在那里能下载木马软件且不被杀毒软件查到

远程监控类工具俗称木马软件（Trojan Horse，英文则简称为Trojan），叫这个名称是因为它的原理和那个古希腊的神话故事"特洛伊木马"很神似（别说你没看过，自己找找，故事情节是英雄救美女的那种），引申为计算机的后门程序。

先要介绍的是木马"冰河"。不全是因为它良好的隐蔽性和简单易用，而在于它流传的广泛性。（注：最新6.0版服务端现在尚不能为杀毒软件识别，客户端会有病毒误报，使用无碍。）

cmaedu.com"冰河"的作者黄鑫，一个厉害人物。冰河的开放端口7626据传为其生日号。

1.冰河的图标：（ttian提供的冰河2.2DARKSUN 专版、冰河5.0改进版[非黄鑫制作]、及最新的冰河v6.0GLUOSHI专版）

从上图可以看出冰河服务端（G_Server，使用前可改名）越来越注重隐藏自己，5.0版的空白、6.0版的写字板图标更轻松让人中招。说明一下：我们自己控制时使用的是客户端（G _Client），不要误运行了服务端，如果运行了并且你什么都不懂，哪一天遇到一个心存不轨的人，你会很惨。

cmaedu.com2.各版本服务端、客户端的大小：2.2版服务端260K，客户端454K；5.0版服务端260K，客户端451K；6.0版服务端259K，客户端451K。（注意它的大小是为了防止被人恶意捆绑了木马程序）

cmaedu.com3.冰河所开放的端口：2.2版和6.0版（可修改）用的是7626。那个5.0版用的是2001。（从一个端口可以看出这个IP地址所提供的服务。这是我们可以去利用的。）

4.冰河的界面：几个版本的界面基本一致，只有些细节不同。这里以最新6.0版为例。

冰河的界面很简洁，一个高级木马该有的功能都有，除了图上注明的功能外，主要功能还有口令记录（这个最实用）、注册表操作、动态I P邮件通知、远程关机及最关键的远程卸载！

5.冰河的操作：先把下载自带的README.txt文件仔细看一遍。（不爱看说明书是聪明人的一个通病）不会用冰河的人很少，网上有详细介绍的很多，我只扼要的说一下注意点。

⑴：不要使用冰河自带的搜索功能，太弱。（有足够的耐性你可以尝试），可选择的专用工具太多，在ttian下载的"扫描工具"里，super scan3.0、X-way（NT用）都相当不错。

X-way速度还算很快。

cmaedu.com晕倒，我以前下载的那个SuperScan203汉化版哪去了？体谅一下国人嘛。

⑵：冰河的万能密码设置：在提示访问口令不对的情况下，试下面的几个数字。（万能口令对6.0版无效，以下的几个我只成功过"051819 77"和"Can you speak chinese? "）

2.2版：Can you speak chinese?

2.2版：05181977

cmaedu.com3.0版：yzkzero

cmaedu.com3.0版：yzkzero.51.net

cmaedu.com3.0版：yzkzero!

cmaedu.com3.1-netbug版密码: 123456!@

cmaedu.com2.2杀手专版：dzq2000!

cmaedu.com⑶：命令控制台的作用：

cmaedu.com⑷：扫描到7626端口的计算机却连接不上，除了IP地址错误、网络迟疑、版本不对等原因外，真正的原由不明。以前我有两台计算机，一台能连接上，一台不可以，（不行的那台重装后就可以正常操作冰河。）

5.抗杀毒能力：2.2版冰河普通杀毒软件都能查杀，5.0版要稍好一点，6.0版现在基本没有能查杀，可放心大胆使用。（指9月底的病毒库）

6.冰河的几种清除方法：

cmaedu.com①：上图介绍的自卸载功能。

cmaedu.com②：部分杀毒软件，（推荐：金山毒霸还不错，能查杀2.2和5.0冰河）

③：修改注册表。运行regedit，查找下面的键值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，

cmaedu.comHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice

第一步：删除相对的可疑键值。（不熟悉的朋友不要乱动）

第二步：重新启动时转到DOS下，删除冰河服务端（一般默认为"c:\windows\c_server.exe"，会变更）这一步很重要。下面再重启计算机即可。

cmaedu.com冰河作为远程监控类软件的楚翘，无疑非常优秀，它的缺点不是"占用CPU系统资源过高"，而是 过滥。

前些时候"广外女生"，比较流行，它是广东外语外贸大学"广外女生"网络小组的作品，可以运行于所有WINxx系统上，作者男女未知，最新版本1 .51Alpha版于(9月1日)发布。

cmaedu.com广外的流行在于在于它的优点：体积够小，隐藏够巧，还有就是它的抗"杀毒"能力，天网2.44以下版本遇之必死。真够强悍的！

cmaedu.com我们先来看看广外的图标及大小：客户端为282K、服务端为111K（相对小巧，作用是你上传及捆绑方便）。你知道广外开放的端口吗？广外默认使用的端口在一般说明中没有介绍，且许多的网站也没有提及，不过我知道，是6 267。：）（这个是关键）

好了，来看看广外的界面：非常干净，冰河所有的功能它基本都有。

试试操作：

cmaedu.com⑴：扫描主机。自带的扫描速度相当快，快到....让人无话可说的地步。快是快，不过鬼才知道它在扫描什么东西！（这个扫描有点莫名其妙），转回头还得用上篇介绍的专用扫描工具（我用X -way）。

⑵：如图填上扫描来的IP地址，在"直接添加"上打勾后"开始搜索。"完成了远程主机连通。

cmaedu.com⑶：终于可以在"文件共享"下进行远程操作了，大家都会的。：）我就不多说了。

cmaedu.com经过亲身体验说明一下：广外的操作对远程的计算机要求稍微高了些。如果对方不是宽带你无论是打开文件、抓取画面都会很慢，容易出现" 操作延时、无响应状况。"这是广外的缺点，还有操作细节上不如冰河成熟、浏览方式有些别扭且速度较慢（见过蜗牛没有？），功能也不如冰河。但是广外有广外的优点，光它的优点就可以使它前途不可限量，领导时尚，呵呵。

cmaedu.com中招广外后的明显特征：天网突然不能运行，每次都死掉。杀毒无效。

cmaedu.com广外的清除方法：

cmaedu.com①：杀毒软件（这个不好说，较真起来还真不清楚谁能杀掉谁）

cmaedu.com②：广外自带的卸载功能。（这个最方便。自机试过，没有后遗症。：）

cmaedu.com③：修改注册表。运行regedit，查找下面的键值。

1.先查看HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修改，因为如果这时就修改注册表的话，D IAGCFG.EXE进程仍然会立刻把它改回来的。

2.打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行r egedit.exe时就又会启动DIAGCFG.EXE。

cmaedu.com3.把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。

4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE

cmaedu.com好了，又干掉一个。

way2.5作者一辉（或阿凤？），生日11月14日天蝎座。（有点毒。。。）way的前身是火凤凰和那个无赖小子，现在的作品终于比较成熟。最新版于8 月23日出品。

cmaedu.com抗毒能力：目前的杀毒软件如金山毒霸、安全之星、瑞星、KV3000、VRV2000和PC-Cillin2001等都查不到它，暂时唯一的天敌：木马克星。

cmaedu.com老规矩：还是图标、界面：客户端大小为374K，服务端为254K（稍大，不过图标够狡猾）

界面还可以，初次使用时没看见下方的“命令控制台”，我心说这个东西怎么控制能力这么弱。呵呵。

重复我们的步骤：搜索主机（端口：8011）、添加主机（筛选合适远程计算机）、进行文件浏览与命令控制。

经自机测试，这个无赖小子是我见过的木马中，控制能力最强的一个！我用主机控制分机的时候，简直是在屠宰羔羊。幸好自己能控制，不然就无法收场。你可以试着先来个鼠标左右互换，后来个改变刷新率，再来 个......就会听到有人骂娘了。

下面是我用抓图软件综合了一下它的几大类操作指令。（不包括分指令）

cmaedu.com优点：界面很好，操作方便，容易上手，流传也不错。（随便扫一段IP，结果也是一大堆）而且那些耍人的功能很厉害。缺点：使用时会出现不稳定状况，I P经常出现连接不通。作者的主页上说以后不会有新的改进版本了。：（（

cmaedu.com无赖小子2.5版清除方法：

cmaedu.com①：自带的卸载功能。

cmaedu.com②：木马克星。

③：修改注册表：打开regedit，查看

cmaedu.comHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，

cmaedu.com删除它在注册表中的键值，再重启转如DOS下删除C：\windows\system下的msgsvc.exe这个文件。（如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份。）

cmaedu.com越介绍讲的亦越简单，其实木马的使用都是大同小异。熟悉了一种，其他的也就算会了。这是学习过程中举一反三的应用。

要说我最喜欢，爱用的木马，并不是冰河，广外和无赖。而是南京人Tiger Liu在4月份推出的网络精灵3.0。屏幕监控使用非常方便，简直到了极点。我很少使用它的客户端进行控制（设置密码除外），只要一个扫描工具、一个T E浏览器（或IE），一切都可搞定。

记得几个月前有一次，我的一位关系很好的朋友问我要个木马（他的水平是菜菜鸟傻瓜型）。正好手里有网络精灵，就和他开了个玩笑。

告诉他："我用QQ发个网络精灵的“使用文件”给你（"使用说明"是服务端，已被改名）

......（在他接收后等待N秒）

cmaedu.com"呀，我点打开后文件怎么不见了，再重新发一个过来？？"（服务端运行后会自动消失）

cmaedu.com"哦，我发错了文件。再发一个？：）"（已经上钩了，我这边已经忍不住笑了出来）

cmaedu.com通过浏览器（我用猫上网，屏幕是自动刷新且迟疑只有2、3秒）我看见了朋友QQ上的好友名单（屏幕为16色画面，除颜色外，其他都很清晰），收藏的网友照片、他的宝贝聊天记录，还有他泡妞的全过程，当他在联众打牌的时候我还抢鼠标替他乱出几次牌（气的他大喊" 我被黑客控制了！！！"，结果满桌的没有一个当真，不是认为他在为自己找理由就是认为他太幽默。）

cmaedu.com看着他手忙脚乱的反复解释、找原因、重起计算机，我在这边发笑。直到他神经兮兮的捉到我，说我这一天搞的他没有一点隐私权，再也不想活了！这时我才帮他结束了这段刻骨铭心的噩梦。（因为是很好朋友，才可以开玩笑，后来我解释了，不过他没敢接受我的道歉。：）

网络精灵的最大优点：监控是用眼睛看的。控制手段除了客户端还可以使用浏览器进行监控（这是它的特色，与大部分木马不同），用鼠标可以做到你指哪他打哪，对新手也可以方便进行实时、亲切指导。（呵呵，而且不管他愿不愿意：）

cmaedu.com网络精灵1.0版、2.0版、3.0版图标、大小：1.0版的客户端为201K、服务端为138K；2.0版客户端为344k、服务端为132k；3.0版客户端为4 32K，服务端为372K（没有错，就是这么大，我在作者主页下的也是372K）

cmaedu.com作者对服务端改进不大，2.0和3.0的图标根本没有变化。不过没关系我们可以自己加工，找个能换图标的捆绑工具就够了。

cmaedu.com只要中了网络精灵就会自动开放7306、7307、7308这3个端口。下面说明一下用浏览器监控的方法：键入网址 比如：http：\\192.168.0.1：7306 （局域网速度快、屏幕控制速度无迟疑）1.0版用查看。

以最新3.0版为例，正确窗口如下：（需要密码就放弃，除非你有相当耐心和很好的运气）

点击“远程终端”，进入后确定，少等几秒就会有个桌面在你眼前出现。别把你的鼠标放在他的桌面上，别人会大叫鼠标失灵哦，搞不好他会重启，够你费事的。

网络精灵的缺点：怎么还没4.0版出品？作者太懒了吧。呵呵

cmaedu.com网络精灵的清除方法：

cmaedu.com①：用客户端设置个长点的口令，除了自己谁也进不去。

②：使用金山毒霸、木马克星。

③：修改注册表：使用同上类似操作。（今天累了，一口气写了4篇，困的要睡了，其他的木马介绍如果还有人看，可能要歇上几天再写。：）

用过就不会忘记，这绝对是一款别俱特色的优秀远程监控工具。

netspy 这是8月3日发布的一个木马，名称和网络精灵的英文名相同，却是两个完全不同的软件。

cmaedu.com优点：不能被一般杀毒软件查杀。（网络上流传面太小）

cmaedu.com作者说它是一个丝毫不逊色于流行的冰河软件，经我试用，结果只能说：绝对令人失望！——控制、操作功能很少，且无服务端卸载功能。只能算一个极其普通的木马。

cmaedu.comnetspy图标和大小：客户端为293K、服务端为234K。

开放端口为：1111

界面如下：高级木马应有的基本操作功能还不全。

cmaedu.com清除方法：因为不自带卸载，且不为大部分杀毒软件（金山毒霸不能识别）识别，所以只好采用以上修改注册表的方法。查找HKEY_LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下可疑键值，清除后转MSDOS下完全删除即可。

cmaedu.com不建议使用，一个没有任何新意的木马。

聪明基因：比较喜欢这个名字，也对这个木马做了应有的测试。结论是：一款很好的木马，附带一份“全球IP地址分配对应表”，在国内远程控制类工具里也算中上之姿，却没有得到相应的对待。

先扫描网络上7511端口开放的计算机，十分钟后收获为零。不用痛下决心，按规矩还是在自机上使用服务端做实验，谁想它不给我这个脸。服务端在N T系统下缺少dll文件，不能运行于WIN2000，：） 系统无形中多了一层免疫能力。

图标、大小如下：控制端380K，服务端为251K。

cmaedu.com服务端是标准的html页面，尝试打开也会按正常规则出现：“该页无法浏览”，很是迷惑人。

cmaedu.com界面如图：

cmaedu.com聪明基因开放的是7511端口，界面小巧、很养眼，对鼠标、键盘、显示器的控制功能也非常齐全，远程控制速度可以接受，象冰河一样比较均衡、全面。

不太实用的功能是屏幕“缩小监视”，界面本来就小，再缩小一点，根本就不能看清屏幕，何来监视之说？

聪明基因的清除方法：

cmaedu.com①：自带的卸载功能。（这应是高级木马必备的！）

②：杀毒软件。（因为出品早了些，且一直未升级，所以能被绝大部分的杀毒软件识别查杀。）

③：修改注册表。运行regedit，查找

cmaedu.comHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

cmaedu.com清除可疑键值，转MSDOS状态下删除C：\windows\MBBManager.exe 后重新启动计算机。

cmaedu.com这是一个未及奔跑就被遗忘的木马，非常遗憾。作者的主页已关闭，想必以后不会再见到新的升级版本。

cmaedu.com黑洞

最早接触黑洞是在网络休闲居，那时的版本还不是很稳定，每次关掉黑洞我的屏幕就会蓝屏一次，是名副其实的黑洞，因为这个原因我是不太愿意用它。现在我们提供的这两个版本都不错，没有这些影响使用的小BUG。

cmaedu.com黑洞作者陈经韬，下文介绍的是[黑洞2000]OMEGATEST版和改进后的2黑洞2001正式版本，2001版虽然是在2001年01月2 7日发布，至今的许多杀毒软件仍然不能查杀！（包括最新的金山毒霸）

黑洞的优点是：操作相对简单，容易上手。在上述远几种程控制类的文件夹管理功能中，黑洞的速度上是最快的，几乎与打开本地的文件夹无异！！远程的文件上传、下载很方便！最值得一提的黑洞2 001的多线程监控，非常实用。黑洞2001中还增加了网上影院、语音支持等几个比较适合局域网使用的功能。

黑洞的缺点是：版本的界面、操作太像冰河，有些时候有端口开放却连接不上。（适合新手、或局域网内使用）黑洞2001也有冰河那样的万能密码——b abycjtiloveyou！

看看图标：

服务端图标是个文件夹，可任意改名，不要误运行了。

黑洞两个版本的端口分别和版本对应，为2000、2001。

cmaedu.com界面如图：

cmaedu.com至于控制方面，会冰河的，不要学习就可以使用，这点对新手有利。黑洞在控制方面限制了不少功能，连我最喜欢探索的口令缓存也给封掉了。黑洞2 000版预设了IP地址的手机通知、Call机通知、OICQ通知等方法，可惜都没有启用！很可惜。如果能用上面的IP通知方法，再改进一下操作功能，黑洞绝对是一个超级利器！

黑洞2001“智能监控”的用途：杀掉实时天网等防火墙的进程。服务端设置后每隔一段时间就刷新进程，发现有与定义的进程字符相符合的，就将这个进程关闭。这个针对防火墙的设置，为你更为所欲为的控制这个养马场提供绝佳的作案场所。（“毒”针对大部分的杀毒软件；“墙”针对防火墙、天网）

cmaedu.com黑洞的清除

cmaedu.com1，利用本身自带的卸载，（优秀的木马都有这个功能）有一次一位朋友问我，他机子黑洞的密码被人改了，无法控制自己的机器进行卸载怎么办？ 呵呵。其实很简单，你再运行一次服务端，将别人的密码冲掉，重新控制就可以了。

什么是木马程序???可以下载吗??怎么用?

cmaedu.com特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

cmaedu.com所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

cmaedu.com从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

cmaedu.com而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

cmaedu.com所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

cmaedu.com鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

cmaedu.com原 理 篇

cmaedu.com基础知识

cmaedu.com在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

cmaedu.com(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

cmaedu.com用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

cmaedu.com(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

cmaedu.com(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

cmaedu.com二.传播木马

cmaedu.com(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

cmaedu.com(2)伪装方式:

cmaedu.com鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

cmaedu.com(三)出错显示

cmaedu.com有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

cmaedu.com这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

cmaedu.com(六)木马更名

cmaedu.com安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

cmaedu.com三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

cmaedu.com1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

cmaedu.com2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

cmaedu.com6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

cmaedu.com8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

cmaedu.com(2)木马运行过程

cmaedu.com木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

cmaedu.com其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

cmaedu.com在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

cmaedu.com(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

cmaedu.com(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。

cmaedu.com(3)4000端口：这是OICQ的通讯端口。

cmaedu.com(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

cmaedu.com从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

cmaedu.com六.远程控制：

cmaedu.com木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

cmaedu.com控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

cmaedu.com(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

cmaedu.com(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

cmaedu.com木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

cmaedu.com一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

cmaedu.com还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

哪里可以下载能查杀QQ木马的软件(一杀就好的软件)

cmaedu.com木马杀客 5.2 绿色特别版 Build 0120 （更新06月07病毒库）

cmaedu.com木马杀客下载介绍:经过漫长的测试及完善,木马杀客5.2面世了,新版分别设了电信,网通升级服务器.彻底解决了升级难的问题,解决了对各系统的兼容问题,全盘扫描让你更轻松完成扫描,点内存更小更稳定.增加右键扫描.由于近期灰鸽子木马的横行,故新版附带灰鸽子专杀工具完全查杀所有灰鸽子木马.更加强了对种类变种木马查杀力度.让木马无处遁形.采用剑马新图标,更美观.软件更加易用功能更加贴心,让你在上网冲浪的同时免去了对木马防范的顾虑,让你的机子不再受到木马的威胁..

附带的灰鸽子专杀 可查杀所有灰鸽子木马 已经过严格测试

绝对比木马克星强大。你用过就知道。

cmaedu.com木马杀客是一款清除木马软件，软件除了采用传统病毒库查杀木马以外，还能查杀未知木马,简单快捷的操作方式,快速查找并清除计算机中的木马、黑客程序、后门、蠕虫. 智能杀毒,在线升级,查杀最新的各种QQ,MSN聊天盗号及传奇奇迹等各种网游盗号木马.

cmaedu.comQQ病毒专杀工具(QQKav) XP 2006 元旦版 破解版

cmaedu.com腾讯QQ自动发消息病毒专杀工具XP最新版,可查杀一切基于sendmess.exe恶意消息发送程序的病毒.修复被病毒修改的注册表,使你远离被动发送消息的苦恼!新增IE恢复、反木马监听功能，让你更安心！ 本工具可查杀以下QQ病毒： Trojan.QQMsender.Linmm、Trojan.PSW.Cqzjz、Trojan.dra.a、.Trojan.Qqthief1.7 Trojan.QQ3344、Trojan.Ok530、Trojan.Darksun、Trojan.DonaldDick.135.b Trojan.WebAuto、Trojan.NewSupper.dll、Trojan.PSW.Cqzjz.b、Trojan.Dosh.d Trojan.Sendmess、Trojan.Downloader、Trojan.CmjSpy.16、Trojan.InterBot Trojan.IframeExec、Hack.Glacier.60、Trojan.Roxr45.Server Trojan.Music888.d、Trojan.Nicex、Trojan.Killer3.Svr Trojan.Mmqm、Trojan.WHBoy、Trojan.Hornet.MainSer、Trojan.Hornet.IRC.svr Trojan.CS......以及未知QQ恶意消息发送类病毒、QQ木马程序！ QQKav 2005 圣诞版新增：查杀最新“圣诞书虫”（Troj.QQMsgBook.cm）、诡秘下载器变种JX、QQ窃贼、QQ间谍、Win32.Troj.Ranky.aj 、Win32.Troj.QQRob.ca等即时通讯类病毒及木马。增加最新恶意网站关键字8个。防止杀毒工具被病毒关闭！病毒库版本更新为：2005.12.25 运行压缩包的内存注册机keygen文件, 启动软件后,来到注册界面, 当你点击"注册认证"按钮时即可弹出注册码。保存下来。下次运行软件注册即可。此注册码可以长期升级使用。

QQKav 2006 5·17电信日版

cmaedu.com安全相关/01病毒防治/QQKAV517.exe

cmaedu.comQQKav 2006 5·17电信日版新增： 查杀最新Troj.qqCjb(qq冲击波)、Troj.qqRobber(qq冒牌天神)、Troj.qqMsg.iu(QQHelp变种)、Worm.QQTran(QQ串变种)、Troj.qqMsgBook(书虫变种)、Troj.QQPass.ak(“QQ大盗”变种ak)等即时通讯类病毒及木马，加强对最近流行QQ病毒木马的查杀功能，修复被病毒破坏的注册信息。增加最新恶意网站关键字13个。 病毒库版本更新为：2006.05.17 --2006 5·17世界电信日主题：让全球网络更安全

cmaedu.com

怎么下载或者制作木马？怎么使用啊？有人知道吗

你好，制作和下载木马很简单的。。。只要去黑客网站都可以下载到木马的，还有就是你可以使用正常的远程控制软件。。。

cmaedu.com但是个人不建议你这样做，因为绝大多数的木马软件对电脑都是有危害的。

一般想要给别人中木马都会想损坏自己的电脑的。

cmaedu.com自己好好想想吧，而且制作木马和传播木马是犯法的哦。

专杀木马的杀毒软件是什么？

卡巴斯基是世界病毒库最大的一款杀毒软件.但是占内寸较大.如果电脑配置好的话可

以考虑安装.如果配置一般的话建议安装NOD32,它占内存小,杀毒能力不错,保护范围全

cmaedu.com面.据说网上有很多免费的NOD32下载!推荐nod32这款杀毒软件，获2007年度AV-

cmaedu.comComparatives测试总冠军，非常出色的杀软，杀毒能力很强，占资源很小，安装包大

cmaedu.com小不到20M，而且没有任何广告，虽然同样是国外杀软，但是对国内软件支持的很好，

cmaedu.com我使用目前还没出现过误报误杀的现象。

cmaedu.com现在下载pplive可以免费下载nod32的简体中文版并且赠送半年的正版激活码这是官方

cmaedu.com的活动，完全免费的。不妨试试

cmaedu.com最好配合安全卫士360和QQKAV一起使用，能更好的保护系统。（可以到丁香鱼工作室

下载各种破解版免费的杀毒软件）

丁香鱼工作室：

有什么样的好的木马专杀软件啊,朋友们推荐一下吧

EWIDO全集（包括安装版和绿色免安装版等等）2007年01月19日 星期五 下午 06:46安装系列： 在下面地址点右键选择用迅雷下载 （点击可查看各大图） Ewido security suite 3.5安装版（中文） Ewido Security Suite v3.5安装版，识别并清除黑客,木马,蠕虫程序的完整安全系统 软件简介：Ewido Security Suite v3.5 安装版，这是一款网络安全防护软件，在电脑上已经安装的其它安全软件基础上，补充为一个完整的安全系统。它能实时监测整个系统运行，监测内存，内核自保护，在线升级等。程序可识别并清除447414种不同的劫持程序、间谍软件、蠕虫病毒、自动拨号程序、木马病毒、键盘记录程序等，全面呵护你的网络安全。原版下载 一次性解决注册以及汉化问题 使用方法很简单 删除ewido原有的桌面快捷方式 将本文件导入注册表即可 一次注册成功 下次开启便无需注册 ， 如果在升级的时候说失败，不要紧，直接在点一次就OK，可以升级。。(注意:注册安装的目标文件夹指向安装目录) 同时附件内还有二个注册机(算号器)，虽然装上汉化包后就没什么用了，也提供给大家吧！ 简体中文版（安装的时候选择EN安装完毕后自动转换为简体中文版本）点击下载简体中文版 Ewido security suite 4.0.0.172b ;downid=2id=4335 许可代码: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY 安装步骤：必须严格遵守前1-4部安装步骤，才能确保更新后不会返回免费版，笔者经数次验证可行！ 1。先安装主程序(选英文的)，装完后若自动运行了则要完全退出(见下说明1)； 2。汉化覆盖安装：将“汉化覆盖”文件夹内的1个文件和1个文件夹同时复制到主程序安装文件夹中； 3。运行ewido,并依次完成，输入许可代码---开始更新---再次输入许可代码---完全退出(许可代码见说明2)； 4。运行补丁：步骤为，双击“破解补丁”-- 点BROWSE--浏览到ewido.exe打开--PATCH--FilePatched!确定； 5。检验你的ewido安装得是否成功：点2次“开始更新”后，若显示为“无可用更新”，且状态仍然是加强版即为安装成功。 6。恭喜你！此时应该是永久加强版了，ewido会每天自动更新病毒库2次，且更新后不会返回免费版了。 附 说明1，完全退出方法：右击屏幕右下ewido图标，点 “退出” ，再点“是” 。 说明2，许可代码：70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY 输入代码后首次更新会显示错误，请再点一次“开始更新”即可。 说明3，默认安装或许为“不随Windows启动”，想随Windows启动，右击屏幕右下ewido图标，勾选“随Windows启动”。 说明4，如此安装的ewido可使用其全部功能,在默认设置下，会定期自动链接官方服务器并更新病毒库且不会返回免费版。 原贴 Ewido security suite 4.0.0.172c 第一步：安装Ewido4.0.0.172c，安装汉化补丁！！启动程序这时是试用版，不要输入任何序列号，也不要打补丁，直接升级这样升级会很快，切忌千万不要输入任何序列号，也不要打补丁！！！！第二步：关掉Ewido，把补丁复制到安装目录下，点击BROWSE,选中ewido.exe打开，再点击PATCH补丁就打好了！！第三步：打开程序，这时试用版应该变成加强版了。大家应该注意到画红框的提示和输入序列号后的提示有所不同（不是因为汉化版本的问题），所以打此补丁千万不要输入任何序列号！！！第四步：这时也可以把补丁和生成的备份文件可以删掉了，打开自动升级，一旦有更新它就会自动更新，然后提示已经更新安装，这种方法在我的机子上很管用也没反弹过！我原来也用补丁但都不成功，现在看来应该是方法不对！ 原贴 点这里下载- 下载地址1 [远程下载]（英文）详细下载地址可以去我的百度主页里有EWIDO4.0加强版绿色免安装噢！！（直接解压就可用）地址： Security Suite 4.0.0.172c 汉化增强补丁点这里下载- 原始文件 [本地下载]详细下载地址AVG Anti-Spyware 7.5 优秀的木马专杀工具Ewido下一代产品发布,已经改名为AVG Anti-Spyware 7.5.推荐使用ewido 4.0的用户更新使用.大家一起来尝试下这个新出生的产品吧,资源占用率比以前降低很多.老的4.0注册码继续有效. 下载:AVG Anti-Spyware 7.5 _______________________________________________________________________________________________________ 绿色免安装版：Ewido security suite v3.5 绿色简体注册版(破解版) 一款网络安全防护软件，在电脑上已经安装的其它安全软件基础上，补充为一个完整的安全系统。plus版本能实时监测整个系统运行，监测内存，内核自保护，在线升级等。程序可识别并清除63,449种不同的黑客程序,木马程序,蠕虫程序,Dialers程序等! 全面保护你的网络安全! ewido很厉害,卡巴无法解决杀除的它都能杀！ 1、解决了注册问题 2、解决了汉化问题。 3、做成了绿色软件 4、解决了升级问题。在升级时，它如果提醒你账号过期，表怕！再点一次升级，不要急。就可以看到可以升级了。 本软件是一款可以说最好的查杀木马和间谍程序的软件. 简体中文免安装绿色可升级.另外在繁体系统中用没有乱码字.可以正常显示简体中文. 本地下载 高速下载 Ewido security suite V4.0.0.172c汉化绿色特别版 许多的反木马程序中，Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在 上的测试里表明，它可以有效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本，Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了，和kaspersky结合使用加上ZoneAlarm防火墙，可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件，并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶，可用到2007.2的KEY: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY Ewido V4.0.0.172c┊病毒库升级程序V3.3 Beta、实时防护、右键扫描┊汉化绿色版：病毒库升级程序V3.3 Beta已经集成在压缩包内，先下载后解压！然后运行根目录下update.exe进行升级，即可！V3.3 Beta2版本无需安装Microsoft .Net Framework！需要监控的朋友请运行!)设置.bat AVG Anti-Spyware 7.5简体中文绿色版（原Ewido） 下载地址： ;sID=5 详细下载地址参考资料：