呢？木马病毒就是一种程序，这种程序专偷染上病毒电脑的用户名和密码，从而盗取金钱！

问题四：怎么制作木马病毒5分这是个比较复杂的问题，病毒开发不同于普通应用开发，需要更广泛的和更深入的编成技术系统底层问题：截取屏幕、Hook鼠标键盘网络问题：涉及到拦截数据报文，加解密数据反侦测问题：隐藏进程…………学编程2~3个月，用Delphi之类的软件，一般就可以开发普通应用程序VC++最多6个月，也能搞出些东西但要搞病毒木马等，先学3年再考虑。

问题五：怎样制造一个木马病毒5分其实木马病毒也是我们程序员写出的一个程序，因为这个程序制作的目的，和工作的原理具有破坏性和感染性，所以就被定性为木马和病毒。

另外木马和病毒不是一个概念。

学习软件编程就可以制作木马。

淡然有一些黑客软件也是可以直接生成木马的，这个比较没有技术含量。一般会操作电脑的人都可以制作，这类木马一般很容易被查杀。要做加壳程序以逃避查杀。

问题六：怎么制造简单木马病毒朋友，你好！

怎么解答你这个问题我想了半天，一条一条来吧。

1、制作木马病毒是非法的，真心的奉劝不要参与制作，不要与法律要求所背驰。如果因为这个事

情，你被抓进去，你想想你的家庭会怎样？是不是得不偿失？

2、广大网民一定要有一个好的上网习惯，还要有一个好的上网环境，在安全软件的使用上多思考。建议大家使用腾讯电脑管家，他有全国最大最全的钓鱼网站、木马网站数据库，可以有效防止大家被骗。

问题七：木马病毒怎么制作你懂的电脑程序编程吗，其实所谓的木马病毒也就是非法程序，如果你不懂编程和你说是对牛弹琴，不要害人了～还是研究一下怎么把你的人生搞个木马吧，让自己多活几年长命百岁吧！（忠告哦！）

问题八：木马病毒怎么制作佛日不能说不可说不敢说，说就是错。

问题九：怎么制作木马病毒先下几个木马病毒