本文目录一览:
- 1、谁能教我简单的木马程序,我不是想做木马病毒,而是像知道它的程序是怎么的,最好就是有说明
- 2、怎样编写木马病毒(菜鸟)
- 3、不会处理电脑病毒,感觉杀毒软件大都不很好用,我想学习一下木马病毒方面的知识,请懂得朋友帮忙介绍下,
- 4、怎么编木马病毒
- 5、我要学手工查杀木马病毒的方法
- 6、什么叫 木马病毒 能给我做一个详细的解释吗?~~
谁能教我简单的木马程序,我不是想做木马病毒,而是像知道它的程序是怎么的,最好就是有说明
这个涉及到高级编程~~~~不是容易做的
只要学习如何发现电脑中的木马就可以了~~~~
木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、 ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈 “木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如 “AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL- MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL- MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的 Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT- USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY- USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在 “HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=” 和 “load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell= explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL- MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL- MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了,因为有的“木马” 如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此 “木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了
怎样编写木马病毒(菜鸟)
您好
1,制作编写木马病毒都是违法行为,不建议您去学习。
2,如果是您中了病毒的话,不要想用病毒去报复,您可以通过法律正当途径解决。
3,您还可以到腾讯电脑管家官网下载一个电脑管家。
4,电脑管家拥有16层实时防护功能和云智能预警系统,可以全方位保护电脑安全,并且,在木马活动早期侦测并阻断木马的破坏行为,通过云查杀技术秒杀最新流行木马。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
不会处理电脑病毒,感觉杀毒软件大都不很好用,我想学习一下木马病毒方面的知识,请懂得朋友帮忙介绍下,
广告软件
广告软件是一种通过弹出窗口或通过显示在计算机屏幕上的栏显示横幅广告的软件。 这些广告单元通常无法清除,因此会始终显示。 连接数据可以对使用行为进行很多推断,在数据安全方面存在问题。
后门程序
后门程序可以绕过计算机访问安全机制而获取对计算机的访问权限。
正在后台运行的程序通常可赋予攻击者无限的权限。 在后门程序的帮助下,可以窥探用户的个人数据,但主要用于在相关的系统中安装更多的计算机病毒或蠕虫。
启动扇区病毒
硬盘的启动扇区或主启动扇区主要会感染启动扇区病毒。 它们覆盖系统运行所需的重要信息。 其中一种麻烦的结果是: 计算机系统无法加载…
僵尸网络
僵尸网络是一系列自动运行的软件僵尸。 僵尸网络可能包含一系列在通用命令和控制结构下正在运行程序(通常是指蠕虫、特洛伊木马之类的程序)的被入侵的计算机。 僵尸网络服务器有多种用途,包括拒绝服务攻击等,部分用途不为受影响的计算机用户所知。 僵尸网络主要可能情况是该网络可能达到数千台计算机的规模,其总带宽可以堵塞大多数常规的 Internet 访问。
拨号器
拨号器是一种计算机程序,它通过电话线或数字 ISDN 网络建立一个到 Internet 或其他计算机网络的连接。 行骗者在用户不知道的情况下,使用拨号器拨入 Internet 以收取用户高额费用。
分布式拒绝服务 (DDoS)
僵尸网络靶标通常也可以攻击服务器:通过从许多受感染的客户端同时向服务器发送大量请求,它们会降低服务器的运行速度,从而导致服务器无法再响应正常的用户请求。
EICAR 测试文件
EICAR 测试文件是由欧洲电脑反病毒研究协会 (European Institute for Computer Antivirus Research) 开发的一个测试样本,目的是测试防病毒程序的功能。 它是一个 68 字符长的文本文件,它的文件扩展名是“.COM”,所有病毒扫描程序都应将其识别为病毒。
攻击
攻击(漏洞)是一种计算机程序或脚本,它利用计算机系统中可导致特权提升和拒绝服务的缺陷、故障或漏洞。 例如,一种攻击形式是在 Internet 上利用伪造的数据包进行的攻击。 程序可以被注入以便获取更高的访问权限。
灰色软件
灰色软件运行方式与恶意软件类似,但是它不传播,不直接为用户带来危害。 它同样不影响系统功能。 通常,它收集有关使用模式的信息,以便出售这些数据或系统地刊登广告。
恶作剧程序
用户常年从 Internet 收到病毒警报以及在其他网络中通过电子邮件传播的防病毒警报。 这些警报通过电子邮件传播,要求用户必须将其发送给尽可能多的同事或其他用户,以便警告每个人应对“危险”。
蜜罐
蜜罐是安装在网络中的一个服务(程序或者服务器)。
它的功能是监控网络和记录攻击。 这个服务对合法用户来说是未知的 - 因此从未针对合法用户设计。 如果攻击者检查网络的弱点,并使用蜜罐提供的服务,则会对此进行记录并引起警报。
按键记录
按键记录是一个在软件开发中使用的诊断工具,用于捕获用户按键。 它有助于在计算机系统中确定错误来源,有时用于衡量员工在某些文书工作中的工作效率。 与此类似,机密数据或个人数据(如密码或 PIN)也可能通过 Internet 被人窥探或发送到其他计算机上。
宏病毒
宏病毒是一些用应用程序(如 WinWord 6.0 中的 WordBasic)的宏语言编写的小程序,一般情况下只会随着这个应用程序的文档传播。 正因如此,它们也被称作文档病毒。 为了处于活动状态,它们需要激活相应的应用程序并且执行其中一个被感染的宏。 与“普通”的病毒不同,宏病毒并不攻击可执行文件,但是会攻击相应宿主应用程序的文档。
多态病毒
多态病毒是真正的伪装高手。 它们可以改变自己的编程代码 - 因此也非常难以检测。
程序病毒
计算机病毒是一种在运行后能够将其自身附加到其他程序上并引起感染的程序。 病毒不像逻辑炸弹和特洛伊木马,病毒进行自我繁殖。 和蠕虫相比,病毒始终需要一个程序作为宿主,以在其中寄存恶性代码。 一般来说宿主自身的程序运行是不会改变的。
恐吓软件
恐吓软件这一术语是指旨在引起人们忧虑和恐慌的软件。 受害者可能会上当并感觉受到威胁,他们通常会接受付款建议,以排除并不存在的威胁。 在某些情况下,会诱使受害者自己引发攻击,方法是使其相信这一操作将成功排除威胁。
脚本病毒和蠕虫
这类病毒非常容易设计,如果手头有所需的技术,几小时之内就可以通过电子邮件扩散到全世界。
脚本病毒和蠕虫使用 Javascript、VBScript 之类的脚本语言嵌入其他新的脚本中,或者利用操作系统中的某些功能激活来传播。 它们经常通过电子邮件或文件(文档)交换传播。
蠕虫是一种自我繁殖但并不感染宿主的程序。 因此蠕虫不会构成其他程序序列的组成部分。 在具有严格安全措施的系统中,通常只有蠕虫才有可能嵌入任何类型的破坏性程序。
安全隐私风险 (SPR)
“SPR”(安全或隐私风险)这一术语是指一种程序,它可以破坏系统安全性、引发不希望或对私人环境造成损害的程序活动。
间谍软件
间谍软件之所以称为间谍程序,是因为它在用户不知情的情况下拦截或者部分控制一台计算机的操作。 间谍软件旨在利用被感染的计算机牟取商业利益。 为实现这一目的的典型手段包括发送不请自来的弹出窗口广告。 AntiVir 能够检测到这类软件,将其归类于“ADSPY”或“adware-spyware”(广告软件-间谍软件)。
特洛伊木马(简称木马)
现在木马很常见。 我们谈论的是那些貌似具有特定功能,但在运行后却露出本来面目的程序(在多数情况下,它们执行的是破坏性的功能)。 木马与病毒和蠕虫不同,它们不能自我繁殖。 大多数木马都有个让人感兴趣的名称(例如 SEX.EXE 或 STARTME.EXE),目的在于引诱用户启动木马。 它们在执行后就会立即激活,然后就能够进行如格式化硬盘之类的操作。 植入程序是一种特殊形式的木马,它“投放”病毒,即在计算机系统中植入病毒。
僵尸
僵尸计算机是指被恶意程序感染、并且能够让黑客通过远程控制为犯罪目的而滥用的计算机。 例如,受到影响的计算机可以根据命令启动拒绝服务 (DoS) 攻击或者发送垃圾邮件和钓鱼邮件。
告诉你一个最简单的方法:当你感觉中毒之后,打开任务管理器,看看那个进程是你不知道的,那就肯定是病毒,把这个进程结束即可。不过这个法子只能对付小病毒,遇到厉害的病毒我劝你还是去重装系统吧。
怎么编木马病毒
下个VB来做个VBS关机脚本,调用CMD的关机命令就可以了,无毒无害,想知道怎样制作网上搜,我就不多说了。
系统的CMD里面有个计划关机命令然后以vbs脚本启动这个命令就行了....算了你还是百度HI我吧,我直接写源码给你,你下个VB回来,然后新建个VBS工程。将代码复制进去然后生成就行了,如果需要的话还可以外加注释给你
4楼说的不对,先不管他代码是否正确,大家想想要是直接文本就可以生成EXE文件那么还用编程做什么,你们说是不是,直接标准答案给我了。
嘻嘻
我要学手工查杀木马病毒的方法
发现木马
由于木马是基于远程控制的程序,因此,中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网,会有其他端口,这是本机与网上主机通讯时打开的,如IE一般会打开连续的端口:1025,1026,1027等。
在DOS命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外,还有其他端口被占用(特别是木马常用端口被占用),那可要好好查查了,很有可能中了木马。
查找木马
要使你的系统能显示隐藏文件,因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现,不加入启动项在重启后木马就不执行了),启动项一般都是加在注册表中的,具体位置在:HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。
不过,也有一些木马不在这些地方加载,它们躲在下面这些地方:
●在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有程序,比方说是: run=c:\windows\file.exe或load=c:\windows\file.exe,要小心了,这个file.exe很可能就是木马。
●在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe,注意这里的window.exe就是木马程序。
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。
●在Autoexec.bat和Config.sys中加载运行
这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心。
●在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
●启动组
木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此,还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
●*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
●修改文件关联
修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的冰河就是这样干的。一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。
●捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样,即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么,每一次Windows启动均会启动木马。
手工清除木马
如果发现自己的硬盘总是莫明其妙地读盘,软驱灯经常自己亮起,网络连接及鼠标、屏幕出现异常现象,很可能就是因为有木马潜伏在你的机器里面,此时,就应该想办法清除它们了。
当发现可疑文件时,可以试试能不能删除它,因为木马多是以后台方式运行,通过按“Ctrl+Alt+Del”是找不到的,而后台运行的应是系统进程。如果在前台进程里找不到,而又删不了(提示正在被使用),那就应该注意了。
那么,如何清除木马而不误删其他有用文件呢?当你通过上述方法找到可疑程序时,你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年,而不应该是最近的时间(安装最新的Win2000、WinXP的系统除外),文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前,那八成就有问题了。
首先,查进程。检查进程可以借助第三方软件,如Windows优化大师,利用其“查看进程”功能把可疑进程杀掉,然后,再看看原来怀疑的端口还有没有开放(有时需重启),如果没有了,那说明杀对了,再把该程序删掉,这样,就手工删除了这个木马了。
如果该木马改变了TXT、EXE或ZIP等文件的关联,那应把注册表改过来,如果不会改,那就把注册表改回到以前的,就可以恢复文件关联,可通过在DOS下执行“scanreg/restore”命令来恢复注册表,不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值,简单易用。
什么叫 木马病毒 能给我做一个详细的解释吗?~~
什么叫木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾
名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。它
的传染方式是通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、
开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户
端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马
程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意
控制此计算机,进行文件删除、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于
不明来历的邮件附件也不要随意打开。小鱼
^4^ryeufrhdjkghfkgshjfg5^wb12-002.htm