微信invalid argument什么意思呀？

使用windows10正式版系统过程中，发现电脑突然中了冰河木马病毒，停止工作了，这该怎么办呢？今天，小编就要给大家详细介绍下该问题的具体解决方法！遇到同样问题的朋友，可以一起来看看。推荐：win10正式版官方下载方法一：如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP，看一下扫描结果是否为“OK”，并且左边的“文件管理器”中会出现自己的IP吗？如果有，在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。方法二：如果没有“冰河”这个软件朋友也不用着急，请用下面的方法查找并解除木马。运行REGEDIT命令打开注册表编辑器，在KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun查看键值中没有自己不熟悉的自动启动文件，扩展名为EXE。(一般“冰河”的默认文件名为KERNEL32.EXE，注意此文件的名字可能会被种马的人改变)。如果有，那我们现在开始进行修改，先删除该键值中这一项，再删除RUNDRIVES这个键值。一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR.EXE。A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择“文件类型”在“已注册文件类型”框中找到“TXTFILE”这一项，看一下“打开方式”有无变化(一般为：NOTEPAD)，如果关联对象不是NOTEPAD，选择“编辑”按钮，在“操作”框中删除“OPEN”这一项，那关联TXT文件的用户程序就失效了。B、如果是关联的EXE文件，那打开注册表编辑器，在HKEY_CLASSES_ROOT.exe中把“默认”的键值随便改成什么(注意看清楚，等会儿要改回来)。以上这两步做完后，退出WINDOWS，在DOS状态下删除该“冰河”用户端程序，重新启动即可。注意：要把EXE文件的注册表改回来。好了，再搜索用木马程序看有没有。Windows10系统电脑中了冰河木马问题的解决方法就为大家介绍到这里了。如果你也遇到电脑中冰河木马的话，那么不妨采取上述小编介绍的方法去解决看看。

冰河木马开发于1999年，跟灰鸽子类似，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑，其中包括国外电脑。特征：自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。清除方法：删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。扩展资料冰河病毒原理：网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen)， 如果有客户机向服务器的这一端口提出连接请求(Connect Request)， 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语，不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程， G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

首先不要轻易运行来历不明的软件，只要服务器端不被运行，冰河再厉害也是有力使不出，这一点非常重要。其次由于冰河的广泛流行，使得大多数杀毒软件可以查杀冰河，因此在运行一个新软件之前用杀毒软件查查是很必要的。　　但由于该软件变种很多，杀毒软件如果不及时升级，难免会有遗漏，因此要保证你使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以。安装并运行防火墙，如此则能相对安全一些。

提起“冰河”木马，相信没有多少网民不知道。作为国内木马程序的经典之作，它操作简单，功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发，但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”，更有甚者已经开始对修改后的冰河程序进行收费，这引起了原作者黄鑫的注意。为了防止这种不良影响，他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序，主要有两大功能：一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端，记录入侵者的所有操作。第一步：清除冰河木马把压缩包内的文件解压到一个目录，运行“冰河陷阱.exe”，如果当前系统中已经被别人植入了冰河木马的话，这时它会提示你是否自动清除冰河木马被控端程序，当然要选择“是”了，接下来它会显示出这个安装的“冰河”木马的配置信息，点击[确定]按钮，冰河陷阱就会自动彻底地从系统中清除冰河木马，并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。另外还要记下“接收IP信箱”后面显示的邮箱，这就是入侵者接收你的IP地址以及密码等信息的信箱，以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。我在试用中发现如果“冰河陷阱.exe”处于运行状态，冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序，并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项，让它开机自动运行。第二步：请君入瓮接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后，点击“设置”菜单中的“设置监听端口”，然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样)，然后单击工具栏中的[打开陷阱]按钮，再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应，使入侵者以为你的机器仍处于他的控制之下。当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时，可以在系统托盘中看到冰河陷阱图标不断闪烁报警，同时还有声音报警。双击图标打开“冰河陷阱”主界面，在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。另外，冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮，可以直接给入侵者发送一个反击消息，当然越恐怖效果越好，保证让这个入侵者“丢盔弃甲”，落荒而逃，再也不敢冒犯你了。立即下载：冰河陷阱

冰河的默认端口为7626，冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。冰河木马开发于1999年，跟灰鸽子类似，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑，其中包括国外电脑。在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。目的：远程访问、控制。

冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。如果你中了这种木马，只需要使用电脑管家的杀毒功能来扫描一下，就可以清除的腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

冰河木马属于反弹链接型木马，不只可以控制局域网，也可以控制家庭的ADSL拨号用户的防止电脑中毒最好给电脑安装个腾讯电脑管家管家占内存小，杀毒采用的“4+1”芯引擎，防护好，误删率小管家拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量在国际权威的安全软件评测机构AV-Comparatives官网正式发布的2013年3月《恶意软件检测率测试》评测结果中，腾讯电脑管家与金山毒霸并列全球第二位，99.6%的超高检出率仅次于GDATA2013，误报数量是全国最低的。

冰河木马下载方法： 点击冰河主程序，首先，配置本地服务器程序，单击从右边数过来第三个图标（或在设置-配置服务器程序）在基本设置中：安装路径指服务器程序运行时，自动安装在哪个文件夹；文件名称指服务器安装后程序的名称，进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名； 访问口令指如果您加了密码，访问中此木马的密码；敏感字符指你想要获取对方密码的关键词，比如输入password，冰河服务端将记录password的密码； 提示信息指对方运行服务端出现的窗口，比如说此文件已损坏等骗人的话；监听端口指中冰河者打开的端口，您用冰河控制端通过这个端口访问； 自动删除安装文件指对方运行服务端后，是否删除本身（就是运行后，程序不见了，而会在其它地方安装了）禁止自动拨号指运行服务端后，是否马上拨号上网连接。

冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626. 一旦运行G-server，那么该程序就会在C：\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 要清除冰河，首先要删除C：\Windows\system下的Kernel32.exe和Sysexplr.exe文件；冰河会在注册表的HKEY_LOCAL_MACHINE\ software\ microsoft\ Windows\CurrentVersion\Run分支下扎根，键值为C：\Windows\system\Kernel32. exe，删除它。在注册表的HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Runservices分支下，还有键值为C：\Windows\system\ Kernel32.exe的，也要删除。 最后，恢复注册表中的TXT文件关联功能，只要将注册表的 HKEY_CLASSES_ROOT\txtfile\ shell\open\command下的默认值，由中木马后的C：\Windows\system\ Sysexplr.exe %1改为正常情况下的C：\Windows\ notepad.exe %1即可。

在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。目的：远程访问、控制。选择：可人为制造受害者和寻找养马场，选择前者的基本上可省略扫描的步骤。1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万种冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。 Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，只要你打开 TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

问题一：如何通过网络进入别人的电脑 如何一步一步进入别人计算机! 跟着TTY一步一步走进对方计算机: 这道快餐是专门为从来没有通过网络进入过对方计算机的网络新手们准备的，主要使用的软件就是著名的国产木马冰河2.2，所以，如果你已经使用过冰河2.2，就不必跟着我们往下走了。其他有兴趣的网络新手们，Let"s go！ 第一步 下载网络新手快餐软件包 tty.zip到网络休闲庄（atty.126）“红客软件”->>“中文软件”里下载网络新手快餐软件包，文件名是：tty.zip。该软件包里准备了本次实验所需的所有软件，大小811K。解开tty.zip，里面应有1号、2号、两个软件，是为了叙述方便而编的号，1号软件就是端口扫描工具“网络刺客II”，2号软件就是著名的国产木马冰河2.2的控制端。下载完毕并解压缩之后跟我进行第二步！ 第二步 运行1号软件，首先出现的是“网络刺客II注册向导”，别理它，点击“稍后(Q)”就进入了网络刺客II的主界面。 第三步 在网络刺客II的主界面里选“工具箱（U）”-》“主机查找器（H）”，就进入了“搜索因特网主机”界面。 第四步 进入“搜索因特网主机”界面后，“起始地址”栏填XXX.XXX.0.0其中XXX.XXX自己去选择了，比如你可以选61.128或选61.200等等，“结束地址”栏填XXX.XXX.255.255其中XXX.XXX的选择要和前面一样。“端口”栏填7626，其他栏保持默认不动。好了，以上设置就是要搜索从XXX.XXX.0.0到XXX.XXX.255.255这一段IP地址中有冰河木马的计算机了，再检查一下填对没有？如果一切OK，请点击“开始搜索”。 第五步 观察“总进度”和“段进度”是否在走动。如果没有走动，那一定是IP地址设置不对，请认真检查。如果两个进度都在走动，呵呵，你就成功一半了，至少你会使用网络刺客II扫描网上开放某一端口的计算机了。下面你要作的就是静静的等待，学用黑客软件是需要耐心的。大约20-30分钟后，最下面的记录栏里就应该出现记录了（一般情况下，应该有5、6条记录）。每一条记录代表找到的中了冰河木马的一台计算机，前面是该计算机的IP地址，后面是7626（冰河木马端口）。 第六步 点击“停止搜索”，但不要退出程序，到第十二步时还要用。运行2号软件冰河，进入冰河主界面。选“文件[F]”-》“添加主机[A]”进入添加主机窗口。 第七步 在“添加主机”窗口，“显示名称”里填入第五步里搜索到的第一条IP地址，当IP地址填入“显示名称”里后，“主机地址”里就自动填入相同的IP了。“访问口令”不填,“监听端口”保持默认的7626。好了，检查一下IP有没有填错，如果OK，点击“确定”，在冰河主界面的“文件管理器”里就出现了刚才填入的IP地址了。 第八步 这一步和下一步最重要，请认真看清楚！在冰河的主界面里，点击“文件管理器”里的“我的电脑”，这时“文件管理器”右边的框里就会出现你自己的硬盘分区。比如，如果你的硬盘分的是四个区，“文件管理器”右边的框里就会从上往下依次出现C：、D：、E：、F：，如果你的硬盘分的是两个区，就会出现C：、D：。 第九步 点击“文件管理器”里刚才输入的第一条IP地址，稍等片刻（网速慢的情况下约10-30秒），在“文件管理器”右边的框里就会出现对方计算机的硬盘分区了。看到了吗？看......>> 问题二：win7系统怎样访问他人的电脑 要让其他人访问自己的电脑，方法有多种，可以参考如下几种方法：1、让别人访问自己的电脑，最常规的目的是共享文件。可以使用Win7共享电脑上的文件夹，供别人访问，具体操作如下： a、找到你需要共享的文件夹，点击右键，在弹出的右键菜单中选择“属性”。 b、在文件夹属性中，找到共享，点击下面的共享下面的第一个按钮。 c、然后自动单出来一个页面，里面有很多的用户，有只读，有写入，直接忽略，一般默认只读比较安全。 发现文件夹已经共享了，看下面的名字状态。然后点击完成即可。 d、回到Win7桌面，点击网络，发现自己的电脑有一个共享的文件夹，说明成功了。 其他人要访问，按WIN+R键打开运行对话框，输入\ipshare ，按回车键那可访问。ip指的要访问电脑的IP地址，share指的是共享文件夹，根据实际情况操作。 2、使用Win7自带的功能 win7本身自带了很多服务，可以让其他人访问，比如telnet服务、ftp服务，以telnet服务为例： a、点击“开始”→“控制面板”→“程序”，“在程序和功能”找到并点击“打开或关闭Windows功能”进入Windows 功能设置对话框。找到并勾选“Telnet客户端”和“Telnet服务器”。 b、Telnet服务安装完成后，默认情况下是禁用的，还需要通过Services.msc启动服务。按WIN+R快截键打开“运行”对话框，输入services.msc打开服务，找到telnet服务启动即可。 对方可以运行cmd，通过telnet ip ，按回车登录系统，其中ip是个人电脑的ip地址。ftp服务的开启方法类似。 3、使用远程桌面 开启Win7的远程桌面共享功能，具体操作：在“计算机”上右键“属性”，在弹出的窗口中选择”远程设置“ ，勾选如下图所示中的两个选项的任意一个都可以实现远程访问： 开启后，其他人要访问只需要按WIN+R打开运行对话框，输入mstsc，打开远程桌面客户端，输入ip地址登录即可。 4、第三方软件的访问 可以使用如QQ远程协助、teamviewer之类的第三方软件来实现。具体不在赘述。 问题三：WIN7如何访问网络邻居上别人的电脑？ 如果你打开网上邻居，能够看到别人的共享文件，那么双击打开就能看到了。 但是，如果你打不开，提示你没有权限等等，那就说明他人的共享文件设置了权限，需要更改对方计算机的权限后才能观看。 问题四：怎样查看别人正在访问我的电脑 控制面板、性能和维护、管理工具、计算机管理下面有个共享文件夹，下面的子项会详细列出访问你电脑的用户以及他们正在访问的文件夹的 问题五：怎么能进入别人的电脑查看他们的文件？ 1.取得对方IP地址如XX.XX.XX.XX。 2.判断对方上网的地点，开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑的名称，开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明 4.在Windows目录下有一文件名为LMHOSTS.SAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件： XX.XX.XX.XX 电脑名 5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。 对付上面进攻的最好办法就是隐藏你的IP地址。 你学会了吗？小打小闹可以，恶作剧可以，可不要干些违法的事~另外一种方法：神不知鬼不觉入侵别人电脑 问题六：如何通过IP进入别人电脑 先要知道别人的ip地址，点开始-附件-通讯-远程桌面连接-输入ip地址 问题七：win7电脑怎样设置能让其他人访问？ Win7设置局域网共享 1． 把win7的guest用户开启。 打开win7的控制面板=》用户账号与安全=》用户账户=》管理其他用户=》点击guest用户，进行开启。 2.解决登录是要求输入用户名及密码的问题？ 点开“控制面板”，点击网络和internet下的“选择家庭组合共享选项”栏，继续点击“更改高级共享设置“。右边有一个往下拉的竖栏一直往下拉。找到”密码保护的共享“。然后点击”关闭密码保护共享“ 3文件夹如何进行共享 打开你要共享的文件夹，共享的方式有两种方式。 （直接点右键共享然后选中特定的用户和在属性那共享。 在选择要与其共享的用户 添加guest用户，设置guest用户的权限。然后点击“共享”按钮。 参考： wenku.baidu/...e 问题八：怎么进入别人的电脑 首先要确定要入侵电脑的IP，关于IP，网吧的编号和IP地址通常是相同或高一位，比如编号为 20的电脑，IP一般是192.168.0.20或192.168.0.21… 大家要是上贴吧匿名发帖子的话，也会 看见IP地址… 有了IP地址后，就可以连接那将被你入侵的倒霉电脑了，一般登陆电脑的用户名多是“user编号” 的形式空密码形式，所以在“命令提示符”下输入net use IP地址/ipc$/user:及 net use IP地址/ipc$/user:user编号命令进行连接 连接成功后必须关闭对方电脑的杀毒软件，右击“我的电脑”，选择“管理”在弹出窗口中右击 “计算机管理（本地）”，选择“连接另一台计算机”，连接至那台倒霉电脑的IP号，启动 “Tenlet”服务 然后在“命令提示符”下输入两条命令在本机新建user20用户并将它添加到管理员组。 net user user编号/add net localgroup administators user编号/add 然后进入C:WinntSystem32,右击CMD.EXE，选择“创建快捷方式”，然后右击快捷方式，选择 “属性”，选择“以其他用户身份运行”，运行快捷方式CMD，弹出“以其他用户身份运行”窗 口后，输入“user编号”回车 用telnet 电脑IP编号 登陆至那个倒霉孩子的电脑，再从网上下载一个命令行下杀进程的软件， 比如说knlps等，在telnet上将杀毒软件进程关闭 问题九：知道别人的IP地址和开放的端口，怎么进入他人电脑 可以下载冰河或灰鸽子或流光5等工具（注意，下载是关闭杀毒软件的监控程序，运行时也是），下载后，有的无需安装。 拿“冰河”举例，上面有一个钮，显示是添加计算机，输入IP号，用户名和登陆密码，单击确定（保证该台电脑必须在线，防御措施弱），再左边的栏里找到该计算机，双击等待即可。 如果成功的话，就会显示该计算机的本地硬盘，如果想看到对方在操作什么，可以点击菜单栏上的“捕获屏幕” 等等. ********************************** 希望我的回答能给你帮助! 问题十：怎么通过IP地止进入别人的电脑达到共享？ 对于这个问题通常有两种解决方案： 1.经过别人允许，利用远程桌面连接进入。 这种方式很容易就能进入别人电脑，但是必须先经过他人同意，才可行。具体方式如windows系统自带的远程桌面连接进入别人电脑。远程桌面连接具体操作方式如下：（1）开始→程序→附件→远程桌面连接→点击进入→输入计算机名然后连接就行了。此类方法很简单，还有一种方式QQ是打击经常用到的软件，大家还可以用QQ的远程协助来进入别人电脑，具体操作方法如下：找到对方QQ号，然后双击和对方聊天，在最上方视频后面有应用选项，在应用选项中选择远程协助，如果对方同意的话，就可以进入别人的电脑了... 2.未经允许进入别人电脑。 这样做就需要有很多的软件操作能力和电脑知识了，并不是说哪种方法肯定能进入别人电脑，而是根据实际情况的不同而有很多不同的方法。首先你要知道别人的ip，也就是说必须知道别人的家庭住址才能找到人家，很多软件都可以知道别人的ip地址，由于本人不能保证出于什么动机想进入别人电脑，所以在这里就不复述了，还有现在的家庭用户都是自动获得ip地址，所以当好不容易知道对方ip的时候，可能对方关机后在重新获得的ip地址就会是另一个，也就是说花了很大功夫找来的ip地址是没用的，等别人下次开机上网的时候，又会有新的ip地址，又要花很大的力气去找新ip地址。还有好多软件都能直接控制别人电脑，至于怎么控制，那就需要提问者自己研究了... 一种很简单的知道对方ip地址的方法：通过Windows系统内置的网络命令“netstat”，来查出对方好友的IP地址，不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以。下面就是该方法的具体实现步骤： 首先单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入“cmd”命令，单击“确定”按钮后，将屏幕切换到MS-DOS工作状态；然后在DOS命令行中执行“netstat-n”命令，在弹出的界面中，就能看到当前究竟有哪些地址已经和你的计算机建立了连接（如果对应某个连接的状态为“Established”，就表明计算机和对方计算机之间的连接是成功的）； 其次打开QQ程序，邀请对方好友加入“二人世界”，并在其中与朋友聊上几句，这样计算机就会与对方好友的计算机之间建立好了TCP连接；此时，再在DOS命令行中执行“netstat-n”命令，看看现在又增加了哪个tcp连接，那个新增加的连接其实就是对方好友之间的UDP连接，查看对应连接中的“ForeignAddress”就能知道对方好友的IP地址了。 其他的就不多说了，还有一点警告提问者，不要到处下载软件安装，因为天下没有免费的午餐，别人为什么会让一个很好用的软件拿出来阀享呢？如果是企业还说的过去，比如说360安全卫士，因为他们可以拉广告生意养活自己，但是个人呢？他们靠什么？为什么那么好心给你一个很好用的软件呢？也许在安装软件之后，电脑就会在别人掌握之下，所以建议还是不要安装来历不明的软件，如果想深入的话子啊及研究自己编写，这才是最好的办法...

1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下扎根，键值为C:/windows/system/Kernel32.exe，删除它。3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。4、最后，改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。

冰河木马是正向远控，灰鸽子是反向远控，两种上线方式不同另外冰河也有反向的

你当然不会指望用户每次启动后点击木马图标来运行服务端，木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端（第一重要的是如何让对方中木马，嘿嘿，这部分的内容将在后面提到）Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRun和RUNSERVICE键值中加上了kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:windows(这个会随你windows的安装目录变化而变化）下生成一个叫sysexplr.exe文件（太象超级解霸了，好毒呀，冰河！）,这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。（冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的，555555） 更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术（冰河3.0会采用这种方法吗?）。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作......事实上，我已经看到过几个这样类型的木马，其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪) 冰河陷阱。冰河陷阱有两种作用：1、自动清除所有版本“冰河”2、伪装成“冰河”被控端对入侵者进行欺骗，并记录入侵者的所有操作 端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。（关于端口扫描，Oliver有一篇关于“半连接扫描”的文章，很精彩，那种扫描的原理不太一样，不过不在本文讨论的范围之中）但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。 查找木马特定的文件也是一个常用的方法（这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......）冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽, 是sysexlpr.exe(什么什么,不是超级解霸吗?)对！冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样（废话，Server端程序都没了，还能干嘛？）如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)b.在<我的电脑>-查看-文件夹选项-文件类型中编辑c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开......>,然后找到notepad,点一下就OK了。（这个最简单，推荐使用）提醒一下，对于木马这种狡猾的东西，一定要小心又小心，冰河是和txt文件关联的，txt打不开没什么大不了，如果木马是和exe文件关联而你贸然地删了它......你苦了！连regedit都不能运行了！ 之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 可以监视所有调用Winsock的程序，并可以动态杀除进程，是一个个人防御的好工具（虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑，嘿嘿，两年后的事都说不清，谁知道十年后木马会“进化”到什么程度？甚至十年后的操作系统是什么样的我都想象不出来）另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的系统文件检查器，通过开始菜单-程序-附件-系统工具 -系统信息-工具可以运行系统文件检查器(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复损坏的文件可能会导致系统崩溃或程序不可用！)狡诈篇（只要你的一点点疏忽......)只要你有一点点的疏忽，就有可能被人安装了木马，知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。 网上“帮”人种植木马的伎俩主要有以下的几条a.软哄硬骗法这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。b.组装合成法就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。c.改名换姓法这个方法出现的比较晚，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是不显示已知的文件后缀名,文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)d.愿者上钩法木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗;奉劝：不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意...几点注意（一些陈词滥调）a．不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点，这些站点一般都有专人杀马杀毒；b．不要过于相信别人，不能随便运行别人给的软件；（特别是认识的，不要以为认识了就安全了，就是认识的人才会给你装木马,哈哈,挑拨离间......）c．经常检查自己的系统文件、注册表、端口什么的，经常去安全站点查看最新的木马公告；d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的) 不用我说了,大家都知道冰河2.2最新版吧!它的强大的功能大家也一定十分的了解吧!他的操作界面清晰简洁,控制类功能强大，一些功能如果应用与远程控制管理，那么它将是非常理想的软件,可要是被他人用于黑客木马，那么它的危害比起BO2000,NETSPY真是有过之而无不及.事实上，把它定位于黑客木马并不过分，因为它的服务器端程序具有隐藏,自我复制保护,盗取密码帐号等功能,这不是一个正常的软件所应具备的.他甚至还可以在客户端将木马设置成任意文件名,服务器端程序在上网后，还会自动将该机当前的IP通过E-MAIL方式发送到客户端.拷贝,删除文件,关闭进程,强制关机，跟踪键盘锁定鼠标等更不在话。所以我在此给大家介绍解除冰河服务端的方法,从此就不必再担心自己的机子会被人控制了！那么如何防范与消除冰河呢？首先，不要执行来路不明的软件程序,这是千古不变的真理.任何黑客程序再高明，功能再强大,都需要利用系统漏洞才能达到入侵的目的.假如没有服务器端的木马程序运行，就可以使掌握着客户端程序的这类黑客不能得逞.其次，应养成良好的电脑使用习惯,如不把拨号上网的密码保存等等！了解冰河黑客软件的攻击机制,就没有什么可惧怕的了。一旦感染了冰河,可以使用以下的方法,将其歼灭在你的电脑里：1.检查注册表启动组,具体为:开始-->运行-->regedit,值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESogtwareMicrosoftWindowsCurrentVersionRunServer,查找KERNEL32.EXE的执行项目,如有则将两个键值删除.值得注意的是,因为冰河可以随意配置服务器程序的参数,如服务器文件名，端口号,密码等,因此服务器端的程序可以是随意名称，即不局限是KERNEL32.EXE,所以在这里需要具备一定的Windows知识,准确的找出可疑的启动文件,如哪不定主意的话可以与另一台电脑进行对照.2.删除硬盘上与“冰河”有关的文件.可以按上述文件名将可疑文件找出后删除.KERNEL32.EXE和sysexplr.exe(或更改为新名称)默认在Windowssytem目录下,但同样因配置的不同可以寄存与Windows或Temp目录下. 3.“冰河”的自我保护措施是很强的,它可以利用注册表的文件关联项目,在你毫不知觉的情况下复制自己重新安装.在做完上述工作后,虽然表面上“冰河”不复存在了，但当你点击打开有关文件时(如*.TXT,*EXE),“冰河”又复活了！因此为斩草除根,在上述1.2步的基础上,还应以可疑文件名为线索,全面扫描查找一遍注册表,可以发现可疑键值一一删除.4.上述的操作因需要在系统的心脏--注册表上做手术，有一定的危险性.其实最简便有效的办法就是格式化你的硬盘,重装Windows系统，当然,你要为此付出一定的时间了！以下是补充上述方法的新文章:一. 按照上述方法杀掉冰河后，还应该对注册表中HKEY_CLASS_ROOT xtfileshellopencommand下的键值C:WINDOWSNOTEPAD.EXE%1 进行修正,改为:C:WINDOWSSYSTEMEXE%1,否则大家会发现打不开文本文件,当打开文本文件时,大家会看到"未找到程序"的提示.二.是上述介绍杀掉木马的方法是,只是针对客户端配置的确省模式,当客户端在配置服务器程序是更换了文件名,广大网友可能就找不到了.具体的判断解决方法是首先还是查看注册表中HKEY_CLASS_TOOT xtfileshellpoencommand的键值是什么,如C:WINDOWSSYSTEMCY.EXE%1(这里也可能是其它文件名和路径),记下来CY.EXE;查注册表中HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionRunServer的键值,如也有CY.EXE,则基本上判断他就是冰河木马,最好还要再核对文件的字节数(2.0版本冰河木马字节熟为495,733字节),将以上的两个键值删除C:WINDOWSSYSTEMCY.EXE即可(在WIN98下是删不掉的).需要注意的是在修正注册表之前,要做好备份;要对与CY.EXE字节熟相同的文件引其高度注意,以防客户端在此前给你配置了几套冰河木马。

您好：1.建议您不要去下载和使用木马病毒，是属于违法犯罪行为。2.而且，如果您接收了木马病毒，那么该病毒会自动在您的电脑中优先运行。3.最终可能会导致您自己的帐号被盗，如果是您被盗号想找回，建议您到QQ安全中心进行正当申诉，不要通过非法手段找回。4.建议您到腾讯电脑管家官网下载一个电脑管家。5.在平时使用电脑的时候，打开电脑管家，可以受到电脑管家16层实时防护的保护和QQ账号全景防卫系统，全方位多维度保护账号安全，精确打击盗号木马，瞬时查杀并对风险预警。腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

该软件主要用于远程监控，具体功能包括: 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制； 5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。 从一定程度上可以说冰河是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 清除方法： 1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。 3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值，由中木马后的C:/windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。如何识别木马先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解， 简单防治的方法： 开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。 冰河木马原理木马冰河是用C++Builder写的，为了便于大家理解，我将用相对比较简单的VB来说明它，其中涉及到一些WinSock编程和Windows API的知识，如果你不是很了解的话，请去查阅相关的资料。 一、基础篇（揭开木马的神秘面纱）无论大家把木马看得多神秘，也无论木马能实现多么强大的功能，木马，其实质只是一个网络客户/服务程序。那么，就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!） 2.程序实现: 在VB中,可以使用Winsock控件来编写网络客户/服务程序,实现方法如下(其中,G_Server和G_Client均为Winsock控件): 服务端: G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值) G_Server.Listen(等待连接) 客户端: G_Client.RemoteHost=ServerIP(设远端地址为服务器地址) G_Client.RemotePort=7626 (设远程端口为冰河的默认端口,呵呵,知道吗?这是冰河的生日哦) (在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个, 建议让计算机自动分配) G_Client.Connect (调用Winsock控件的连接方法) 一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接 Private Sub G_Server_ConnectionRequest(ByVal requestID As Long) G_Server.Accept requestID End Sub 客户机端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现) 如果客户断开连接,则关闭连接并重新监听端口 Private Sub G_Server_Close() G_Server.Close (关闭连接) G_Server.Listen (再次监听) End Sub 其他的部分可以用命令传递来进行，客户端上传一个命令，服务端解释并执行命令...... 二、控制篇（木马控制了这个世界！）由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，让我们来看看冰河究竟能做些什么(看了后,你会认同我的观点:称冰河为木马是不恰当的,冰河实现的功能之多,足以成为一个成功的远程控制软件) 因为冰河实现的功能实在太多,我不可能在这里一一详细地说明,所以下面仅对冰河的主要功能进行简单的概述,主要是使用Windows API函数, 如果你想知道这些函数的具体定义和参数,请查询WinAPI手册。 1.远程监控(控制对方鼠标、键盘，并监视对方屏幕) keybd_event 模拟一个键盘动作(这个函数支持屏幕截图哦)。 mouse_event 模拟一次鼠标事件(这个函数的参数太复杂,我要全写在这里会被编辑骂死的,只能写一点主要的,其他的自己查WinAPI吧) mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo) dwFlags: MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置。 MOUSEEVENTF_MOVE 移动鼠标 MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下 MOUSEEVENTF_LEFTUP 模拟鼠标左键抬起 MOUSEEVENTF_RIGHTDOWN 模拟鼠标右键按下 MOUSEEVENTF_RIGHTUP 模拟鼠标右键按下 MOUSEEVENTF_MIDDLEDOWN 模拟鼠标中键按下 MOUSEEVENTF_MIDDLEUP 模拟鼠标中键按下 dx,dy: MOUSEEVENTF_ABSOLUTE中的鼠标坐标 2.记录各种口令信息 (作者注：出于安全角度考虑,本文不探讨这方面的问题,也请不要给我来信询问) 3.获取系统信息 a.取得计算机名 GetComputerName b.更改计算机名 SetComputerName c.当前用户 GetUserName函数 d.系统路径 Set FileSystem0bject = CreateObject("Scripting.FileSystemObject") (建立文件系统对象) Set SystemDir = FileSystem0bject.getspecialfolder(1) (取系统目录) Set SystemDir = FileSystem0bject.getspecialfolder(0) (取Windows安装目录) (友情提醒: FileSystemObject是一个很有用的对象,你可以用它来完成很多有用的文件操作) e.取得系统版本 GetVersionEx(还有一个GetVersion,不过在32位windows下可能会有问题,所以建议用GetVersionEx f.当前显示分辨率 Width = screen.Width screen.TwipsPerPixelX Height= screen.Height screen.TwipsPerPixelY 其实如果不用Windows API我们也能很容易的取到系统的各类信息,那就是Winodws的"垃圾站"-注册表 比如计算机名和计算机标识吧:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxDVNETSUP中的Comment,ComputerName和WorkGroup 注册公司和用户名:HKEY_USERS.DEFAULTSoftwareMicrosoftMS Setup (ACME)UserInfo至于如何取得注册表键值请看第6部分。 4.限制系统功能 a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现: ExitWindowsEx(ByVal uFlags,0) 当uFlags=0 EWX_LOGOFF 中止进程，然后注销 当uFlags=1 EWX_SHUTDOWN 关掉系统电源 当uFlags=2 EWX_REBOOT 重新引导系统 当uFlags=4 EWX_FORCE 强迫中止没有响应的进程 b.锁定鼠标 ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以 注:RECT是一个矩形,定义如下: Type RECT Left As Long Top As Long Right As Long Bottom As Long End Type c.锁定系统 这个有太多的办法了,嘿嘿,想Windows不死机都困难呀,比如,搞个死循环吧,当然,要想系统彻底崩溃还需要一点技巧,比如设备漏洞或者耗尽资源什么的...... d.让对方掉线 RasHangUp...... e.终止进程 ExitProcess...... f.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口 5.远程文件操作 无论在哪种编程语言里,文件操作功能都是比较简单的,在此就不赘述了,你也可以用上面提到的FileSystemObject对象来实现 6.注册表操作 在VB中只要Set RegEdit=CreateObject（"WScript.Shell") 就可以使用以下的注册表功能: 删除键值:RegEdit.RegDelete RegKey 增加键值:RegEdit.Write RegKey,RegValue 获取键值:RegEdit.RegRead (Value) 记住,注册表的键值要写全路径,否则会出错的。 7.发送信息 很简单,只是一个弹出式消息框而已,VB中用MsgBox("")就可以实现,其他程序也不太难的。 8.点对点通讯 呵呵,这个嘛随便去看看什么聊天软件就行了(因为比较简单但是比较烦,所以我就不写了,呵呵。又:我始终没有搞懂冰河为什么要在木马里搞这个东东，困惑......) 9.换墙纸 CallSystemParametersInfo(20,0,"BMP路径名称",&H1) 值得注意的是,如果使用了ActiveDesktop,换墙纸有可能会失败，遇到这种问题，请不要找冰河和我，去找Bill吧。 三、潜行篇（Windows，一个捉迷藏的大森林）木马并不是合法的网络服务程序，因此，它必须想尽一切办法隐藏自己，好在，Windows是一个捉迷藏的大森林! 1、在任务栏中隐藏自己： 这是最基本的了,如果连这个都做不到......（想象一下，如果Windows的任务栏里出现一个国际象棋中木马的图标...@#!#@...也太嚣张了吧!) 在VB中，只要把form的Visible属性设为False, ShowInTaskBar设为False, 程序就不会出现在任务栏中了。 2、在任务管理器中隐形： 在任务管理器中隐形,就是按下Ctrl+Alt+Del时看不见那个名字叫做“木马”的进程，这个有点难度，不过还是难不倒我们，将程序设为“系统服务”可以很轻松的伪装成比尔盖子的嫡系部队(Windows,我们和你是一家的,不要告诉别人我藏在哪儿...)。 在VB中如下的代码可以实现这一功能： Public Declare Function RegisterServiceProcess Lib "kernel32" (ByVal ProcessID As Long, ByVal ServiceFlags As Long) As Long Public Declare Function GetCurrentProcessId Lib "kernel32" () As Long (以上为声明) Private Sub Form_Load() RegisterServiceProcess GetCurrentProcessId, 1 (注册系统服务) End Sub Private Sub Form_Unload() RegisterServiceProcess GetCurrentProcessId, 0 (取消系统服务) End Sub 3、如何悄没声息地启动： 你当然不会指望用户每次启动后点击木马图标来运行服务端，木马要做到的第二重要的事就是如何在每次用户启动时自动装载服务端（第一重要的是如何让对方中木马，嘿嘿，这部分的内容将在后面提到） Windows支持多种在系统启动时自动加载应用程序的方法(简直就像是为木马特别定做的)启动组、win.ini、system.ini、注册表等等都是木马藏身的好地方。冰河采用了多种方法确保你不能摆脱它。首先,冰河会在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和RUNSERVICE键值中加上了kernl32.exe(是系统目录),其次如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了...怎么回事?原来冰河的服务端会在c:windows(这个会随你windows的安装目录变化而变化）下生成一个叫sysexplr.exe文件（太象超级解霸了，好毒呀，冰河！）,这个文件是与文本文件相关联的,只要你打开文本(哪天不打开几次文本?),sysexplr.exe文件就会重新生成krnel32.exe, 然后你还是被冰河控制著。（冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的，555555） 4、端口 木马都会很注意自己的端口(你呢?你关心你的6万多个端口吗?),如果你留意的话,你就会发现,木马端口一般都在1000以上,而且呈越来越大的趋势(netspy是1243....)这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样木马就会很容易暴露;而由于端口扫描是需要时间的(一个很快的端口扫描器在远程也需要大约二十分钟才能扫完所有的端口),故而使用诸如54321的端口会让你很难发现它。在文章的末尾我给大家转贴了一个常见木马的端口表,你就对著这个表去查吧(不过,值得提醒的是,冰河及很多比较新的木马都提供端口修改功能,所以,实际上木马能以任意端口出现) 5.最新的隐身技术 目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现，那就是-驱动程序及动态链接库技术（冰河3.0会采用这种方法吗?）。 驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法（改写驱动程序或动态链接库）。这样做的结果是：系统中没有增加新的文件（所以不能用扫描的方法查杀）、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行）。在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作...... 事实上，我已经看到过几个这样类型的木马，其中就有通过改写vxd文件建立隐藏共享的木马...(江湖上又将掀起新的波浪) 四、破解篇（魔高一尺、道高一丈）本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》（我都期待一年了，大家和我一起继续期待吧，嘿嘿），本文只是对通用的木马防御、卸载方法做一个小小的总结： 1.端口扫描 端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。（关于端口扫描，Oliver有一篇关于“半连接扫描”的文章，很精彩，那种扫描的原理不太一样，不过不在本文讨论的范围之中） 但是值得说明的是, 对于驱动程序/动态链接木马, 扫描端口是不起作用的。 2.查看连接 查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat-a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。 3.检查注册表 上面在讨论木马的启动方式时已经提到，木马可以通过注册表启动（好像现在大部分的木马都是通过注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。 4.查找文件 查找木马特定的文件也是一个常用的方法（这个我知道,冰河的特征文件是G_Server.exe吧? 笨蛋!哪会这么简单,冰河是狡猾狡猾的......）冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对！冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己, 只要删除了这两个文件,冰河就已经不起作用了。其他的木马也是一样（废话，Server端程序都没了，还能干嘛？） 如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种: a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好) b.在<我的电脑>-查看-文件夹选项-文件类型中编辑 c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开......>,然后找到notepad,点一下就OK了。（这个最简单，推荐使用） 提醒一下，对于木马这种狡猾的东西，一定要小心又小心，冰河是和txt文件关联的，txt打不开没什么大不了，如果木马是和exe文件关联而你贸然地删了它......你苦了！连regedit都不能运行了！ 5.杀病毒软件 之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的, 值得一提的是最近新出来的ip armor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序，并可以动态杀除进程，是一个个人防御的好工具（虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑，嘿嘿，两年后的事都说不清，谁知道十年后木马会“进化”到什么程度？甚至十年后的操作系统是什么样的我都想象不出来） 另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的"系统文件检查器"，通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧? 什么,你找不到! 吐血! 找一张98安装盘补装一下吧), 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用！)五、狡诈篇（只要你的一点点疏忽......)只要你有一点点的疏忽，就有可能被人安装了木马，知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。 1. 木马种植伎俩 网上“帮”人种植木马的伎俩主要有以下的几条 a.软哄硬骗法 这个方法很多啦, 而且跟技术无关的, 有的是装成大虾, 有的是装成PLMM, 有的态度谦恭,有的......反正目的都一样,就是让你去运行一个木马的服务端。 b.组装合成法 就是所谓的221(Two To One二合一)把一个合法的程序和一个木马绑定,合法程序的功能不受影响,但当你运行合法程序时,木马就自动加载了,同时,由于绑定后程序的代码发生了变化,根据特征码扫描的杀毒软件很难查找出来。 c.改名换姓法 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg *.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了) d.愿者上钩法 木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗;奉劝：不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意... 2． 几点注意（一些陈词滥调） a．不要随便从网站上下载软件,要下也要到比较有名、比较有信誉的站点，这些站点一般都有专人杀马杀毒； b．不要过于相信别人，不能随便运行别人给的软件；（特别是认识的，不要以为认识了就安全了，就是认识的人才会给你装木马,哈哈,挑拨离间......） c．经常检查自己的系统文件、注册表、端口什么的，经常去安全站点查看最新的木马公告； d.改掉windows关于隐藏文件后缀名的默认设置(我是只有看见文件的后缀名才会放心地点它的) e．如果上网时发现莫名奇妙地硬盘乱响或猫上的数据灯乱闪，要小心；

过时了，因为已经有清除方法清除方法： 1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根，键值为C:/windows/system/Kernel32.exe，删除它。 3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值，由中木马后的C:/windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能。如何识别木马先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，

玄殿社区_冰河木马2.2控制端 大小：6.15M 格式：RAR 下载地址： http://www.snurl.com/z334g&p=f534960b90134c87aa6a84243a060d7f.html 刚下载过，不错的!

木马简介前言 在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马，当初怎么就想不通它与病毒扯上关系了。经过一番了解，原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市，从而一举占领敌方城市的故事，因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟：它就是通过潜入你的电脑系统，通过种种隐蔽的方式在系统启动时自动在后台执行的程序，以“里应外合”的工作方式，用服务器/客户端的通讯手段，达到当你上网时控制你的电脑，以窃取你的密码、游览你的硬盘资源，修改你的文件或注册表、偷看你的邮件等等。 一旦你的电脑被它控制，则通常表现为蓝屏然死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵或文件被删除；时而死机，时而又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多等等。 不过要知道，即使发现了你的机器染上木马病毒，也不必那么害怕，因为木马病毒与一般病毒在目的上有很大的区别，即使木马运行了，也不一定会对你的机器造成危害。但肯定有坏处，你的上网密码有可能已经跑到别人的收件箱里了，这样黑客们就可以盗用你的上网账号上网了！木马程序也是病毒程序的一类，但更具体的被认为黑客程序，因为它入侵的目的是为发布这些木马程序的人，即所谓的黑客服务的。 本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。 木马的基本特征 木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征： 1、隐蔽性是其首要的特征 如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面： a、不产生图标 它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可； b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。 2、它具有自动运行性 它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 3、木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dllwinsysexplorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。 4、具备自动恢复功能 现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。 5、能自动打开特别的端口 木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。 6、 功能的特殊性 通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。 7、黑客组织趋于公开化 以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。 木马入侵的常用手法及清除方法 虽然木马程序千变万化，但正如一位木马组织的负责人所讲，大多数木马程序没有特别的功能，入侵的手法也差不多，只是以前有关木马程序的重复，只是改了个名而已，现在他们都要讲究效率，据说他们要杜绝重复开发，浪费资源。当然我们也只能讲讲以前的一些通用入侵手法，因为我们毕竟不是木马的开发者，不可能有先知先觉。 1、在win.ini文件中加载 一般在win.ini文件中的[windwos]段中有如下加载项： run= load= ，一般此两项为空，如图1所示。 图1 如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪装。 2、在System.ini文件中加载 我们知道在系统信息文件system.ini中也有一个启动加载项，那就是在[BOOT]子项中的“Shell”项，如图2所示。 图2 在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改"Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把“Explorer”改为别的什么名字，因为他知道还是有很多朋友不知道这里就一定是“Explorer”，或者在“Explorer”加上点什么东东，加上的那些东东肯定就是木马程序了。 3、修改注册表 如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是”RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce]，如图3所示； 图3 [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如图4所示。 图4 你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则立即删除。 4、修改文件打开关联 木马程序发展到了今天，他们发现以上的那些老招式不灵了，为了更加隐蔽自己，他们所采用隐蔽的手段也是越来越高明了（不过这也是万物的生存之道，你说呢？），它们采用修改文件打开关联来达到加载的目的，当你打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件（.txt）这个最常见，但又最不引人注目的文件格式关联来加载自己，当有人打开文本文件时就自动加载了冰河木马。 修改关联的途经还是选择了注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图5所示， 图5 如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的键值不是“c:windows otepad.exe %1”，而是改为“sy***plr.exe %1”。 以上所介绍的几种木马入侵方式，如果发现了我们当然是立即对其删除，并要立即与网络断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除。如果作了注册表备份，最好全部删除注册表后再导入原来的备份注册表。 在清除木马前一定要注意，如果木马正在运行，则你无法删除其程序，这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果你是在木马处于活动时删除该项的话它能自动恢复，这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。

软件本身的好坏要看适用性，能最好的适用就是最好的。至于对别的造成破坏的话那只是使用者的问题了。就想核能一样，本身就是最好的能源，但用来杀人就不好了，用来发电就是最好的

建议进入F8安全模式下,用腾讯电脑管家进行全盘的查杀即可.建议试试腾讯电脑管家吧.杀毒与防护2合1.腾讯电脑管家是腾讯公司出品的一款专业的安全软件，它采用4+1引擎，腾讯金山双云端，查杀能力已经达到世界一流水平，而且具有电脑管理功能，可以优化系统，修复漏洞，清理垃圾等等，是一款非常优秀的软件，建议您试用一下采用4+1引擎，拥有16层防护，杀毒+管理二合一的全新安软诚邀您的体验.希望能够帮到你.

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。 鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 原 理 篇 基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 (2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。 木马原理 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。 二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。 (六)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。 三.运行木马 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图： (1)由触发条件激活木马 触发条件是指启动木马的条件,大致出现在下面八个地方: 1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。 7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。 (2)木马运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例： 其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。 四.信息泄露: 一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。 从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。 五.建立连接： 这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。 如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。 六.远程控制： 木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。 (1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。 (2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序. 一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!隐形”木马启动方式揭秘大家所熟知的木马程序一般的启动方式有：加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]项和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]项中，更高级的木马还会注册为系统的“服务”程序，以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。 另一种鲜为人知的启动方式，是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”，可看到“本地计算机策略”中有两个选项：“计算机配置”与“用户配置”，展开“用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项进行属性设置，选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中输入要自启动的程序的路径，如图所示，单击“确定”按钮就完成了。 添加需要启动的文件面 重新启动计算机，系统在登录时就会自动启动你添加的程序，如果刚才添加的是木马程序，那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的，同样在我们所熟知的注册表项中也是找不到的，所以非常危险。 通过这种方式添加的自启动程序虽然被记录在注册表中，但是不在我们所熟知的注册表的[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]项和[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]项内，而是在册表的[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]项。如果你怀疑你的电脑被种了“木马”，可是又找不到它在哪儿，建议你到注册表的[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]项里找找吧，或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。 特洛伊木马NetBus v.1.60的中文说明概 述 此程序是一个遥控管理工具,更是一个在局域网或在全球因特网上同朋友逗乐的软件. 安 装 NetBus包含服务器和客户机部分,服务器必须安装在你想逗乐的人的计算机上.客户机属你掌握,它是控 制目标计算机的好程序. 把NetSever服务器,Patch.exe(可更名),放入目标计算机的任意位置并运行它,缺省时安装在Windows中, 以更开机时自动运行. 把NetSever客户机,装在自己的计算机里.开始NetBus,联结你选择的域名或(IP地 址);如果Patch已在你联结的目标计算机中已运行. 让我们开始逗乐! 注意:你看不到Patch在运行-它Windows开始时自动运行,并隐藏. Netbus和Patch使用TCP/IP协议.因此,你的地址有域名或IP号.NetBus会用Connect按钮把你和某人联上. 功 能 *弹开/关闭CD-ROM一次或间隔性自动开关. *显示所选择的图象,如果你没有图像文件的路径,可在Pacth的目录中找.支持BMP和JPG格式. *交换鼠标按钮-鼠标右键变成鼠标左键的功能. *开始所选择的应用程序. *播放所选择的声音文件, 如果你没有声音文件的路径,可在Pacth的目录中找.支持WAV格式. *点击所选的鼠标坐标,你甚至可你的鼠标在目标计算机中运行. *在银屏上显示对话框,回答会返回你的计算机中. *关闭系统,删除用户记录等. *用缺省网络浏览器,浏览所选择的URL. *发送键盘输入的信息到目标计算机中的活动应用程序中! *监视对方的键盘输入的信息,并发回到你的计算机. *清屏!(连接速度慢时禁用). *获取目标计算机中的信息. *上载你的文件到目标计算机中!用此功能,可上载Patch的最新版本. *增大和减少声音音量. *记录麦克风的声音,并将声音返回. *按一次键每次有声音. *下载和删除目标中的任何文件.你能下载/删除在目标计算机硬盘中所选择的文件. *键盘禁用功能. *密码保护管理. *显示,死机和集中系统中的窗囗. 上述功能一些选项在执行时,(逻辑排异),可能会延迟几秒. 连 接 Connect按钮有个很好的特点,它能扫描NetBus计算机中的IP地址.一旦连接它会停止扫描.IP扫描的 参数是xx.xx.xx.xx+xx,等. 127.0.0.1+15 将扫描IP地址的范围是127.0.0.1到 127.0.0.16

这个。。首先你要想方设法让被控制端运行G_server.exe才行，这样你才能控制他的电脑

您好，请不要传播病毒、盗号木马程序，恶意传播病毒和木马会污染互联网环境，请您加入到维护网络安全的大军中！QQ木马程序会导致您和他人的帐号和密码泄露，从而可能使您和他人的QQ财产，如游戏、QB等受到严重威胁，严重的还会违反法律。请您不要轻易安装陌生人传送给您的未知文件，有可能是病毒或者木马。建议您安装腾讯电脑管家对您的电脑进行实时防护，保护您的电脑安全运行，避免给您的财产和个人隐私带来威胁。腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

《冰河》是国内最著名的中文经典木马软件，在中国整个网络界（不仅仅是网络黑界）都非常有名，无论是在整体设计、功能设置还是界面制作上，都非常专业化。后辈出的各类木马，虽然在某些技术上超过了冰河，但就整体而言，TTY认为，冰河仍然是最好的。 更重要的是，冰河出现在中国网络起步的年代，而那个时代的木马到如今仍然如此强硬，不得不让人敬佩。 《冰河》一出世，立即就在网络传播开来，其传播之迅猛，令弱幼的中国网络害怕得发抖，其发抖引发的反馈波使冰河的作者黄鑫不得不隐身江湖，一隐就是多年不露面。 2003年4月10日，《冰河》作者黄鑫以力作《冰河陷阱1.0》重返江湖，在中国网络黑界再次掀起浪潮。 《冰河陷阱1.0》非常逼真地把你的计算机伪装成一台中了冰河木马的计算机，入侵者完全可以进行冰河木马所有功能的操作，其逼真程度简直另人吃惊。TTY拿到这款软件时，让休闲庄会员足足入侵了数小时，没有人怀疑这是假的。 更另人佩服的是，《冰河陷阱1.0》还能够设置所有伪装的内容，你可以设置你的计算机有几个硬盘分区、可以设置冰河截取的口令、可以设置你的进程等等，简直太完美了！！简直太绝了！！ 《冰河陷阱1.0》，也只有冰河的原作者才能制作出来！ 《冰河》，开创了中国网络木马的先河，同样，《冰河陷阱1.0》，也开创了中国网络木马伪装的先河。《冰河陷阱1.0》与《冰河》，都将载入中国网络发展的历史。。。。。 高手黄鑫在《冰河陷阱1.0》的说明书里简要讲述了该软件制作的动机： “冰河”的最终版本是2.2B版，而且在三年前(2000年4月)已经彻底停止开发了。其他的3.0、5.0、v60、v70、v80、2000、xp等所有高版本及各种“专版”都是别人利用资源修改工具或32位编辑器修改所得，并未征得本人同意。所做的修改主要限于版本号或作者、主页等明文信息，或者是类似把“主机没有响应”改成“硬盘已经损坏”等恶作剧信息，实际功能上没有任何改变，与2.2版本完全相同。 有些朋友出于对“冰河”程序的厚爱或者好奇等简单目的对“冰河”进行“升级”，对此我只能一笑置之，也没打算如何计较。原版“冰河”的使用说明中明确提到“作者允许并鼓励自由传播，但禁止用于商业用途或在传播的过程中以任何理由收取费用”，但最近却听说一个叫“冰河V60工作室”的网站利用这样“升级”出的“冰河”程序招收所谓“冰河黄金版”会员并收取费用。类似的骗钱网站似乎不只一处，无奈之下，不得不浪费几天时间写了一个小程序来应付这些与人品有关的无聊事情(详见本声明后的“冰河陷阱”使用说明)。

你好兄弟，冰河木马已经过时了，以前的灰鸽子，冰河的确是疯狂一时的木马，，但随着电脑技术的更新，但作者没有对木马更新，，因为灰鸽子的作者坐牢了，所以现在没有人使用者款老马了，，现在主流使用的有GHost，，上兴，终结者，，，，等等他们都是一类软件，，不过你需要会免杀，，不然木马再好不免杀也做不了任何事情

一种木马， 冰河2.2是目前Internet网上最为流行的中文黑客木马程序，界面直观友好，即使是初学者也非常容易掌握。由于绝大多数黑客木马都是外国人编写的英文程序，没有一定的英语水平和电脑网络知识就不容易掌握使用，所以冰河 2.2就成了大多数网络黑客初学者入门的实验程序，这也是目前冰河木马在网上泛滥的主要原因。要保护自己，防止黑客入侵，就要了解黑客使用的手段。网络初学者最好从冰河2.2入手，逐步掌握黑客软件的使用和功能，以达到保护自己的目的。

这个是什么看了就算你是新手也会入侵电脑了本文主要讲述用木马攻击别人电脑，国产木马冰河2.2很不错的软件，看完本文后你可以准备一下软件，来试试。呵呵别做违法的事情哦。本文的主要目的是让大家了解木马的攻击过程，熟悉了，就好防范了。开始了。。。步骤如下：首先的第一步是：所谓磨刀不误砍柴工嘛。。。 下载必备的工具软件。1号软件就是端口扫描工具“网络刺客II”，2号软件就是著名的国产木马冰河2.2的控制端。 下载完毕并解压缩之后跟我进行第二步! 第二步 运行1号软件，首先出现的是“网络刺客II注册向导”，别理它，点击“稍后(Q)”就进入了网络刺客II的主界面。 第三步 在网络刺客II的主界面里选“工具箱(U)”-》“主机查找器(H)”，就进入了“搜索因特网主机”界面。 第四步 进入“搜索因特网主机”界面后，“起始地址”栏填XXX.XXX.0.0其中XXX.XXX自己去选择了，比如你可以选61.128或选61.200 等等，“结束地址”栏填XXX.XXX.255.255其中XXX.XXX的选择要和前面一样。“端口”栏填7626，其他栏保持默认不动。 好了，以上设置就是要搜索从XXX.XXX.0.0到XXX.XXX.255.255这一段IP地址中有冰河木马的计算机了，再检查一下填对没有?如果一切OK，请点击“开始搜索”。 第五步 观察“总进度”和“段进度”是否在走动。如果没有走动，那一定是IP地址设置不对，请认真检查。如果两个进度都在走动，呵呵，你就成功一半了，至少你会使用网络刺客II扫描网上开放某一端口的计算机了。下面你要作的就是静静的等待，学用黑客软件是需要耐心的。大约20-30分钟后，最下面的记录栏里就应该出现记录了(一般情况下，应该有5、6条记录)。每一条记录代表找到的中了冰河木马的一台计算机，前面是该计算机的IP地址，后面是7626(冰河木马端口)。 第六步点击“停止搜索”，但不要退出程序，到第十二步时还要用。运行2号软件冰河，进入冰河主界面。选“文件[F]”-》“添加主机[A]”进入添加主机窗口。 第七步 在“添加主机”窗口，“显示名称”里填入第五步里搜索到的第一条IP地址，当IP地址填入“显示名称”里后，“主机地址”里就自动填入相同的IP了。“访问口令”不填，“监听端口”保持默认的7626。 好了，检查一下IP有没有填错，如果OK，点击“确定”，在冰河主界面的“文件管理器”里就出现了刚才填入的IP地址了。第八步 这一步和下一步最重要，请认真看清楚!在冰河的主界面里，点击“文件管理器”里的“我的电脑”，这时“文件管理器”右边的框里就会出现你自己的硬盘分区。比如，如果你的硬盘分的是四个区，“文件管理器”右边的框里就会从上往下依次出现C:、D:、E:、F:，如果你的硬盘分的是两个区，就会出现C:、 D:。 第九步 点击“文件管理器”里刚才输入的第一条IP地址，稍等片刻(网速慢的情况下约10-30秒)，在“文件管理器”右边的框里就会出现对方计算机的硬盘分区了。看到了吗?看到了?呵呵，祝贺你，你已经成功地进入对方的计算机了!!!!! 第十步你发现没有出现对方计算机的硬盘分区!!呵呵，别急，看看冰河主界面最下端的状态栏里有什么提示，如果是下面两种情况，就放弃，返回第七步，填入搜索到的第二条IP地址: 1、状态栏里出现“口令不对”、“口令错误”、“密码不对”、“密码错误”等之类的提示，表示该计算机的冰河木马是加了密码的，没有办法，只得放弃! 2、状态栏里出现“正在解释命令，可能是1.2以前版本”等之类的提示，也放弃，新手是搞不定的，如果以后你熟练了可以给对方升级，这是后话!! 第十一步 如果出现的是“主机没有响应”、“无法与主机建立连接”之类的提示，先别忙放弃，重复3-4遍第八步到第九步的操作，即点击“我的电脑”-》点击输入的IP地址，如此反复3-4遍后，还是不行的话再放弃，返回第七步，填入搜索到的下一条IP地址。 第十二步 如果所有搜索到的IP地址按照第七步至第十一步操作后都不能进入对方计算机，呵呵，那是你的运气太差!别急，这样的运气是经常碰到的!再返回第五步，在“搜索因特网主机”界面里点击“开始搜索”，这时该程序又从你停止的IP地址接着往下搜索了!!呵呵，等吧!!搜索吧!!只要你有时间，你一定能成功! 第十三步 终于成功了!我见到对方计算机硬盘分区了!呵呵，怎么样?你成功了，我的任务就完成了。进入对方计算机后，所有的操作和自己计算机“文件管理器”里的操作一模一样!就没什么黑不到过来的了!这道快餐是专门为从来没有通过网络进入过对方计算机的网络新手们准备的，主要使用的软件就是著名的国产木马冰河2.2，所以，如果你已经使用过冰河2.2，就不必跟着我们往下走了。其他有兴趣的网络新手们，嘿嘿，开始吧，开始你的木马旅程。。。rus

楼主你好建议用专业的软件查杀，靠自己观察是很难准确判断的推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量杀毒保护也是很不错的，以良好的表现相继斩获Checkmark（西海岸）、AV-Test、AVC、VB100四项国际最权威的反病毒测试，继续包揽国际杀软测试“四大满贯”，处于全球安全软件第一阵营安装运行腾讯电脑管家后可以很醒目的看到杀毒选项你可以根据需要选择闪电查杀、全盘查杀、和自定义位置查杀三种模式进行查杀

1.木马和游戏一样的，2.你要当GM，而让别人玩游戏却又都受你监控，3.所以你就想办法让别人玩你的游戏就行了，方法太多，有损道德就不列举了，4.你在做游戏的时候，肯定是先把自己的电脑做成服务器的，然后别人玩游戏的时候就会把数据反馈给你。

您好：电脑上常见的木马病毒有灰鸽子、熊猫烧香。僵尸病毒、冰河木马、鬼影等木马病毒，虽然木马病毒的种类比较多，您可以使用腾讯电脑管家保护您的电脑防止木马病毒的骚扰的哦，您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

木马，全称为：特洛伊木马（Trojan Horse）。 “特洛伊木马”这一词最早出先在希腊神话传说中。相传在3000年前，在一次希腊战争中。麦尼劳斯（人名）派兵讨伐特洛伊（王国），但久攻不下。他们想出了一个主意：首先他们假装被打败，然后留下一个木马。而木马里面却藏着最强悍的勇士！最后等时间一到，木马里的勇士全部冲出来把敌人打败了！ 这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里，掩饰真正的企图。 至于黑客程序里的特洛伊木马和故事里的特洛伊木马差不多。 黑客程序里的特洛伊木马有以下的特点： （1）主程序有两个，一个是服务端，另一个是控制端。 （2）服务端需要在主机执行。 （3）一般特洛伊木马程序都是隐蔽的进程。 （4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在接受命令后，会执行相应的任务。 （5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等） 在许多人眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病毒的性质。（包括：转播，感染文件等。） 特洛伊木马程序的发展历史： 第一代木马：控制端 —— 连接 —— 服务端 特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。 典型木马：冰河，NetSpy，back orifice（简称：BO）等。 第二代木马：服务端 —— 连接 —— 控制端 特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态连接库）隐藏进程的，甚至出现能传播的木马。 典型木马：网络神偷，广外女生等。（反弹端口型木马）参考资料：http://www.54master.com/bbs/cgi-bin/topic.cgi?forum=3&topic=6548

在兼容机的操作过程中“非法操作”是很常见的故障现象。软件方面1.由软件自身的不完善(BUG)引起典型例子：Photoshop图形软件在运行时产生的“非法操作”。解决：将软件升级为高版本或升级补丁程序。如安装Windows 98的sp1就非常必要了。运行期间，应减少其他程序对内存的占用，可关闭病毒防火墙、减少剪贴板中的不必要内容。也可根据自己的情况，升级一下显卡、声卡、或是显示器的驱动程序或将它们更换成新件。2.由病毒感染、病毒的残留“僵尸”、冰河木马引起典型例子：.DLL文件失效。解决：(1)在有些病毒的发作过程中，往往会伴随着一些文件的改动。一旦某些重要文件(如.sys .dll .vdx...)被改动过以后，机器会很难正常工作。方法如下：先用干净的引导盘启动微机，后用最新的杀毒软件清除病毒，再用“系统文件检查器”或者“Ext.exe”进行文件的恢复。(2)终止内存中正在运行的冰河木马,然后进入注册表，删除“KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent-VersionRun”和“RunServices”的键值；将“HKEY_CLASSES_ROOTxtfileshellopenco-mmand”的键值改成“C:WindwosNOTE-PAD.EXE %1”；重启到DOS，再到硬盘C:WindowsSystem中，将Kernel32.exe和Sysexplr.exe删除。3.由系统文件的损坏或丢失引起典型例子：Rundll32程序执行无效，即将关闭。解决：方法一：当按下“详细资料”按钮时，若显示：“Rundll32 caused a general protection fault in module Mmsystem.dll....”信息，原因很可能就是你的 System.ini 文件里，在[boot]这个区段中，少了：drivers =mmsystem.dll 这一行造成的。你自己补上去就可以解决了。为什么会有这个错误的发生呢？大部分都是由于在使用控制面板“添加新硬件”时，使用不正确而造成的。例如，需要你提供驱动程序而你又不能提供正确的驱动程序造成的。使用记事本，打开位于 C:Windows 下的System.ini 文件。找到“[boot]”这个区段。补上一行“drivers=mmsystem.dll”。补上后，保存，然后重新开机。如果你不能确定该故障是由什么原因造成的，可以用“系统文件检查器”，在设置之中，选择“检查删除的文件” 、“检查修改过的文件”，还可以添加新的文件类型来进行检查、恢复。4.由软件之间的不兼容引起典型例子：Windows 98下的KVW3000所引起的“非法操作”。解决：在前面，我曾讲过Windows 9x“内存管理”的概念，病毒软件运行过程中将不遵循这种方式，最终造成“非法操作”的出现。具体方法：对扫毒软件的升级，或者不用病毒防护。还可以不加载 Windows 9x的内存管理程序Emm386.exe。5.由缓存设置不合理引起典型例子：极少出现的，没有规律可循。解决：遵循缓存的设置规则：(1)Win386.swp是Windows的“虚拟内存交换文件”，简单地说，就是拿一部分硬盘空间当作内存使用，先把一些内存中闲置太久的程序，放到硬盘上，等CPU要用的时候，再从硬盘的win386.swp里读出来。它的大小按物理内存的2倍来设置。(2)在Windows 98下，使用虚拟设备磁盘缓存Vcache。在“系统配置实用程序”中，找到sysytem.ini，再找到“[vcache]”小节，添入： MinFileCache=16384 MaxFileCache=16384 ChunkSize=512。上面的数值是以64MB为例采取的，一般原则是：物理内存×25%×512=VCache。(3)CD-ROMCache优化，注册表中“HKEY_LOCAL_MACHINESystmCurrentControlSetcontrolFileSystemCDFS”，右边能看到“CacheSize”和“Prefetch”。如果你现在是使用Windows 98推荐的4倍速设置的话，它们的值应该是“0000026b”和“000000e4”，我们需要分开来修改这两个数值，我这里省略了计算方法，大家可以参考以下数据值，并根据自己的需要来修改吧，修改完后需要重新启动。6.由系统资源匮乏引起典型例子：打印或保存时引起的“非法操作”。解决：升级内存，加大缓存。移除一些不必要的软件，如：桌面主题、屏幕保护、计划任务、声音和输入法指示器、声卡的DOS驱动程序、防火墙、查毒软件、背景、Office 2000的竖式工具栏等等。最好是在启动微机后，先运行比较大的软件。还应加上一个良好的内存管理专家软件。

通过防火墙查IP 由于QQ使用的是UDP协议来传送信息的，而UDP是面向无连接的协议，QQ为了保证信息到达对方，需要对方发一个认证，告诉本机，对方已经收到消息，防火墙(例如天网)则带有UDP监听的功能，因此我们就可以利用这个认证来查看IP，哈哈，得来全不费功夫！ 现在让我们举一个实际的例子来看看如何用天网查IP。 第一步：打开天网防火墙的UDP监听； 第二步：向他(她)发送一个消息； 第三步：查看自己所用的QQ服务器地址，在本例中是202.104.129.252； 第四步：排除QQ服务器地址，判断出对方的IP地址，在本例中是61.133.200.90； ] 怎么样，他(她)跑不掉了吧？闲太麻烦？要知道腾迅的QQ升级速度比火箭都快，用前两个办法总是有版本限制的，用这个方法可是一劳永逸啊！ 4.通过NetXRay查IP NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件，功能很强大。用一个功能如此强大的武器来查QQ的IP，有点“大才小用”了。 第一步：运行NetXRay，在菜单中选取tools→Matrix 第二步：选择选择下端出现的IP标签。 第三步：按右键，在弹出的菜单中选中Show Select Nodes 第四步：打开QQ和你想查的人聊上一句，同时观察窗口，在数据包发送的那一瞬间颜色有变化的数据线就是你和他之间的IP连线。看看数据线的另一头，那个ip地址(61.138.121.18)就是你梦寐以求的东西。 用NetXRay查QQ用户IP地址的方法还有好几种，其余的方法大家可以自己摸索试试 查QQ用户IP地址的方法和工具还有很多，这里介绍的方法已经足够你用的了，实在不行，自己找一些这方面的工具用用，很容易的。 二、聊天室中查IP 1.用IP Hunter IP Hunter是独孤剑客开发的软件。用IPHunter在聊天室查IP方法如下：在允许贴图、放音乐的聊天室，利用HTML语言向对方发送图片和音乐，如果把图片或音乐文件的路径设定到自己的IP上来,那么尽管这个URL地址上的图片或音乐文件并不存在，但你只要向对方发送过去，对方的浏览器将自动来访问你的IP。对于不同的聊天室可能会使用不同的格式，但你只需将路径设定到你的IP上就行了。实例说明如下： 如：“***聊天室”发送格式如下： 发图象：img src="http://61.159.91.29/love.jpg" 发音乐：img bgsound="http://61.159.91.29/love.mid" 在IP Hunter的“对方IP地址”栏中就会显示出他(她)的IP。 局限性：如果对方在浏览器中将图象，声音全部禁止了，此方法无能为力。对于使用代理服务器的，此方法也只能查到他所用代理的IP地址，无法查到其真实IP地址。 2.用F_ip F_ip是一个网络工具，可以查本地IP和远程IP。用F_ip查IP必须在支持WEB的聊天室才可以使用，也就是说，你可以在聊天室贴自己主页上的图片，你才能使用这个功能。 首先：运行f_ip，看到“http:”页面里有2句html语句，假设你看到的第一条是img src=http://61.159.91.23/001.gif，如果你所在的聊天室也是用这条命令贴图，那么你就可以直接使用它向你想查ip的人发这句话，1分钟之内就会在文本框中输出对方的ip，如果你所在的聊天室不支持img src=http://61.159.91.23/001.gif语句，就用所在聊天室所用的语句，但记住要把地址换成你的IP。 3.利用聊天室中的资料文件查IP 有些聊天室的服务器会把使用者的资料或对话及IP地址存为一个文件，并且大多数的服务器并没有将这个文件做加密处理，所以，我们可以通过访问这个文件从而得到用户的IP地址列表。这些文件通常是叫：online.txt 、userdata.txt 、message.txt、whoisonline.txt、或干脆就叫IP.txt。你只要在浏览器中叫出那个文件来看就可以查看一切了……由于本方法对聊天室威胁太大，因此这里就不介绍具体查找文件的方法了，在此提出的只是个思路而已。 三、查任意一个人的IP地址 1.主动查对方的IP 这种查任意一个人IP地址的基本思路是：若想知道对方的地址，只需设法让对方访问自己的IP地址就可以了，一旦对方来访问，也就建立了一个SOCKET连接，我们就可以轻松地捕获他(她)的IP地址。当然前提他得在线。 第一步：申请一个转向域名，如126.com等，并在网上做一个主页(主页无论怎么简单都可以，目的是为了查IP地址嘛)； 第二步：在你想查别人IP的时候，到你申请域名的地方，将链接转到你的IP； 第三步：打开查IP地址的软件，如IP Hunter； 第四步：告诉那个你想查其IP地址的人，想办法(是用甜言蜜语还是美…计，就看你的了)让他去你的网站看看，给他这个转向域名； 第五步：当他输入此网址以后，域名会自动指向你的IP，因此你就能知道他的IP了； 第六步：当你查到他的IP地址后，再将转向的地址改为你网站的地址，达到隐藏的目的。 2.被动查对方IP 如今的网上真的不大安静，总有些人拿着扫描器扫来扫去。如果你想查那个扫你电脑的人的IP，可用下面的方法。 一种做法是用天网，用软件默认的规则即可。如果有人扫描你的电脑，那么在“日志”中就可以看到那个扫你的人的IP了，他扫描你电脑的哪个端口也可从中看出。由于我们在前面已经讲了用天网查QQ用户IP的方法，因此在这里就不多说了。 另外一种做法是用黑客陷阱软件，如“小猪快跑”、“猎鹿人”等，这些软件可以欺骗对方你的某些端口已经打开，让他误以为你已经中了木马，当他与你的电脑产生连接时，他的IP就记录在这些软件中了。以“小猪快跑”为例，在该软件中有个非常不错的功能：“自定义密码欺骗端口设置”，你可以用它来自定义开启10个端口用来监听，不大明白？OK，下面就以把自己的计算机伪装成中了冰河木马为例，看看可爱的小猪是怎样欺骗对方、如何查到扫描者的IP的吧！ 点击“端口设置”选“自定义木马欺骗端口设置”，进入“木马欺骗端口设置”对话框。 在“木马欺骗端口设置”界面上用鼠标选中“端口1”，“端口数”填冰河木马的默认端口7626，其他不用填，点击“设置完毕”退出。好了，冰河木马欺骗端口设置完毕。 现在回到“小猪快跑”的主界面，点击“开始监视”，工作区内立即出现“7626端口开始监视”的提示，欺骗开始了…… 这时，如果有“灰”客对你的计算机进行扫描，他就会发现你计算机的7626端口开着，这个“灰”客自然会以为你中了木马冰河呢。当他用冰河控制端登陆你的计算机时，冰河会告诉他“命令发送完毕”，由于你没有中木马，所谓的木马是你设置出来的假木马，因此他也就无法再进行下一步了。无论他登陆多少次，都只会看到“命令发送完毕”，而“小猪快跑”的主窗口中却清清楚楚地显示出“***.***.***.***试图连接你的7626端口，已经开始欺骗”。其中“***.***.***.***”就是对方的IP地址了，知道了对方的IP地址后，你就可以爱怎么办就怎么办了。 四、查互联网中已知域名主机的IP 1.用Windows自带的网络小工具Ping.exe 如你想www.sina.com.cn的IP地址，只要在DOS窗口下键入命令“ping www.sina.com.cn”，就可以看到IP了。 2.用工具查 这里我们以网络刺客II为例来说说。 网络刺客II是是天行出品的专门为安全人士设计的中文网络安全检测软件，运行网络刺客II，进入主界面，选择“工具箱”菜单下的“IP<->主机名”，出现一个对话框，在“输入IP或域名”下面的框中写入对方的域名(我们这里假设对方的域名www.sina.com.cn)，点击“转换成IP”按钮，对方的IP就出来了，是202.106.184.200。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。 病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。 与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。 “木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。 一、木马的特性 特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。 木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。 二、木马发作特性 在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。 三、木马的工作原理以及手动查杀介绍 由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿) “木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 A、启动组类(就是机器启动时运行的文件组) 当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。 1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。 2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。) 3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在 C：windowswinstart.bat和C:windowswinnint.ini，还有Autoexec.bat B、注册表(注册表就是注册表，懂电脑的人一看就知道了) 1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserS!hellFolders HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerUserShellFolders HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShellFolders 2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 3、此外在注册表中的HKEY_CLASSES_ROOTexefileshellopencommand= “1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。 注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记) C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口) 1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有 BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243 那么如何查看本机开放哪些端口呢？ 在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555) 2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。 3、系统进程： 在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。 在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。 四、软件查杀木马介绍 上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件， 1、瑞星杀毒软件。 2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。 3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了) 4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。 有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。 软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。 五、木马的防御 随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已) 1、不要下载、接收、执行任何来历不明的软件或文件 很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。 2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。) 3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。 4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。 5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。 6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。 六、木马传播的个别范例(给大家介绍一个邮件类的) 1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。 目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。 (作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛) 下边是正题了，大家看仔细了！ 假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。 {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下： 您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？ 欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。 在某些恶意网页木马中还会调用“WScript”。 WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。 最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。 七、关于“木马”的防御(纯属个人意见，不付法律责任) 防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！ 但是对网吧上网的来说，再好的防御也是白撤。 据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦) 总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！ 网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~ 八、关于大家都用的醉翁巷1.1G的说明 用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！ 其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。 什么是勾子 在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。 勾子的类型 按使用范围分类，主要有线程勾子和系统勾子 (1)线程勾子监视指定线程的事件消息。 (2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。 醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了) 九、大总结(就是对上边的大总结啦) 大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。 下面给大家说一下我机器的防护装备：(一共就5样) XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:ProgramFiles1000yClient.exe要连接网络，是否放行。它就是这样来防范的。 瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。 还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。 木马克星：这个我就不多说了，网络游戏玩家必备的东东。 十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。 以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

如果没有“冰河”这个软件朋友也不用着急，请用下面的方法查找并解除木马。运行REGEDIT命令打开注册表编辑器，在KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 查看键值中没有自己不熟悉的自动启动文件，扩展名为EXE。（一般“冰河”的默认文件名为KERNEL32.EXE，注意此文件的名字可能会被种马的人改变）。如果有，那我们现在开始进行修改，先删除该键值中这一项，再删除RUNDRIVES这个键值。 一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR.EXE。A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择“文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项，看一下“打开方式”有无变化（一般为：NOTEPAD），如果关联对象不是NOTEPAD，选择“编辑”按钮，在“操作”框中删除“OPEN”这一项，那关联 TXT文件的用户程序就失效了。B、如果是关联的EXE文件，那打开注册表编辑器，在HKEY_CLASSES_ROOT.exe中把 “默认”的键值随便改成什么（注意看清楚，等会儿要改回来）。以上这两步做完后，退出WINDOWS，在DOS状态下删除该“冰河”用户端程序，重新启动即可。注意：要把EXE文件的注册表改回来。 好了，再搜索用木马程序看有没有。【TS。DM】

方法一： 　　如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP，看一下扫描结果是否为“ＯＫ”，并且左边的“文件管理器”中会出现自己的IP吗？如果有，在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。 方法二： 　　如果没有“冰河”这个软件朋友也不用着急，请用下面的方法查找并解除木马。 　　运行REGEDIT命令打开注册表编辑器，在KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 查看键值中没有自己不熟悉的自动启动文件，扩展名为EXE。（一般“冰河”的默认文件名为KERNEL32.EXE，注意此文件的名字可能会被种马的人改变）。 　　如果有，那我们现在开始进行修改，先删除该键值中这一项，再删除RUNDRIVES这个键值。 一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR.EXE。 　　A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择“文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项，看一下“打开方式”有无变化（一般为：NOTEPAD），如果关联对象不是NOTEPAD，选择“编辑”按钮，在“操作”框中删除“OPEN”这一项，那关联 TXT文件的用户程序就失效了。 　　B、如果是关联的EXE文件，那打开注册表编辑器，在HKEY_CLASSES_ROOT.exe中把 “默认”的键值随便改成什么（注意看清楚，等会儿要改回来）。 　　以上这两步做完后，退出WINDOWS，在DOS状态下删除该“冰河”用户端程序，重新启动即可。 　　注意：要把EXE文件的注册表改回来。 好了，再搜索用木马程序看有没有（没有了吧，偷着笑吧^_^，不用格式化硬盘了） 　　

提起“冰河”木马，相信没有多少网民不知道。作为国内木马程序的经典之作，它操作简单，功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发，但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”，更有甚者已经开始对修改后的冰河程序进行收费，这引起了原作者黄鑫的注意。 为了防止这种不良影响，他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序，主要有两大功能：一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端，记录入侵者的所有操作。 下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。 第一步：清除冰河木马 把压缩包内的文件解压到一个目录，运行“冰河陷阱.exe”，如果当前系统中已经被别人植入了冰河木马的话，这时它会提示你是否自动清除冰河木马被控端程序，当然要选择“是”了，接下来它会显示出这个安装的“冰河”木马的配置信息，点击[确定]按钮，冰河陷阱就会自动彻底地从系统中清除冰河木马，并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看，注意记下“监听端口”中的数字“7626”(也可能会是其他数字)，后面要用到。 另外还要记下“接收IP信箱”后面显示的邮箱，这就是入侵者接收你的IP地址以及密码等信息的信箱，以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。 我在试用中发现如果“冰河陷阱.exe”处于运行状态，冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序，并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项，让它开机自动运行。 第二步：请君入瓮 接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后，点击“设置”菜单中的“设置监听端口”，然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样)，然后单击工具栏中的[打开陷阱]按钮，再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应，使入侵者以为你的机器仍处于他的控制之下。 当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时，可以在系统托盘中看到冰河陷阱图标不断闪烁报警，同时还有声音报警。双击图标打开“冰河陷阱”主界面，在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。 另外，冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮，可以直接给入侵者发送一个反击消息，当然越恐怖效果越好，保证让这个入侵者“丢盔弃甲”，落荒而逃，再也不敢冒犯你了。

提起“冰河”木马，相信没有多少网民不知道。作为国内木马程序的经典之作，它操作简单，功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发，但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”，更有甚者已经开始对修改后的冰河程序进行收费，这引起了原作者黄鑫的注意。为了防止这种不良影响，他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序，主要有两大功能：一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端，记录入侵者的所有操作。第一步：清除冰河木马把压缩包内的文件解压到一个目录，运行“冰河陷阱.exe”，如果当前系统中已经被别人植入了冰河木马的话，这时它会提示你是否自动清除冰河木马被控端程序，当然要选择“是”了，接下来它会显示出这个安装的“冰河”木马的配置信息，点击[确定]按钮，冰河陷阱就会自动彻底地从系统中清除冰河木马，并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。另外还要记下“接收IP信箱”后面显示的邮箱，这就是入侵者接收你的IP地址以及密码等信息的信箱，以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。我在试用中发现如果“冰河陷阱.exe”处于运行状态，冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序，并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项，让它开机自动运行。第二步：请君入瓮接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后，点击“设置”菜单中的“设置监听端口”，然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样)，然后单击工具栏中的[打开陷阱]按钮，再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应，使入侵者以为你的机器仍处于他的控制之下。当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时，可以在系统托盘中看到冰河陷阱图标不断闪烁报警，同时还有声音报警。双击图标打开“冰河陷阱”主界面，在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。另外，冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮，可以直接给入侵者发送一个反击消息，当然越恐怖效果越好，保证让这个入侵者“丢盔弃甲”，落荒而逃，再也不敢冒犯你了。立即下载：冰河陷阱

目前网络上“菜鸟”（初学者）很多，稍不留神就会中了“冰河”，冰河凭借其强大的功能、简单的操作而广泛流传，目前国内中此木马者最多，许多人想了解木马冰河，但又不知如何下手，所以小弟整理了一下资料，以供大家参阅，由于时间仓促，本书有很多不足之处，望各位高手指点。首先下载冰河，点击冰河主程序（就是图标是小刀的那个文件，文件名G_Client.exe，大小454K），出现主界面： 首先，配置本地服务器程序，单击从右边数过来第三个图标（或在设置－配置服务器程序），弹出服务器设置。 在基本设置中：安装路径指服务器程序运行时，自动安装在哪个文件夹；文件名称指服务器安装后程序的名称，进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名；访问口令指如果您加了密码，访问中此木马的密码；敏感字符指你想要获取对方密码的关键词，比如输入password，冰河服务端将记录password的密码；提示信息指对方运行服务端出现的窗口，比如说此文件已损坏等骗人的话；监听端口指中冰河者打开的端口，您用冰河控制端通过这个端口访问；自动删除安装文件指对方运行服务端后，是否删除本身（就是运行后，程序不见了，而会在其它地方安装了）禁止自动拨号指运行服务端后，是否马上拨号上网连接。 在自我保护中：已经写的很清楚了，不再重复！ 在邮件通知中：不再重复。注意SMTP服务器指发送邮件服务器地址，通常申请邮箱时服务商会提供。 根据您的需要配置好服务端，把他发送给对方，最好用捆绑软件捆绑加密一下。 如果您想找现成的中了木马冰河的机器，就用冰河的搜索计算机功能（速度很慢）扫描，扫描后该知道干什么了吧！ 注意：使用时，1、自己应当关闭防火墙，否则将失败！ 2、小心“小猪快跑”等软件的反追踪！ 3、填写密码时，按旁边的应用才会有效！ -------------------------------------------------------------------------------- 冰河凭借着简单易用、功能强大，而且国内感染率最高，深受广大菜鸟的喜欢，万能密码05181977的出现更吸引了无数的崇拜者，而且前些时候冰河第一站(http://knifes.126.com)发布冰河有重大的漏洞（本站电脑安全文章也有此篇文章“不需要任何密码就能到达中了冰河的机器”），更一步使冰河广泛应用。 自从2000年3月17日原作者“黄鑫”发布冰河V2.2[DARKSUN专版]以后，作者就停止了开发，然而网络便有一些人开展了冰河的后续版本，如冰河V2.2改良版本、冰河V3.0[YZKZERO专版]、冰河V3.3[OICQBOY专版]、冰河V4.0[Hyne专版]等等等等。然而笔者容笑惊奇地发现，这些版本，作者都声称没有万能密码，但事实却摆在眼前，都给自己留了一条后路，把万能密码改了一下！见下图： 2.2版：Can you speak Chinese? （容笑试了没用，可能是另外一个版本） 2.2版：05181977 3.0版：yzkzero! 3.3版：******?*（*号代表空格） 4.0版：05181977 3.0版：yzkzero.51.net 3.0版：yzkzero! 3.1-netbug版密码: 123456!@ 2.2杀手专版：05181977 2.2杀手专版：dzq20000! 这只是一小部分，实际上只要通过一个最常用的工具，就能使它们的万能密码显出原形，而且操作非常方便，就算刚刚学会电脑的人也会操作，根本不用什么跟踪软件等等。 方法如下： 准备两个版本冰河的服务端（就是木马，你自己不能点击的那个，文件名一般为G_server.exe，微软的图标，就是平时文件没有指定程序打开出现的图标，下载地址：http://www.heihoo.com/反正下载地址多的是，哪方便、哪速度快就下载去吧！）和UltraEdit（一个文本编辑器，http://www.inhua.com有下载，而且有汉化包）。 首先用ultraEdit打开两个服务端程序（注意：可不是双击它们的图标，否则自己中木马了，一定要用UltraEdit打开，切记！切记！）然后“文件→比较文件”，再跳出的窗口中，在“不同之处不同颜色、忽略空行和空格、只显示彼此不同的行”前面的对钩打上。 然后，按一下比较文件按钮。看到了没有，万能密码出来了！ 阿酷注：此简单方法对于改动大的冰河改本比较麻烦，可能一时找不出万能密码，这是因为不同处太多，一时无法找到，但容笑相信肯定会显示出来的！ 冰河出现到现在，使用得如此之广，影响如此之大。 却万万没有人想到冰河服务端竟然存在着如此严重的漏洞：“不需要任何密码就可以将本地文件在远程机器上打开!!!” 漏洞一：不需要密码远程运行本地文件漏洞。 具体操作：工具用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行!!! 我们只要利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了。(当然也可以上传任何一个木马程序的服务端实现) 漏洞二：不需要密码就能用发送信息命令发送信息，(不是用冰河信使，而是用控制类命令的发发送信息命令)。 这些漏洞都是本人在实际使用冰河时发现的，在此之前也是万万没想过冰河竟是 如此的不堪一击! 安全警告：大家不要用冰河作远程传送，管理程序用，就算是设密码，改端口，只要端口一露，就完完了。 有不少人到现在还在用冰河作远程管理程序用，千万不要迷信设有密码就能高枕无忧了，只要扫到了冰河打开的端口，就连通用的密码也省了，就能进入，进入后再把先前的那个服务端手工删除掉，这台机就是你一个人的了(当然是排除了中了几个木马的情况，就是中了几个木马你也可以手工删除，得以实现的)。 后话：冰河自从黄鑫出了DARKSUN2.2专版后，陆续有人以此版为蓝本修改冰河服务端，于是有了3.0，3.1，3.3，3.4，3.5，v9.9,4.0,4.1各种版本其中大部分都只是改了服务端的通用密码，并且每个修改者都说自己改的是无通用密码版，一当自己改版被破解又出个所谓的“无通用密码版”，现在的冰河服务端都会有通用密码，试问有那个修改者，在修改时不把通用密码换成自己的。更让人气的是有不少冰河版本只将通用密码改成自己的，然后在公布时大声宣称此版为“无通用密码版”，知道这些内幕后我们不必去追求这些自私自利人改的无密码版。何况，冰河存在着现在这样的一个严重漏洞! 附：冰河各版本的通用密码 2.2版：Can you speak Chinese? 2.2版：05181977 3.0版：yzkzero! 4.0版：05181977 3.0版：yzkzero.51.net 3.0版：yzkzero! 3.1-netbug版密码: 123456!@ 2.2杀手专版：05181977 2.2杀手专版：dzq20000! 冰河有许多版本，导致卸载冰河无一“绝对”方法。 （1）清除冰河V1.1的方法 找开注册表Regedit; 打开HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN,删除“C:WINDOWSSYSTEMKERNEL32.EXE”和"C:WINDOWSSYSTEMSYSEXPLR.EXE"两项。 如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE（因为程序正在运行，无法删除，所以先要终止） 如果没有进程软件，就重新启动到DOS窗口，删除（DEL）C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE。 （2）清除冰河V2.2[DARKSUN专版]方法 因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变，所以查杀难度复杂，以默认的配置为例，查看注册表HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN和HEKY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNSERVICE两项，把陌生的文件路径删除（要有一定的WINDOWS的基础才能删除），然后根据路径按照V1.1的方法删除文件。 （3）清除盗版冰河（就是改变万能密码的冰河版本）的方法 盗版冰河与冰河[DARKSUN专版]仅是多了一个文件，原来冰河V2.2[DARKSUN专版]在HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN和HEKY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNSERVICE只启动一个程序，现在启动两个程序，另外多出的一个程序的功能就是恢复第一个程序（即服务端），所以清除的时候把另外多出的程序也删除。 上次介绍的方法只能在默认的方法下使用，所以很难奏效！下面介绍几种方法可以彻底查杀！ 一、自杀行动！ 就是下载相应的版本的冰河，利用控制端来卸载服务端。方法如下：启动控制端，在添加主机里添加127.0.0.1（就是脱机状态下的默认IP地址），按应用，如果链接成功，在命令控制台→控制类命令→系统控制→自动卸载冰河，把冰河成功卸载，如果状态栏显示口令错误，无法链接（这是因为在你电脑植入冰河木马的人加了密码，有密码才能链接），试试下面的万能密码： 2.2版：Can you speak Chinese? 2.2版：05181977 3.0版：yzkzero! 4.0版：05181977 3.0版：yzkzero.51.net 3.3版：******?*（*号代表空格） 3.0版：yzkzero! 3.1-netbug版密码: 123456!@ 2.2杀手专版：05181977 2.2杀手专版：dzq20000! 如果成功了按上面的方法，卸载冰河！ 二、杀毒软件 用杀毒软件把冰河服务端卸载掉，容笑推荐大家用金山毒霸把服务端卸载掉（因为据容笑测试，金山毒霸对各种版本的冰河查杀率最高），杀毒以后，可能文件文件或EXE（可执行文件）不能打开，所以杀毒前最好先检查一下冰河有没有把文本文件关联，如果关联了，先恢复，查看方法是在我的电脑的菜单栏“查看”→“文件夹选项”→“文件类型”，找到文本文件图标查看是否用C:WINDOWSNotepad.exe程序打开，如果不是，大概是冰河木马关联了文本文件！恢复方法是在打开方式中选择C:WINDOWSNotepad.exe程序打开即可或直接按住SHIFT，用鼠标右键单击文本文件，在右键上选择打开方式，选择C:WINDOWSNotepad.exe，而且在“始终使用该程序打开这种类型的文件”前面的钩打开，确定即可。如果感染了EXE文件，恢复的办法，最最简单的方法就是恢复注册表，如果感染冰河在5天以内，可在DOS状态下用scanreg/restore命令恢复，时间长一点，导入以前备份的注册表（备份注册表很重要，容笑建议经常备份注册表）。此方法对于屡屡升级的冰河，可能作用不大！ 三、我想关键问题还是在于预防，备份重要数据和系统文件；不要随意打开邮件的附件（最好不要用OE5.0或5.5），因为它们有一个漏洞，就是可以自动执行附件；下载软件一定要到大的网站去下载，它们有专门人员负责杀毒，减低风险！笔者建议大家装三个软件，一、天网防火墙（即使您中了冰河木马，有天网保护，谁有进不了您的电脑）、Regrun II（一个实时监控制软件，只要木马在电脑的各项启动程序中添加，它就会报警，还有终止进程的功能）、Relive（一个比较前后文件的数量，它让你知道，您的电脑中多了什么不明程序[如木马程序])，有此三法宝在，您就很轻松地卸载冰河木马了，也可以是大部分木马！ 上次本人和大家讲了用UltraEdit-32比较两个服务端程序而得到冰河的万能密码，其实冰河的各个版本都是原作者黄鑫冰河的“盗版”，而且制作方法很简单，不用几分钟，一个属于自己的“盗版冰河”就产生了！ 方法如下： 本次实验准备两个程序：UltraEdit、冰河远程控制软件（最好用正版[即黄鑫的冰河]）！ 首先我们先改变冰河服务端的万能密码：用UltraEdit打开冰河的服务端，然后查找万能密码“05181977”（如果您用的冰河是其它版本，请先按上次的方法，得出万能密码，然后查找这个万能密码），然后替换成自己的万能密码，随便自己填！ 服务端已经基本修改好了，接下来就是对控制端进行个性修改了，用UltraEdit打开冰河的控制端程序，然后根据上面的方法。 第一步，修改标题就是那个“冰河V2.2 [DARKSUN专版]”和启动画面文字，查找“v2.2”，看到了吗！把“V2.2”这几个字改成您的版本号就可以了，如“V9.9”，保存，然后在查找DARKSUN，其实就是V2.2旁边，把它改成自己的专版就可以了，如“WWWRONG”最好英文字母个数和原版一样，以免发生错误，然后保存，先看看自己的杰作，标题上显示就是冰河 V9.9 [WWWRONG专版]，启动画面的文字也变成[WWWRONG 专版]。 第二步，修改帮助菜单栏中“关于‘冰河"”画面的修改，主要是修改“作者：黄鑫、网址、软件完成日期”，作者仅以修改作者姓名为例：按照上面的方法查找“黄”，找到“黄”，一定要看到旁边有一个鑫字才可修改，否则改了其它代码，程序就不能运行了，好了替换成自己的大名就可以了。 第三步，如果您想要改其它的项目，按照上面简单的方面可以实现您的目的，但是要记住，一定要先备份一份，以免出现错误还可重新来过.

靠！！1999年的也来说！危害多着呢1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：以四种常用图标向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈

冰河木马是正向远控，灰鸽子是反向远控，两种上线方式不同另外冰河也有反向的

您好：1.建议您不要去下载和使用木马病毒，是属于违法犯罪行为。2.而且，如果您接收了木马病毒，那么该病毒会自动在您的电脑中优先运行。3.最终可能会导致您自己的帐号被盗，如果是您被盗号想找回，建议您到QQ安全中心进行正当申诉，不要通过非法手段找回。4.建议您到腾讯电脑管家官网下载一个电脑管家。5.在平时使用电脑的时候，打开电脑管家，可以受到电脑管家16层实时防护的保护和QQ账号全景防卫系统，全方位多维度保护账号安全，精确打击盗号木马，瞬时查杀并对风险预警。腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

木马简介前言 在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马，当初怎么就想不通它与病毒扯上关系了。经过一番了解，原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市，从而一举占领敌方城市的故事，因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟：它就是通过潜入你的电脑系统，通过种种隐蔽的方式在系统启动时自动在后台执行的程序，以“里应外合”的工作方式，用服务器/客户端的通讯手段，达到当你上网时控制你的电脑，以窃取你的密码、游览你的硬盘资源，修改你的文件或注册表、偷看你的邮件等等。 一旦你的电脑被它控制，则通常表现为蓝屏然死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵或文件被删除；时而死机，时而又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多等等。 不过要知道，即使发现了你的机器染上木马病毒，也不必那么害怕，因为木马病毒与一般病毒在目的上有很大的区别，即使木马运行了，也不一定会对你的机器造成危害。但肯定有坏处，你的上网密码有可能已经跑到别人的收件箱里了，这样黑客们就可以盗用你的上网账号上网了！木马程序也是病毒程序的一类，但更具体的被认为黑客程序，因为它入侵的目的是为发布这些木马程序的人，即所谓的黑客服务的。 本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。 木马的基本特征 木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征： 1、隐蔽性是其首要的特征 如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面： a、不产生图标 它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可； b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。 2、它具有自动运行性 它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。 3、木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dllwinsysexplorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。 4、具备自动恢复功能 现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。 5、能自动打开特别的端口 木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。 6、 功能的特殊性 通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。 7、黑客组织趋于公开化 以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。 木马入侵的常用手法及清除方法 虽然木马程序千变万化，但正如一位木马组织的负责人所讲，大多数木马程序没有特别的功能，入侵的手法也差不多，只是以前有关木马程序的重复，只是改了个名而已，现在他们都要讲究效率，据说他们要杜绝重复开发，浪费资源。当然我们也只能讲讲以前的一些通用入侵手法，因为我们毕竟不是木马的开发者，不可能有先知先觉。 1、在win.ini文件中加载 一般在win.ini文件中的[windwos]段中有如下加载项： run= load= ，一般此两项为空，如图1所示。 图1 如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪装。 2、在System.ini文件中加载 我们知道在系统信息文件system.ini中也有一个启动加载项，那就是在[BOOT]子项中的“Shell”项，如图2所示。 图2 在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改"Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把“Explorer”改为别的什么名字，因为他知道还是有很多朋友不知道这里就一定是“Explorer”，或者在“Explorer”加上点什么东东，加上的那些东东肯定就是木马程序了。 3、修改注册表 如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是”RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce]，如图3所示； 图3 [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如图4所示。 图4 你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则立即删除。 4、修改文件打开关联 木马程序发展到了今天，他们发现以上的那些老招式不灵了，为了更加隐蔽自己，他们所采用隐蔽的手段也是越来越高明了（不过这也是万物的生存之道，你说呢？），它们采用修改文件打开关联来达到加载的目的，当你打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件（.txt）这个最常见，但又最不引人注目的文件格式关联来加载自己，当有人打开文本文件时就自动加载了冰河木马。 修改关联的途经还是选择了注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图5所示， 图5 如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的键值不是“c:windows otepad.exe %1”，而是改为“sy***plr.exe %1”。 以上所介绍的几种木马入侵方式，如果发现了我们当然是立即对其删除，并要立即与网络断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除。如果作了注册表备份，最好全部删除注册表后再导入原来的备份注册表。 在清除木马前一定要注意，如果木马正在运行，则你无法删除其程序，这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果你是在木马处于活动时删除该项的话它能自动恢复，这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。

是一种中国人自己的编写的木马病毒。用法：冰河木马教程 http://ciw.chinaitlab.com/tech/6861.html 跨越冰河（冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马。） 准备工作 工具下载： 远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5 软件发布：冰河v6.0GLUOSHI专版为2001年12月15日发布。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。2.2版本后均非黄鑫制作。 相关主页：http://v60.6to23.com 目的：远程访问、控制。 选择：可人为制造受害者和寻找"养马场"，选择前者的基本上可省略扫描的步骤。 注明：冰河有多个版本，现在流行冰河8.0等，操作与介绍相同。 冰河之旅 一.扫描端口：放弃冰河客户端自带的扫描功能，速度度慢，功能弱！建议使用专用扫描工具。 运行X-way，操作如下：点击"主机扫描"，分别填入"起始、结束地址"（为什么？ 因为--做事要有始有终，呵呵。顺便提示一下菜菜鸟型的：结束地址应大于起始地址）。 在"端口方式"的模式下选择"线程数"。（一般值为100比较合适，网速快的可选150）。最后进入"高级设置"－"端口"选择"ONTHER"，改变其值为"7626"后进行扫描。 结果如下：说明：上图IP地址的数字为我剪切处理过，参考价值不大。：）二.冰河的操作：连接、控制、口令的获取、屏幕抓取、服务端配置、冰河信使 主要几代作品服务端图标的变化：其中新版冰河服务端大小为182K，客户端大小为451K 先不要乱动！认清G_Server它就是令网人闻风色变的服务端了。（冰河6默认的写字板图标就很好，使用前改个好点的名称即可，不一定要捆绑） 1.连接：打开瑞士军刀图标的客户端G_Client，选择添加主机，填上我们搜索到的IP地址。如在出现"无法与主机连接"、“口令有误”就放弃。（初始密码应该为空，口令有误是已被别人完全控制）直到终于出现：注：3.1以下版本的万能注册码：（使用其他版本冰河时，填在右上访问口令里，应用后，连接） 2.2版：Can you speak chinese? 2.2版：05181977 3.0版：yzkzero 3.0版：yzkzero.51.net 3.0版：yzkzero! 3.1-netbug版密码: 123456!@ 2.2杀手专版：05181977 2.2杀手专版：dzq2000! 仅供参考2.控制：在文件管理器区的远程主机上双击+号，有C：D：E：等盘符出现，选择打开C：会看见许多的文件夹，这时我们就算已经踏入别人的领土，对于第一次入侵的朋友是不是有些感动？别急，我们对"养马场"的探索还未开始！ 在C里你可以查找邮箱目录、QQ目录、我的文档等有重要物品存放的区域，顺便了解一下他有什么不良爱好，呵呵。是不是有些收获，见到了你喜欢的游戏，下载？还是省省吧，远程的机器承受不了。 （如果在我的文档里看见JPG格式的文件，有兴趣的话你可以点右键下载下来看看是不是他MM的照片。：）） 在文件管理区你可以对文件、程序进行以下主要几项操作：上传、下载、删除、远程打开。击鼠标右键看到3.口令获取：口令类命令里可是有不少好东西的！如果你运气够好的话，你会找到很多的网站名、用户名和口令。有什么用？自己想去吧.......图中第一处抹黑的是上网帐号的密码，这可不能乱用喔。第2处抹掉的就是QQ46581282的密码了，抹掉是因为我们现在只是做学习研究用，不是不法分子在搞破坏。：）注：卸载冰河的方法，在命令控制台下的控制类命令－系统控制可以看到，点一下就可安全清除冰河。 4.屏幕抓取：照指示操作就行，我不喜欢用这个，抓图的速度慢质量也不好，那个控制屏幕也就顺便省了吧。 5.配置服务端：在使用木马前配置好，一般不改变，选择默认值。 细节注意如下：监听端口7626可更换（范围在1024~32768之间）；关联可更改为与EXE文件关联（就是无论运行什么exe文件，冰河就开始加载；还有关键的邮件通知设置：附：如在设置类命令－服务端配置里选择读取服务端配置，可以看到是控制者设置的IP上线自动通知的接收邮箱。如果你中了冰河的话一般是可以用这个法子查出是谁在黑你。（小心点好，别中了别人的借刀杀人之计）如下：6.冰河信使的使用：也许这时候你还有兴趣和机子的主人聊聊，就用自带的冰河信使，是不是吓了他一跳？（不敢回答或关机逃跑了？）遇个胆大的你们也许聊的很投机，你作为他眼里的大虾是不是要表现一下？ 告诉他："不要怕。我，远程（神气的很）帮你杀毒好了！"呵呵，只要照图轻轻点一下，陡受惊吓的人是不是还会对你感激涕零？ 恩，兴奋的神经慢慢冷却，是结束我们的这次友好访问的时候了。其实冰河的基本操作就是这么简单，请熟练掌握它，以后你要接触的木马有6成与它的基本操作类似。 夜阑卧听风吹雨，铁马冰河入梦来。夜了，休息一下，养足精神再来继续我们的木马旅程。 冰河的几种清除方法：①：文中介绍的自卸载功能。 ②：部分杀毒软件，（这个版本比较新，许多杀毒软件不能识别。推荐：升级过的KV3000等）③：修改注册表。运行regedit，查找下面的键值。 第一步：删除相对的可疑键值。（不熟悉的朋友不要乱动） 第二步：重新启动时转到DOS下，删除冰河服务端（一般默认为"c:windowsc_server.exe"，会变更）这一步很重要。 最后： 重启计算机即可。 融化的冰河片刻消逝。

一楼在哪复制过来的答案啊用白话说木马就是病毒 可以盗取用户资料及网银QQ msn ut 或各类网游的东西叫木马 不知道你说的是这个吗？还有的木马就是小孩子骑的木马 我想你小时候你妈妈带你去公园或游乐园的时候就有木马 但是哪个时候我们还很小 不一定能记住 即使记住了那个时候也不知道叫什么 还有就是用木头刻出来的马 马的脚是半圆形 小孩子做顶上可以摇来摇去跟不倒翁似的 呵呵 明白什么是木马了吧

分类: 电脑/网络 问题描述: 我下载了冰河木马，是否需要把那一部分发送到对方对方电脑中才算成功种植了木马，才可以与目标ip连接！ 解析: 冰河使用方法 首先下载冰河，点击冰河主程序（这个大家都会吧）首先，配置本地服务器程序，单击从右边数过来第三个图标（或在设置－配置服务器程序）在基本设置中：安装路径指服务器程序运行时，自动安装在哪个文件夹；文件名称指服务器安装后程序的名称，进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名；访问口令指如果您加了密码，访问中此木马的密码；敏感字符指你想要获取对方密码的关键词，比如输入password，冰河服务端将记录password的密码；提示信息指对方运行服务端出现的窗口，比如说此文件已损坏等骗人的话；监听端口指中冰河者打开的端口，您用冰河控制端通过这个端口访问；自动删除安装文件指对方运行服务端后，是否删除本身（就是运行后，程序不见了，而会在其它地方安装了）禁止自动拨号指运行服务端后，是否马上拨号上网连接。 在自我保护中：已经写的很清楚了，不再重复！ 在邮件通知中：不再重复。注意SMTP服务器指发送邮件服务器地址，通常申请邮箱时服务商会提供。 根据您的需要配置好服务端，把他发送给对方，最好用捆绑软件捆绑加密一下。 如果您想找现成的中了木马冰河的机器，就用冰河的搜索计算机功能（速度很慢）扫描，扫描后该知道干什么了吧！ 注意：使用时，1、自己应当关闭防火墙，否则将失败！ 2、小心“小猪快跑”等软件的反追踪！ 3、填写密码时，按旁边的应用才会有效！

第一步下载必备的工具软件。1号软件就是端口扫描工具“网络刺客II”，2号软件就是著名的国产木马冰河2.2的控制端.下载完毕并解压缩之后跟我进行第二步!第二步运行1号软件，首先出现的是“网络刺客II注册向导”，别理它，点击“稍后(Q)”就进入了网络刺客II的主界面。 第三步 在网络刺客II的主界面里选“工具箱(U)”-》“主机查找器(H)”，就进入了“搜索因特网主机”界面。 第四步进入“搜索因特网主机”界面后，“起始地址”栏填XXX.XXX.0.0其中XXX.XXX自己去选择了，比如你可以选61.128或选61.200等等，“结束地址”栏填XXX.XXX.255.255其中XXX.XXX的选择要和前面一样。“端口”栏填7626，其他栏保持默认不动。 好了，以上设置就是要搜索从XXX.XXX.0.0到XXX.XXX.255.255这一段IP地址中有冰河木马的计算机了，再检查一下填对没有?如果一切OK，请点击“开始搜索”。第五步观察“总进度”和“段进度”是否在走动。如果没有走动，那一定是IP地址设置不对，请认真检查。如果两个进度都在走动，呵呵，你就成功一半了，至少你会使用网络刺客II扫描网上开放某一端口的计算机了。 下面你要作的就是静静的等待，学用黑客软件是需要耐心的。大约20-30分钟后，最下面的记录栏里就应该出现记录了(一般情况下，应该有5、6条记录)。每一条记录代表找到的中了冰河木马的一台计算机，前面是该计算机的IP地址，后面是7626(冰河木马端口)。第六步点击“停止搜索”，但不要退出程序，到第十二步时还要用。运行2号软件冰河，进入冰河主界面。选“文件”-》“添加主机”进入添加主机窗口。 第七步 在“添加主机”窗口，“显示名称”里填入第五步里搜索到的第一条IP地址，当IP地址填入“显示名称”里后，“主机地址”里就自动填入相同的IP了。“访问口令”不填，“监听端口”保持默认的7626。 好了，检查一下IP有没有填错，如果OK，点击“确定”，在冰河主界面的“文件管理器”里就出现了刚才填入的IP地址了。第八步 这一步和下一步最重要，请认真看清楚!在冰河的主界面里，点击“文件管理器”里的“我的电脑”，这时“文件管理器”右边的框里就会出现你自己的硬盘分区。比如，如果你的硬盘分的是四个区，“文件管理器”右边的框里就会从上往下依次出现C:、D:、E:、F:，如果你的硬盘分的是两个区，就会出现C:、D:。第九步点击“文件管理器”里刚才输入的第一条IP地址，稍等片刻(网速慢的情况下约10-30秒)，在“文件管理器”右边的框里就会出现对方计算机的硬盘分区了。看到了吗?看到了?呵呵，祝贺你，你已经成功地进入对方的计算机了!!!!!第十步 黑蚂蚁你发现没有出现对方计算机的硬盘分区!!呵呵，别急，看看冰河主界面最下端的状态栏里有什么提示，如果是下面两种情况，就放弃，返回第七步，填入搜索到的第二条IP地址: 黑蚂蚁 1、状态栏里出现“口令不对”、“口令错误”、“密码不对”、“密码错误”等之类的提示，表示该计算机的冰河木马是加了密码的，没有办法，只得放弃! 2、状态栏里出现“正在解释命令，可能是1.2以前版本”等之类的提示，也放弃，新手是搞不定的，如果以后你熟练了可以给对方升级，这是后话!!第十一步如果出现的是“主机没有响应”、“无法与主机建立连接”之类的提示，先别忙放弃，重复3-4遍第八步到第九步的操作，即点击“我的电脑”-》点击输入的IP地址，如此反复3-4遍后，还是不行的话再放弃，返回第七步，填入搜索到的下一条IP地址。第十二步 如果所有搜索到的IP地址按照第七步至第十一步操作后都不能进入对方计算机，呵呵，那是你的运气太差!别急，这样的运气是经常碰到的!再返回第五步，在“搜索因特网主机”界面里点击“开始搜索”，这时该程序又从你停止的IP地址接着往下搜索了!!呵呵，等吧!!搜索吧!!只要你有时间，你一定能成功!第十三步 终于成功了!我见到对方计算机硬盘分区了!呵呵，怎么样?你成功了，我的任务就完成了。进入对方计算机后，所有的操作和自己计算机“文件管理器”里的操作一模一样!就没什么黑不到过来的了。

所谓黑客程序，是指一种无传染性的系统安全屏蔽程序。它被植入计算机系统，一旦黑客程序感染了计算机，便与黑客里应外合，使黑客攻击变得十分容易。现在的黑客程序很可怕，就好像在你的计算机上隐藏了一套摄录装置。它可能窃取你的存折和信用卡的账号密码，偷看你的日记、情书，有时候，它甚至能够在你的计算机上留下暗门，随后供黑客出入，把你的计算机完全地控制起来。设想一下，如果黑客通过一台计算机和一条电话线进入国家重要的政治、经济、军事、金融、保险网络系统，并进行控制或破坏，社会会怎么样？黑客软件就是这样的一种工具，它可以使得那些略懂一些软件的人成为黑客，因为，一切都是现成的了，只需要学一学怎么用就可以了。借助黑客软件，十几岁的孩子都能成为黑客，就像操作自己的计算机一样轻而易举，通过互联网进入并远程控制被黑客程序“感染”过的计算机，这实在是一件很可怕的事情。因此，专家认为，黑客软件不是病毒，但危害性要比病毒严重得多。有一个黑客群体发布了一个人侵Windows机器的程序“后门”。它可以让用户经由因特网进入并控制远程Windows计算机。实际上，现在网络上到处都有这样的自由软件下载，这简直和到处都是枪支店一样危险。所有运行在Windows95/98操作平台之上、使用支持TCP/IP通讯协议进行联网的计算机系统，都有可能遭受黑客程序“后门”的攻击。实际上这几乎包括了几乎所有的网络用户，可以把通过电话线拨号上网钓用户一网打尽。专家告诉我们，目前已发现黑客程序的种类很多。黑客程序只要进行一次欺骗性的运行就可以完成自动安装，而且永远起作用，其破坏无规律可循，无法预见。黑客程序的传播途径也五花八门，例如电子邮件的附件、共享软件程序、聊天软件、盗版光盘上不明用途的软件、电子贺卡寄送的可执行的“礼物”程序。这就告诉我们，随便安装程序是一件很危险的事情，尤其是重要部门的计算机系统。

　　网名： glacier ，木马冰河 　　真名：黄鑫 　　毕业院校：西安电子科技大学 　　工作：网络安全网站“安全焦点” 　　性别：男　　冰河之父的由来　　大家都知道微软网站被黑客入侵是因为木马软件的缘故。这个以特洛伊战争中使用的木马正大摇大摆地杀入互联网的领地，而这个软件的编写者就是被我们称为木马教父的黄鑫。99年，木马虽然已经在黑客中间遍布使用，但多数为国外的BO和BUS等木马，对于一些刚接触黑客的生手来说，理解这些软件的使用方法和熟练使用这些软件无疑成为了“通往黑客道路”上的最大的难题，此外这些木马多数能够被杀毒软件擒获，使得国内的黑客多数不愿意去用木马。正当国内大多数黑客们苦苦寻觅新的国外木马时，一款中国人自己的编写的木马悄悄诞生了，它就是冰河。冰河在诞生之初凭借着国产化和暂时无杀毒软件能防杀的特点迅速地成为了黑客们使用最广泛的木马。冰河本不该归属于木马的行列的，按照冰河作者黄鑫的话说，他编写冰河完全是靠自己的兴趣和网友的鼓励，最初只是想编写一个方便自己的远程控制软件，不曾想竟然编成了一个中国流传使用最广泛的黑客软件。 　　在1.2版本冰河发布以后，国内的黑客们大多认同了冰河，把冰河作为了木马软件的首选。经过多方的支持和鼓励，特别是来自中国国内的黑客们的支持使得黄鑫又努力开发出冰河2.0。2.0新增加了许多以前没有的功能和特性，特别是它在使用的过程中比1.2的更加方便更加的隐蔽好，所以2.0的出现使得冰河立即成为了人尽皆知的木马类黑客软件。冰河良好的隐蔽性和使用简单的特点让国内许多想成为黑客，但又不懂黑客技术的人深深地过了一把黑客瘾，利用冰河入侵个人系统计算机后，他们便能够利用冰河得到他们想得到的一切。现今很多出名的黑客都是利用冰河迈向通往黑客道路的第一步的。黄鑫的冰河让很多人体会了做黑客的快感，更让很多人了解了网络安全的重要性。 　　其实就黑客的定性而言，身为一个数据库开发程序员的黄鑫或许根本算不上一个黑客，他从来没有黑过任何一个网站，甚至在开发测试冰河的时候也是利用自己和朋友的计算机来检验。然而我们不能否认冰河的强大功能，特别是22版的冰河开发出后，它可以让任何一个菜鸟顷刻之间变成一个极具有攻击力的黑客。这一切理由都让黄鑫成为了中国黑客，特别是初级黑客们的精神领袖。我们几乎能从每一个想了解黑客的朋友的计算机里找到冰河的身影。在中国千千万万个连接在互联网上的计算机中，几乎每一百台里就埋藏着一个冰河，我们也不难发现在大大小小的网吧里时常能够听到那些初级黑客利用冰河搜寻出冰河的受害者后发出的兴奋高呼。冰河，已经成为了中国木马的代名词。冰河已经成为了互联网恐怖的象征。 　　现如今黄鑫已经停止了对冰河后续版本的开发，作为程序员的良知让他不得不面对冰河作为一个黑客工具的危害性。没有人想成为人民的公敌，正是这些良知让黄鑫放弃了冰河的后期开发。作为一个无意间带动了中国互联网络安全发展的人，他的名字应向他的软件一样，永远值得我们去回忆，虽然他带给我们的只有那个经典的木马程序，但这依然不丝毫影响我们对他的崇敬。冰河在打开我们电脑大门的同时也打开了我们对网络安全认识的大门。 　　黄鑫还是西安电子科技大学的学生时，为了给自己的电脑杀毒，黄鑫一头栽进网络安全的世界里再也没有出来。1999年上半年，黄鑫写出了冰河木马软件。随着冰河木马在网上的迅速传播，黄鑫的名字被越来越多的人熟悉。 　　冰河木马一经问世就颇受争议，争议的核心是它既可当作植入被攻击端的木马，也可作为正当的网络远程管理利器。黄鑫自己从未用它黑过任何一台别人的电脑，如同一个纯粹的剑客武痴，他关注的只是技术本身。 　　在那场中美黑客大战中，许多人都用了黄鑫写的程序去攻击。黄鑫始终认为，对真正的黑客来说，破坏并不是目的，技术研究的最终目的是在自由与开放的环境中发挥每个人的专长。 　　江湖中，任何厉害的“武功”本身并没有害，只是要看用它来杀人，还是救人。当90%的人用“冰河”来给别人种木马时，黄鑫觉得“冰河”已失去了再升级的意义，他终止了冰河木马升级开发后，又关闭了“木马冰河”个人站点，因为这个网站正被众多狂热的黑客痴迷者变成“木马黑机”的交流园地。 　　2000年底，黄鑫加盟网络安全网站“安全焦点”，他将完成公司本职工作之外的精力都用于知名扫描器“XSCAN″的开发升级以及“安全焦点″的建设维护。 　　朋友和女友对黄鑫的评价是：冰河做事情比较踏实，重实际，技术很好但是谦虚，这就是他的人格魅力。 　　黄鑫，木马的精神领袖。他应当之无愧地为中国黑客软件的头把交椅。