木马程序

木马程序（共4篇）

木马程序 篇1

要防止木马的入侵、破坏，首先我们要了解木马传播的目的及危害过程。木马的制作者想尽一切办法传播木马，只是为了获得更多的电脑“肉鸡”(即一台中了木马的电脑)以达到木马制作者或传播者的其它目的。目前网上流行的木马均为远程控制类，中了木马的电脑会被传播者掌握最高权限，换句话说就是传播者拥有管理员权限，可以任意操控你的电脑。用户的各种账户、密码、重要文件等完全暴露无遗。一旦被攻击者利用，将会给用户带来巨大的损失。但是不管木马怎么隐藏，木马始终会在电脑里留下痕迹。稍微注意一下就能将木马清除杀灭。这里我要补充一点，有些专业的木马制作者会对自己的木马做出免杀(对木马进行改造，使其逃避杀毒软件的监测)，而且经常更新，让杀毒软件出现漏杀。所以不要以为杀毒软件是万能的，杀毒软件相对于病毒本身就是滞后的。木马在电脑中隐藏着，但是他们必须运行才能达到制作者的各种目的。这就需要把自身加入到系统启动项目。常见的木马如：灰鸽子、上兴远控等，都会在系统的服务里面加入启动项。这时，我们就不难发现木马的影踪，从而找到它，清除它。

要彻底地防范木马的入侵，我们一定要在日常生活工作中使用计算机时注意以下几个方面。

1 使用正版软件，及时更新系统安全补丁

苍蝇不叮无缝的蛋。绝大多数被攻击的计算机都是因为没有及时打补丁，才会被木马、病毒有机可乘的，打上相应的补丁之后，自然就没那么容易被木马、病毒入侵了。

2 安装防火墙和反病毒软件，并实时更新病毒库

一款好的杀毒软件，可以让你避免相当大一部分的木马、病毒的危害，系统从此就多了一层保护屏障。自然好的杀毒软件就显得非常重要了。比如卡巴斯基、诺顿、360安全卫士(辅助工具)、瑞星杀毒软件、瑞星个人防火墙、金山毒霸、江民、天网等。

3 密码不要太过于简单，设置复杂的密码

密码设置过于简单，或者使用有特别意义的数字(比如：生日、电话等)作为密码，容易被密码心理学或者社会工程学破解导致帐号被盗。

4 不乱上危险网站，不接受不明信息来源的文件

现在被挂有网页木马的网站越来越多，不要随便打开来历不明的网站，也不要随便接收来历不明的邮件等。防止木马入侵电脑，轻易地拒木马、病毒于千里之外。

5 不要随便运行可执行文件

对于可执行文件，我们可以用以下方法进行检测、防范。

平时运行网络上下载的文件的时候一定要慎重，特别是.exe后缀的文件运行要特别慎重。

简单的目测，这种方法较为简单，一般文件下载到电脑里后基本为压缩文件也就是rar格式。首先双击打开，把里面的文件拖到桌面，如果含有exe执行文件必须提高警惕。exe分为两种：一种是可执行文件，另一种是winrar的自解压包，从图标可以看出来。这两种文件都是木马传播者常用的放马手段，winrar自解压文件可以单击右键，选择用winrar打开。如果有脚本命令：

例：脚本中有setup=c.exe，意思就是解压后自动运行压缩包里的c.exe这个文件。如果c.exe这个文件为木马或者病毒的话，就会被植入计算机。

另外一些文件，如：

可执行文件.bat.pif.scr.cmd.com等。

可以带直接运行脚本的：htm chm html asp htt等。

.wav.mp3、.mid、.doc等。

这些类型的文件也有可能被人捆绑木马，我们在打开的时候也要注意查毒。

6 禁止光盘或者U盘以及移动硬盘的自动运行

网上流行的U盘病毒就是通过自动运行来入侵电脑的，所以一定要关闭硬件的自动播放功能。

方法1：开始-运行-services.msc，找到Shell Hardware Detection项，把启动方式改成禁用即可。

方法2：开始-运行-regedit，找到HKEY_LOCAL_MACHINE_SYSTEM CurrentControlSetServic esCdrom项，将其下Autorun字符串的值由原来的1更改为0。然后展开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre nt VersionPoliciesExplorer，将其下的NoDriveTypeAutoRun字符串的值更改为十六进制值ff。这样就分别关闭了光盘和其它硬件的自动运行功能。

7 电脑每次开机的时候尽量检查一下系统

养成良好的习惯，电脑在开机的时候用心的检查一下系统是否安全，少则三五天、多则半月，检查下系统的进程、启动项、系统服务，另外还有端口，最好借助杀毒软件进行全盘扫描，让病毒、木马无处藏身。

7.1 系统启动项检查

检查启动项目，比如系统配置实用程序，看启动栏里有没有陌生的启动项等，如果懂些注册表知识，就可以手工去查下几个容易被木马隐藏的键值。比如

7.2 系统进程检查

检查系统进程，一般Ctrl+Alt+Del调出任务管理器即可，进程里会显示所有系统中正在运行的程序的信息。对于有经验的用户来说。很容易就能看出来是否有可以进程，是否是木马程序。这也需要大家对自己的电脑日常运行的程序有一定的了解，做到心中有数，才能及时的处理。

7.3 系统服务项检查

另外，对系统服务项也要进行检查。右键单击我的电脑。选择管理，会弹出计算机管理页面。选择服务,就会打开计算机的服务页面。

仔细的查看服务中已启动的。或者是启动类型为自动的服务项。如果发现比如：windows_rejoice,GrayPigeonServer，等等这样的服务名的话，那么就是中木马了。解决办法：首先立刻双击此服务，选择停止。然后查看可执行文件的路径，删除。记住此服务名，点击开始-运行-cmd。打开dos窗口，直接输入命令：sc delete服务名，比如上兴远控的服务名为windows_rejoice，那就输入命令sc delete windows_rejoice。如果操作正确，服务里面的木马服务会被删除掉，刷新以后便不再显示。当然木马的服务名可以由木马制作者任意的更改，这就需要大家对自己的电脑多留心的观察。积累经验，以分清哪些是系统服务，哪些是木马的服务。

7.4 端口检查

检查系统服务项后，就开始检查端口。开始-运行-cmd-然后输入netstat-an，查看有没有外部IP连接你的电脑，确认无误后，就可以放心地上网了。

8 不用电脑的时候最好关机

离开电脑的时候最好关机，或者设置好屏幕保护密码。因为如果你离开了电脑，一旦别人动你电脑，不小心或者有意给你中木马，这个也得防范。

9 定期备份系统及重要资料

即便我们打好补丁、安装了杀毒软件，养成良好的上网习惯也不能保证一定能够避免木马、病毒的入侵，系统补丁和病毒库都是明显滞后于病毒、木马。因此，我们要为系统做好备份。虽然系统备份不是万能的，但是有个备份，一旦资料或者系统被木马、病毒损坏，我们就可以借助备份文件来恢复我们的系统和重要资料。一些还原软件也是可以考虑的。比如用promagic或者ghost来备份系统也是个不错的选择。

认真严格做到以上几点安全措施，严防木马的入侵，在平时的使用中检查维护好自己的计算机系统。这样，我们就能把木马的危害降到最低，还大家一个安全的上网环境。

参考文献

[1]李俊民,郭丽艳.网络安全与黑客攻防宝典[M].北京:电子工业出版社,2010.

[2]朱建军,熊兵.网络安全防范手册[M].北京:人民邮电出版社,2007.

[3]秉辉,Jonh Hawke.黑客技术攻防擂台木马任务大作战[M].北京:科学出版社,2008.

[4]http://www.hackbase.com/.

浅谈计算机病毒与木马程序 篇2

关键词：计算机；病毒；木马；程序；网络；杀毒

0 前言

计算机技术及计算机网络在近些年来发展尤其迅速，计算机网络已经成为人们生产、生活不可或缺的一部分，也是国家进行各项建设的有力工具。但是任何事物都有其双面性，计算机和计算机网络能给人们带来便利，同时其自身的安全性又给人们带来新的困扰，计算机病毒与木马程序是计算机和计算机网络的主要威胁之一^[1]。

在计算机和计算机网络被大范围应用的同时，人们的计算机和网络也更加频繁的受到病毒和木马程序的攻击和破坏。现在的计算机网络用户日益增多，计算机网络的压力越来越大，许多黑客利用计算机自身弱点和计算机网络的漏洞，通过病毒和木马对计算机和计算机网络进行攻击，并且这些病毒和木马种类数量繁多，会使计算机用户的计算机或者网络出现故障，影响其正常使用。由于网络信息流通性非常快，而且具有一定的开放新，所以计算机病毒和木马程序传播速度会非常快，如果不积极采取防护措施，很可能影响整个网络的正常使用。

1 计算机病毒与木马程序

计算机病毒和木马程序严格意义上将是两种不同的区别，两者有着各自的特点^[2]。

1.1计算机病毒程序病毒程序

我国规定计算机病毒能够在计算机中不断的进行自我复制，而且可以按照编织者编写意图对中毒计算机功能或者数据进行破坏，影响计算机正常使用的一组指令或者程序代码，计算机病毒程序有很强的繁殖能力、破坏能力和传染能力，并且有一定的潜伏性、隐蔽性和可触发性。计算机病毒能够在一定的条件下发作，如制定时间、关闭电源、打开某些软件等，计算机病毒程序还有较好的潜伏性和隐蔽性，病毒通常不能够容易被用户所发觉，它能够单独存在也能够“寄生”在计算机的某些程序之中，一旦病毒发作会对计算机或者计算机网络造成破坏和攻击，影响用户计算机正常使用。

计算机病毒的产生实际意义上是以自我保护和对盗版软件使用者进行打击为意图的，在1986年巴基斯坦兄弟两巴斯特和阿姆捷特两人为了保护自身正版软件，并且惩罚盗版他们软件的人，研制了一种能够吞噬拷贝者计算机硬盘剩余空间的病毒，这是真正意义上第一个流行的病毒。但是并不是所有病毒都会对计算机或者计算机网络进行攻击和破坏，有的病毒只是实质性的存在或者进行传播，并不会造成任何影响如，玩笑病毒和良性病毒等。计算机病毒程序传播途径也很多，最容易和快速的传播是通过网络，其次是传输设备（U盘、移动硬盘），光盘也能够进行病毒的传播。现在较为流行的病毒传播方法为“钓鱼网”，这种“钓鱼网”通常是不法分子自己建立的网站，伪造成某些官方网站的样子，让许多用户难以分辨出真假，然后进行一些游戏、购物等页面的布置，骗取个人账号和密码，使登陆着的隐私泄露，甚至造成财产损失。计算机病毒程序的产生困扰着许多的计算机用户，导致信息和资源的传播、分享受到阻碍，甚至破坏计算机用户和计算机网络的性能和正常运作。

1.2计算机木马程序

木马程序是为了某些特定目的进行编写的，并且偷偷植入目的计算机中的程序中的总称，其名称来源于希腊神话“特洛伊木马”，后来希腊人使用了一个计策，用木头造一些大的木马，空肚子里藏了很多装备精良的勇士，然后佯装又一次攻打失败，逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜，木马肚子里的勇士们都悄悄的溜出来，和外面早就准备好的战士们来了个漂亮的里应外合，一举拿下了特洛伊城。这就是木马的来历。从这个故事，我们很容易联想到木马程序的作用，现在的木马通常是黑客用于对目的计算机进行远程控制，并且能够对用户的资料、信息进行破坏和窃取。计算机木马程序破坏性非常大，受到人们的重视，现在国内较为知名并且影响范围较广的木马有，“熊猫烧香”、“黑洞”、“广外女孩”等。

木马程序一般包括两个部分，即木马服务端和控制端，服务端指的是远程控制计算机，控制端指通过网络和软件向地方计算机发布指令的部分。木马传播方法较多，最为普遍的有利用电子邮件进行传播，通过用户下载文件或者软件进行传播，利用网页进行传播如钓鱼网，还有就是利用各种交流工具进行传播，国内最为常见的聊天工具为QQ、ICQ、YY语音等。计算机受到木马攻击的一些征兆表现为，计算机频繁重新启动、死机，硬盘被频繁访问或者数据丢失、数据和资料被更改，系统反应速度很慢，系统资源被占用和侵蚀等。计算机木马程序虽然没有病毒程序那样的传染能力，但是其破坏性非常大，对个人信息、隐私，对国家安全、机密的威胁都非常大，较为著名的木马程序有，“冰河”、“灰鸽子”、“小熊宝宝”、“网游猎手14合一”等。

2 计算机病毒与木马的防御措施

由于计算机病毒和木马程序的破坏性较大，会对计算机用户和计算机网络进行破坏，造成较大的损失，所以要对计算机病毒和木马程序进行防御和消除^[3]。

2.1计算机病毒程序防御措施

（1）安装杀毒软件，进行实时监测

目前计算机用户大多会安装杀毒软件和实时防护检测软件，对计算机进行保护，这种方法对病毒的预防和查杀较为直观和便捷。安装完杀毒软件并且启动使用时，能够对电脑已存在的病毒进行检测并且查杀，对即将入侵的病毒及时防范，做到防范于未然。

（2）及时升级系统和进行漏洞修复

目前病毒更多的是通过系统和软件的漏洞对计算机用户的数据和资料进行篡改、破坏或者攻击，并且开始传播，所以要对系统进行及时的升级，定期进行漏洞扫描，一旦发现漏洞立即修复漏洞，不给病毒入侵的机会。现在WINDOWS操作系统会进行定期的升级，主要也是进行系统的漏洞修复，否则会使系统很容易受到病毒的攻击。

（3）正确安装系统、软件，绿色上网

计算机用户安装系统和软件要尤其注意，不能忽视每一个细节，由于某些软件和系统自身已经有病毒的存在，在安装后病毒后对计算机或者网络进行攻击。而且在上网时我们要提倡绿色上网，不浏览不正当和不合法网页、网站等，仔细辨别钓鱼网等不法网站。

2.2计算机木马程序防御措施

计算机木马程序防御措施除了病毒防御的几种方法之外，计算机用户还要规范、谨慎上网，不轻易接受陌生人发来的信息，不打开和浏览匿名邮件，对于非法软件和网页要谨慎进入，以防止被黑客的病毒和木马入侵。计算机木马程序预防需要格外受到重视，它的破坏性较强，造成的损失也不能用实际的数据来估计，所以要对木马程序进行严格预防和查杀。

3 结束语

计算机病毒与木马程序是威胁计算机用户和计算机网络的重要因素之一，对个人和集体的信息、资料、利益造成破坏较大。所以我们要严厉打击病毒和木马的传播行为^[4]，规范计算机网络，净化计算机网络环境，才能够使互联网技术和计算机技术能够更好的为人们服务，使信息更好的得到传递和交流，为人类创造更大的价值。（作者单位：华中科技大学文华学院）

参考文献：

[1]李剑， 刘正宏， 沈俊辉， 计算机病毒防护[TP]， 北京邮电大学出版社， 2009.06.01.

[2]张友生， 计算机病毒与木马程序剖析， 北京科海电子出版社， 2003.0.3.01.

[3]《黑客防线》编辑部， 木马技术揭秘与防御[TP]， 电子工业出版社， 2011.09.01.

木马程序 篇3

程序隐形的原理

对于一个隐形程序而言,最基本的要求是:

1、不在桌面出现界面;

2、不在任务栏出现图标;

3、程序名从任务管理器名单中消失。

对于上述第一点,可以将Form的Visible属性设为False。

要将图标从任务栏中屏蔽掉,可以把Form的Show InTask Bar改为False。

在Windows环境下,可以调用WIN API函数中的Registervice Process来实现第三个要求。

上述功能,不论用VC、Delphi、VB,还是PB等任何一种高级编程语言都是比较容易实现的。

隐形功能多用于木马程序,但木马程序在许多国家和地区是不合法的,为便于理解,本文用VB结合一个程序防拷贝的实例来讲解。通过获取软件安装路径所在磁盘序列号(磁盘ID),用做对合法用户的判断。以下程序的目的是用于讲解隐形程序的编制和应用,对程序防拷贝内容作了一定程度的简化。

程序隐形的示例

程序的具体编制操作如下:

1、在VB6.0编程环境中,新建一个工程Project1。

2、在Project1中添加模块Modulel,在工程属性中将工程名称改为Hidden Men,应用程序标题也改为Hidden Men(以下程序都经过实际运行测试,可以原样复制使用)。

在模块Module1中加入如下声明:

Public Declare Function Get Current Process Id Lib“kernel32”()As Long

’获得当前进程ID函数的声明

Public Declare Function Register Service Process Lib“kernel32”(By Val Process Id As Long,By Val Service Flags As Long)As Long

’在系统中注册当前进程ID函数的声明

3、在Project1中新建一个窗体Form1,设置Form1的属性:

form1.Visible=False

form1.Show In Task Bar=False

在代码窗口添加如下代码:

Private Declare Function Get Drive Type Lib“kernel32”Alias“Get Drive Type A”(By Val n Drive As String)As Long

’获得当前驱动器类型函数的声明

Private Declare Function Get Volume Information Lib“kernel32”Alias“Get Volume Information A”(By Val lp Root Path Name As String,By Val lp Volume Name Buffer As String,By Val n Volume Name Size As Long,lp Volume Serial Number As Long,lp Maximum Component Length As Long,lp File System Flags As Long,By Val lp File System Name Buffer As String,By Val n File System Name Size As Long)As Long

’获得当前驱动器信息函数的声明

Private Sub Form_Load()

Dim drive_no As Long,drive_flag As Long

Dim drive_chr As String,drive_disk As String

Dim serial_no As Long,kkk As Long

Dim stemp3 As String,dflag As Boolean

Dim strlabel As String,strtype As String,strc As Long

Register Service Process Get Current Process Id,1’从系统中取消当前进程

strlabel=String(255,Chr(0))

strtype=String(255,Chr(0))

stemp3=“172498135”’这是作者C盘的序列号(十进制),读者可根据自己情况更改。

dflag=False

For drive_no=0 To 25

drive_disk=Chr(drive_no+67)

drive_chr=drive_disk&“:”

drive_flag=Get Drive Type(drive_chr)

If drive_flag=3 Then

kkk=Get Volume Information(drive_chr,strlabel,Len(strlabel),serial_no,0,0,strtype,Len(strtype))’通过Get Volume Information获得磁盘序列号

Select Case drive_no

Case 0

strc=serial_no

End Select

If serial_no=stemp3 Then

dflag=True

Exit For

End If

End If

Next drive_no

If drive_no=26 And dflag=False Then’非法用户

Go To err:

End If

Msg Box(“HI,合法用户!”)

Exit Sub

err:

Msg Box(“错误!你的C:盘ID号是”&strc)

End Sub

Private Sub Form_Unload(Cancel As Integer)

Register Service Process Get Current Process Id,0’从系统中取消当前程序的进程

End Sub

将上述程序代码编译后运行,在出现类似“错误!你的C盘ID号是172498135”对话框时,按下Ctrl+Alt+Del键,看看程序名叫“Hidden Men”是否在任务管理器名单列表里。如果把上述程序稍加改动,可以加到自己特定的程序中去。该程序在隐形运行之中,不知不觉就完成了预定功能。

以上程序在简体中文Windowsxp和VB6.0环境中调试通过。

摘要：本文介绍了隐形程序的基本要求,详细的阐述了用VB实现“木马”式隐形运行程序的过程及方法。

木马程序 篇4

春节长假过后是各大企业招聘的高峰期, 大量求职人员上网查询企业招聘用工的相关事宜, 访问一些地方门户网站、人才类网站、企业官网和招聘论坛, 互联网络中求职者访问招聘Web网站的频率大大增高。由于这些网站的安全系数较低, 往往很容易被恶意攻击者利用, 黑客借助这些Web网站存在的诸多漏洞进行网页挂马, 植入恶意木马程序。

一旦求职者访问了被挂马的招聘网站, 就会受到恶意木马的入侵感染, 从而受到恶意攻击者的远程控制, 造成计算机用户系统中重要数据文件被窃取、网上交易的账户和密码等信息丢失。

据专家介绍, 这些恶意木马的传播大部分是利用网页挂马的形式, 将恶意特征代码强行嵌入到受攻击入侵的Web网页代码中, 使得计算机用户很难识别这些已经被挂马的Web网页。一旦计算机用户访问这个含有恶意代码的Web网页, 操作系统就会在后台按照这段恶意代码的指令进行一系列的破坏行为, 诸如:跳转到指定的网络服务器下载木马、病毒等恶意程序等。