木马病毒传染源（感染性木马病毒）-黑客业务

一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使是这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果，会引起操作异常，甚至导致系统崩溃。另外，许多病毒包含大量错误，这些错误可能导致系统崩溃和数据丢失。

可识别的病毒类型有五种：

文件传染源病毒：文件传染源病毒感染程序文件。这些病毒通常感染可执行代码，例如 .com 和 .exe 文件。当受感染的程序从软盘、硬盘或网络上运行时，可以感染其他文件。这些病毒中有许多是内存驻留型病毒。内存受到感染之后，运行的任何未感染的可执行文件都会受到感染。已知的文件传染源病毒示例包括 Jerusalem 和 Cascade。

引导扇区病毒：引导扇区病毒感染磁盘的系统区域，即软盘和硬盘的引导记录。所有软盘和硬盘（包括仅包含数据的磁盘）的引导记录中都包含一个小程序，该程序在计算机启动时运行。引导扇区病毒将自身附加到磁盘的这一部分，并在用户试图从受感染的磁盘启动时激活。这些病毒本质上通常都是内存驻留型病毒。其中大部分是针对 DOS 编写的，但所有 PC 机（无论使用什么操作系统）都是此类病毒的潜在目标。只要试图用受感染的软盘启动计算机就会被感染。此后，由于病毒存在于内存中，因此访问软盘时，所有未写保护的软盘都会受到感染。引导扇区病毒示例有Form、Disk Killer、Michelangelo 和Stoned。

主引导记录病毒：主引导记录病毒是内存驻留型病毒，它感染磁盘的方式与引导扇区病毒相同。这两种病毒类型的区别在于病毒代码的位置。主引导记录感染源通常将主引导记录的合法副本保存在另一个位置。受到引导扇区病毒或主引导扇区病毒感染的 Windows NT 计算机将不能启动。这是由于 Windows NT 操作系统访问其引导信息的方式与 Windows 95/98 不同。如果 Windows NT 系统用 FAT 分区格式化，通常可以通过启动到 DOS 系统，并使用防病毒软件来杀除病毒。如果引导分区是 NTFS，则必须使用三张 Windows NT 安装盘才能恢复系统。主引导记录感染源示例有 NYB、AntiExe 和 Unashamed。

复合型病毒：复合型病毒同时感染引导记录和程序文件，非常难以修复。如果清除了引导区，但未清除文件，则引导区将再次被感染。同样，只清除受感染的文件也不能完全杀除该病毒。如果未杀除引导区的病毒，则清除过的文件将被再次感染。复合型病毒示例包括 One_Half、Emperor、Anthrax 和 Tequilla。

宏病毒：这种类型的病毒感染数据文件。它们最常见，修复它们占用的公司财力和时间也最多。随着 Microsoft Office 97 中 Visual Basic 的出现，编写的宏病毒不仅可以感染数据文件，还可以感染其他文件。宏病毒可以感染 Microsoft Office Word、Excel、PowerPoint 和 Access 文件。现在，这类新威胁也出现在其他程序中。所有这些病毒都使用其他程序的内部程序设计语言，创建该语言的原意是使用户能够在该程序内部自动执行某些任务。这些病毒很容易创建，现在传播着的就有几千种。宏病毒示例包括 W97M.Melissa、WM.NiceDay 和 W97M.Groov。

什么是特洛伊木马？

特洛伊木马是具有欺骗性的文件（宣称是良性的，但事实上是恶意的）。特洛伊木马与病毒的重大区别是特洛伊木马并不像病毒那样复制自身。特洛伊包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件。PWSteal.Trojan 就是一个特洛伊木马。

什么是蠕虫？

蠕虫是不使用驻留文件即可在系统之间复制自身的程序。这点与病毒不同，病毒需要传播受感染的驻留文件。尽管蠕虫通常存在于其他文件（通常是 Word 或 Excel）内部，但蠕虫和病毒使用驻留文件的方式不同。通常，蠕虫将发布其中已包含“蠕虫”宏的文档。整个文档将在计算机之间传播，所以应将整个文档视为蠕虫。PrettyPark.Worm 是常见示例。

什么是病毒谎报？

病毒谎报是消息，几乎总是通过电子邮件发送，其危害不比连锁信件大多少。这些谎报中常用的短语包括：

如果收到标题为 [此处为电子邮件病毒谎报名称] 的电子邮件，不要打开！

立即删除！

其中包含 [谎报名称] 病毒。

它将删除硬盘上的所有内容，并 [此处极尽所能地渲染其危险]。

此病毒今天由 [此处为著名组织名称] 发布。请将此警告转发给您认识的所有人！

大多数病毒谎报警告不会偏离此模式太远。如果不确定病毒警告是合法的还是谎报，还可以从下列地址获得其他信息：

http://www.symantec.com/avcenter/hoax.html（英文）

什么不是病毒？

因为病毒如此受到公众观注，人们容易将任何计算机问题都归咎于病毒。病毒或其他恶意代码不太可能引起下列情况：

硬件问题。没有病毒可以物理损坏计算机硬件，例如芯片、主板和监视器。

计算机启动时发出蜂鸣声，并且没有屏幕显示。这通常是由于启动期间的硬件问题引起的。请参阅计算机文档，了解蜂鸣代号的含义。

计算机不注册 640 K 常规内存。这可能是病毒的标记，但并不绝对。.有些硬件驱动程序（例如监视器或 SCSI 卡的驱动程序）可以使用部分常规内存。请咨询计算机制造商或硬件供应商，确定是否属于这种情况。

安装了两个防病毒程序，其中一个报告有病毒。这可能是病毒，但也可能是由于一个防病毒程序在内存中检测到另一个程序的签名。有关其他信息，请参阅文档：是否应该同时运行多个防病毒程序？（英文）

使用 Microsoft Word 时，Word 警告文档中包含宏。这并不意味着此宏是病毒。

打不开特定文档。这并不意味着一定有病毒。尝试打开其他文档，或者问题文档的备份。如果其他文档打开正常，则可能是该文档被损坏了。

更改了硬盘驱动器的卷标。每个磁盘有一个卷标。可以使用 DOS Label 命令或从 Windows 内部指定磁盘卷标。

运行 ScanDisk 时，NAV 自动防护报告类病毒活动。以下是两个可能的解决方案：

禁用自动防护

1. 启动 NAV，暂时禁用自动防护

2. 运行 ScanDisk，让其修复错误。

3. 重新启用自动防护。

更改 ScanDisk 选项

1. 启动 ScanDisk，并选择运行完全扫描。

2. 单击“选项”。

3. 取消选中“不执行写测试”。

4. 重新运行 ScanDisk。

病毒是破坏计算机系统的恶意代码，木马是黑客用来控制别人计算机的一种工具，这两个是不一样的

--------------------------------------------------------------------------------

木马病毒的名称来自于希腊神化《木马屠城记》中那只有名的木马，因此又被叫做“特洛伊木马”。完整的木马病毒程序一般由两个部分组成，一个是服务器程序，一个是控制程序，被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马，就如同你的家被人偷偷的装上了后门一样，将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件，做系统管理员才能做的工作（例如格式化磁盘），你的计算机上的所有文件、程序，以及在你使用到的所有帐号、密码都会被别人轻松的窃走。

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有：

伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马

伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马

把自己绑定在正常的程序上面，高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，一旦用户安装winzip程序，就会不知不觉地把木马种下去

伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象：

木马程序感染的对象是整台计算机。

计算机病毒?

《中华人民共和国计算机信息系统安全保护条例》中，将计算机病毒（以下简称为病毒）明确定义为：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

从以上定义中我们可以看出：

病毒是一种特殊计算机程序

病毒通常寄生在别的程序中

病毒具有恶意

病毒具有自我复制的功能

病毒的特性

通常病毒具有以下一些共性：

1.传染性

传染性是病毒的最基本特征，是指病毒将自身复制到其它程序中，被感染的程序成为该病毒新的传染源。

2.隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序，它通常附在正常程序中或磁盘较隐蔽的地方，个别的还以隐含文件的形式出现，它的存在、传染和对数据的破坏过程用户很难察觉。

3.潜伏性

大部分的病毒感染系统后不会马上发作，而是长期隐藏在系统中，只有在满足特定条件时才发作，这样它可以广泛地传播，潜伏时间越久，传播的范围也就越广。

4.触发性

病毒的发作一般都有一个激发条件，即只有在一定的条件下，病毒才开始发作，这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等等。

5.破坏性

病毒在发作时，立即对计算机系统运行进行干扰或对数据进行恶意的修改，病毒破坏性的大小完全取决于该病毒编制者的意愿。

木马和病毒是什么关系？有什么区别？

木马是病毒的一种。

木马：在计算机领域中，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

病毒：计算机病毒的特点，计算机病毒具有以下几个特点：

（1）寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

（2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序；

（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等；

（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

（5）破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏；

（6）计算机病毒的可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

五、计算机病毒分类，根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：

按照计算机病毒存在的媒体进行分类根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

”隐身僵尸“木马病毒中了会怎样？它的病毒行为是什么？？？

“隐身僵尸”现身 360发布红色紧急追杀令

近日，一款名为“隐身僵尸”的木马程序正在泛滥，目前已经有大量网民中招。据悉，该木马正处于潜伏期，中招的电脑并无明显不适的症状，其目的是为了更好的隐藏在用户电脑中伺机偷窃。据360安全中心透露，由于此木马采用了非常狡猾的躲藏方式，目前国内所有杀毒软件都无法查杀该木马。360安全中心已经在第一时间内发布了专杀工具，用户可以登录下载使用。

据悉，360安全中心近期接到的举报有60%是来自于“隐身僵尸”，估计目前被感染的用户已经达到了200万。起初，中招的电脑会弹出6.cn/xxxx网页以及一些广告页面，后进入潜伏期。 “隐身僵尸”木马会在用户开机启动的时候开始运行，并在硬盘上删除所有的文件，只是在进程中存在，而在用户关机的同时，又将自己的文件全部写入硬盘，此招数是专门为躲避杀毒软件的追杀而设计的。而此木马的制作思路和my123非常相似，疑似my123的升级作品。

据奇虎360个人软件事业部总经理傅盛表示，该木马的目的是长期潜伏在用户电脑中，以达到进一步偷窃用户隐私和帐号密码等目的，虽然该木马目前并未有明显危害用户电脑的行为，但是一旦爆发，后果不堪设想。并且，中毒的电脑还将成为它进一步扩散的传染源。而360的专杀工具中采用了独创的“破冰”技术，能够最大限度的保证对该木马以及其变种的追杀。

--------------------------------------------------------------------------------------------------------------------------

"隐身僵尸木马"专杀工具下载地址：

http://dl.360safe.com/InvBotKiller.exe

木马病毒传染源

计算机病毒和木马的工作原理和过程（好的追加200）

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

QQ盗号木马是怎么传播的？

病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存，并设置触发条件，触发的条件是多样化的，可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中，进行各种破坏活动等。

病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。

盗号木马是具有盗取QQ帐号能力的木马病毒。浏览带有盗号木马病毒的网站时或者打开带有木马病毒的文件时，它会入侵计算机，伺机盗取QQ密码。

预防方法：

1、为QQ号码申请密码保护；

2、不登陆来路不名的网站，不点击来历不名的链接；

3、防止木马入侵电脑，及时安装杀毒软件；

4、使用复杂密码，并尽量避免QQ密码和您在其他网站使用的密码相同，如：符号+大写字母+小写字母+(自己的生+手机号；

5、提高其他方面的安全意识；

6、玩腾讯类网游时，不使用外挂；

7、不进行任何的所谓刷钻、刷Q币业务；

方法一：使用 QQ医生在线版修复系统漏洞；

方法二：在微软的官方网站更新Windows安全补丁，需要正版Windows。

大家谈谈木马和病毒的联系和区别

病毒、蠕虫与特洛伊木马之间的区别？

情形

希望了解有关计算机病毒的更多信息及其与特洛伊木马、蠕虫和谎报的不同。

解释

术语“病毒”通常用作任何恶意代码的通称，该恶意代码事实上并不是真正的计算机病毒。本文将讨论病毒、特洛伊木马、蠕虫和谎报及其防止方法。

什么是病毒？

计算机病毒是编写的小程序，它可以在未经用户许可，甚至在用户不知情的情况下改变计算机的运行方式。病毒必须满足两个条件：

它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。

它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。

可识别的病毒类型有五种：

什么是特洛伊木马？

什么是蠕虫？

什么是病毒谎报？

病毒谎报是消息，几乎总是通过电子邮件发送，其危害不比连锁信件大多少。这些谎报中常用的短语包括：

如果收到标题为 [此处为电子邮件病毒谎报名称] 的电子邮件，不要打开！

立即删除！

其中包含 [谎报名称] 病毒。

它将删除硬盘上的所有内容，并 [此处极尽所能地渲染其危险]。

此病毒今天由 [此处为著名组织名称] 发布。请将此警告转发给您认识的所有人！

大多数病毒谎报警告不会偏离此模式太远。如果不确定病毒警告是合法的还是谎报，还可以从下列地址获得其他信息：

http://www.symantec.com/avcenter/hoax.html（英文）

什么不是病毒？

因为病毒如此受到公众观注，人们容易将任何计算机问题都归咎于病毒。病毒或其他恶意代码不太可能引起下列情况：

硬件问题。没有病毒可以物理损坏计算机硬件，例如芯片、主板和监视器。

计算机启动时发出蜂鸣声，并且没有屏幕显示。这通常是由于启动期间的硬件问题引起的。请参阅计算机文档，了解蜂鸣代号的含义。

使用 Microsoft Word 时，Word 警告文档中包含宏。这并不意味着此宏是病毒。

打不开特定文档。这并不意味着一定有病毒。尝试打开其他文档，或者问题文档的备份。如果其他文档打开正常，则可能是该文档被损坏了。

更改了硬盘驱动器的卷标。每个磁盘有一个卷标。可以使用 DOS Label 命令或从 Windows 内部指定磁盘卷标。

运行 ScanDisk 时，NAV 自动防护报告类病毒活动。以下是两个可能的解决方案：

禁用自动防护

1. 启动 NAV，暂时禁用自动防护

2. 运行 ScanDisk，让其修复错误。

3. 重新启用自动防护。

更改 ScanDisk 选项

1. 启动 ScanDisk，并选择运行完全扫描。

2. 单击“选项”。

3. 取消选中“不执行写测试”。

4. 重新运行 ScanDisk。

病毒是破坏计算机系统的恶意代码，木马是黑客用来控制别人计算机的一种工具，这两个是不一样的

--------------------------------------------------------------------------------

传播方式：

木马程序通常通过伪装自己的方式进行传播，常见的伪装方式有：

伪装成小程序，通常会起一个很诱人的的名字，例如“FlashGet破解程序”，用户一旦运行这个程序，就中了木马

伪装成网页，网页的链接通常会起一个十分暧昧的名字，诱使用户去点击它，用户一旦点击了这个链接，就中了木马

伪装成邮件附件，邮件主题可能会是“好消息”，“你想赚钱吗？”等等，一旦你好奇的打开附件，木马就安置在了你的计算机中

感染对象：

木马程序感染的对象是整台计算机。

计算机病毒?

从以上定义中我们可以看出：

病毒是一种特殊计算机程序

病毒通常寄生在别的程序中

病毒具有恶意

病毒具有自我复制的功能

病毒的特性

通常病毒具有以下一些共性：

1.传染性

传染性是病毒的最基本特征，是指病毒将自身复制到其它程序中，被感染的程序成为该病毒新的传染源。

2.隐蔽性

3.潜伏性

4.触发性

5.破坏性

病毒在发作时，立即对计算机系统运行进行干扰或对数据进行恶意的修改，病毒破坏性的大小完全取决于该病毒编制者的意愿。

木马会传染吗？

木马不传染,病毒传染，木马主要是盗取的密码及其他资料，而病毒是不同程度不同范围的影响电脑的使用,木马的作用范围是所有使用这台有木马的人在使用电脑时的资料,但是不会传染到其他机器,但是病毒可以随着软盘， U盘,邮件等传输方式或者媒介传染到其他机器.

严重不严重?我举个例子,你的机器中了木马,这个木马是盗取QQ密码的,那么只要有人在这台机器上登陆了自己的QQ,密码就会被盗.你觉得严重么?

电脑有了病毒,轻的话，就是影响你的电脑运行速度，或者是没完没了给你报各种垃圾信息，这都是小事情,重的，让你开不了机,你觉得严重么?

杀毒和杀木马要用不同的软件，比如金山毒霸,瑞星,诺顿,卡巴斯基这些软件是针对病毒的，但注意随时更新病毒库,而他们对木马无效.

杀木马的工具是专有的，比如金山的木马专杀，还有其他一些杀木马的工具,你也可以去搜索，但是,木马和病毒不同,有的时候即使用了这些软件也无法查杀一些木马，如果影响严重，只能重新做系统

我在WORD文档中插入对象表格成功，但表格只能在自己的电脑上打得开，发邮件给别人后别人却打不开

病毒定义

一、计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

病毒预防

首先，在思想上重视，加强管理，止病毒的入侵。凡是从外来的软盘往机器中拷信息，都应该先对软盘进行查毒，若有病毒必须清除，这样可以保证计算机不被新的病毒传染。此外，由于病毒具有潜伏性，可能机器中还隐蔽着某些旧病毒，一旦时机成熟还将发作，所以，要经常对磁盘进行检查，若发现病毒就及时杀除。思想重视是基础，采取有效的查毒与消毒方法是技术保证。检查病毒与消除病毒目前通常有两种手段，一种是在计算机中加一块防病毒卡，另一种是使用防病毒软件工作原理基本一样，一般用防病毒软件的用户更多一些。切记要注意一点，预防与消除病毒是一项长期的工作任务，不是一劳永逸的，应坚持不懈。

计算机病毒是在什么情况下出现的?

计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：

（1）计算机病毒是计算机犯罪的一种新的衍化形式

计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现；

（2）计算机软硬件产品的脆弱性是根本的技术原因

计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式, 效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便；

（3）微机的普及应用是计算机病毒产生的必要环境。

1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延，到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解的越来越清楚，不同的目的可以做出截然不同的选择。目前，在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。

预防病毒的八点注意事项

1、备好启动软盘，并贴上写保护。检查电脑的问题，最好应在没有病毒干扰的环境下进行，才能测出真正的原因，或解决病毒的侵入。因此，在安装系统之后，应该及时做一张启动盘，以备不时之需。

2、重要资料，必须备份。资料是最重要的，程序损坏了可重新拷贝或再买一份，但是自己键入的资料，可能是三年的会计资料或画了三个月的图纸，结果某一天，硬盘坏了或者因为病毒而损坏了资料，会让人欲哭无泪，所以对于重要资料经常备份是绝对必要的。

3、尽量避免在无防毒软件的机器上使用可移动储存介质。一般人都以为不要使用别人的磁盘，即可防毒，但是不要随便用别人的电脑也是非常重要的，否则有可能带一大堆病毒回家。

4、使用新软件时，先用扫毒程序检查，可减少中毒机会。

5、准备一份具有杀毒及保护功能的软件，将有助于杜绝病毒。

6、重建硬盘是有可能的，救回的机率相当高。若硬盘资料已遭破坏，不必急着格式化，因病毒不可能在短时间内将全部硬盘资料破坏，故可利用杀毒软件加以分析，恢复至受损前状态。

7、不要在互联网上随意下载软件。病毒的一大传播途径，就是Internet。潜伏在网络上的各种可下载程序中，如果你随意下载、随意打开，对于制造病毒者来说，可真是再好不过了。因此，不要贪图免费软件，如果实在需要，请在下载后执行杀毒软件彻底检查。

8、不要轻易打开电子邮件的附件。近年来造成大规模破坏的许多病毒，都是通过电子邮件传播的。不要以为只打开熟人发送的附件就一定保险，有的病毒会自动检查受害人电脑上的通讯录并向其中的所有地址自动发送带毒文件。最妥当的做法，是先将附件保存下来，不要打开，先用查毒软件彻底检查。

问答

计算机病毒寄生方式有哪几种?

（1）寄生在磁盘引导扇区中：任何操作系统都有个自举过程, 例如DOS在启动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如INT 13H中断（磁盘读写中断）向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如果磁盘没有被感染（通过识别标志）则进行传染。

（2）寄生在可执行程序中：这种病毒寄生在正常的可执行程序中, 一旦程序执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并在执行时首先执行它。这种病毒传染性比较强。

（3）寄生在硬盘的主引导扇区中：例如大麻病毒感染硬盘的主引导扇区, 该扇区与DOS无关。

病毒是怎么命名的?

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就蒙了，那么长一串的名字，我怎么知道是什么病毒啊？

其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了：一般格式为：病毒前缀.病毒名.病毒后缀

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前着名的CIH病毒的家族名都是统一的“ CIH ”，振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。

下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

(1)系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

(2)蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。

(3)木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

(4)脚本病毒

脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

(5)宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，以此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：着名的美丽莎（Macro.Melissa）。

(6)后门病毒

后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

(7)病毒种植程序病毒

这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。

(8)破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

(9)玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girl ghost）病毒。

(10)捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。

以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助

计算机病毒的工作过程应包括哪些环节?

计算机病毒的完整工作过程应包括以下几个环节：

（1）传染源：病毒总是依附于某些存储介质, 例如软盘、硬盘等构成传染源。

（2）传染媒介：病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。

（3）病毒激活：是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用－－自我复制到传染对象中, 进行各种破坏活动等。

（4）病毒触发：计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符，也可能是系统一次通信等等。

（5）病毒表现：表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。

（6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。

不同种类的计算机病毒的传染方法有何不同?

从病毒的传染方式上来讲, 所有病毒到目前为止可以归结于三类：感染用户程序的计算机病毒；感染操作系统文件的计算机病毒；感染磁盘引导扇区的计算机病毒。这三类病毒的传染方式均不相同。

感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用程序进行传染。这种病毒在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就链接在应用程序中, 完成传染, 返回正常的应用程序并继续执行。

感染操作系统文件的计算机病毒的传染方式，是通过与操作系统中所有的模块或程序链接来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。病毒进入内存后就判断是否满足条件时则进行传染。

感染磁盘引导扇区的病毒的传染方式, 从实质上讲Boot区传染的病毒是将其自身附加到软盘或硬盘的Boot扇区的引导程序中, 并将病毒的全部或部分存入引导扇区512B之中。这种病毒是在系统启动的时候进入内存中, 并取得控制权, 在系统运行的任何时刻都会保持对系统的控制, 时刻监视着系统中使用的新软盘。当一片新的软盘插入系统进行第一次读写时, 病毒就将其传输出该软盘的0扇区中, 而后将传染下一个使用该软盘的系统。通过感染病毒的软盘对系统进行引导是这种病毒传染的主要途径。

计算机病毒传染的先决条件是什么?

计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件计算机病毒是不会传染的, 因为计算机不启动不运行时就谈不上对磁盘的读写操作或数据共享, 没有磁盘的读写, 病毒就传播不到磁盘上或网络里。所以只要计算机运行就会有磁盘读写动作, 病毒传染的两个先条件就很容易得到满足。系统运行为病毒驻留内存创造了条件, 病毒传染的第一步是驻留内存；一旦进入内存之后, 寻找传染机会, 寻找可攻击的对象, 判断条件是否满足, 决定是否可传染；当条件满足时进行传染, 将病毒写入磁盘系统。

计算机病毒的传染通过哪些途径?

计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：

（1）通过软盘：通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。

（2）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。

（3）通过光盘：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。

（4）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。

随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。

计算机病毒的传染是否一定要满足条件才进行?

不一定。

计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。

从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。

可见有条件时病毒能传染, 无条件时病毒也可以进行传染。

微型计算机病毒对系统的影响表现在哪些方面?

计算机病毒对微型计算机而言，它的影响表现在：

（1）破坏硬盘的分区表, 即硬盘的主引导扇区。

（2）破坏或重写软盘或硬盘DOS系统Boot区即引导区。

（3）影响系统运行速度, 使系统的运行明显变慢。

（4）破坏程序或覆盖文件。

（5）破坏数据文件。

（6）格式化或者删除所有或部分磁盘内容。

（7）直接或间接破坏文件连接。

（8）使被感染程序或覆盖文件的长度增大。

计算机病毒传染的一般过程是什么?

在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。

可执行文件感染病毒后又怎样感染新的可执行文件?

可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作：

（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒；

（2）当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中；

（3）完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。

操作系统型病毒是怎样进行传染的?

正常的PC DOS启动过程是：

（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测；

（2）检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处；

（3）转入Boot执行；

（4）Boot判断是否为系统盘, 如果不是系统盘则提示；

non-system disk or disk error

Replace and strike any key when ready

否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件；

（5）执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存；

（6）系统正常运行, DOS启动成功。

如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为：

（1）将Boot区中病毒代码首先读入内存的0000: 7C00处；

（2）病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行；

（3）修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作；

（4）病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程；

（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。

目前发现的计算机病毒主要症状有哪些?

从目前发现的病毒来看, 主要症状有：

（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来, 磁盘坏簇莫名其妙地增多。

（2）由于病毒程序附加在可执行程序头尾或插在中间, 使可执行程序容量增大。

（3）由于病毒程序把自己的某个特殊标志作为标签, 使接触到的磁盘出现特别标签。

（4）由于病毒本身或其复制品不断侵占系统空间, 使可用系统空间变小。

（5）由于病毒程序的异常活动, 造成异常的磁盘访问。

（6）由于病毒程序附加或占用引导部分, 使系统导引变慢。

（7）丢失数据和程序。

（8）中断向量发生变化。

（9）打印出现问题。

（10）死机现象增多。

（11）生成不可见的表格文件或特定文件。

（12）系统出现异常动作, 例如：突然死机, 又在无任何外界介入下, 自行起动。

（13）出现一些无意义的画面问候语等显示。

（14）程序运行出现异常现象或不合理的结果。

（15）磁盘的卷标名发生变化。

（16）系统不认识磁盘或硬盘不能引导系统等。

（17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。

（18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。

（19）异常要求用户输入口令

« 2024年11月 »
一	二	三	四	五	六	日
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

黑客业务

24小时接单的黑客,黑客业务,黑客怎么找,网络黑客,黑客技术