服务器中木马,排查服务器_服务器怎么放一个木马程序

服务器上有木马怎么解决啊?急!~

一、备份重要文件、数据后重装。

1、解释：很明显，你的服务器被人非法登录（入侵）。入侵后黑客可做的事很多，比如植入远程控制、远程上传下载类程序等。 故此，不要去想着如何清理。服务器的安全是非常重要的。

2、重装时，请选用比较新的服务器操作系统，在当前应选择windows 2003或windows 2008。

3、请使用可靠的win版本，千万不要使用所谓的“xxx专版”或“xxx免激活版”。如果你购买了正版，请使用正版，如果没有购买正版，可以考虑使用服务器品牌对应的OEM版或改服务器的BIOS伪装成某品版的机器后安装对应的OEM版（仅win2003有效）。

4、安装服务器时一定不要使用服务器上已存在任何文件，服务器C盘在安装过程中直接删去分区后重分。其它盘在安装过程中不要打开以防止“双击盘符便自动运行类病类”，并自个去网上查一下此类病毒的相关防护和处理办法（可以很方便地手工处理掉）（当然，你的机器上很可能没有，只是小心为好）。驱动请从可靠来源盘安装（比如正版光盘、随机光盘，或对无毒的机器上下载后刻录盘）。

5、安装完系统后不要访问任何不可靠网站，第一时间使用windows updata升级windows，完成所有可升级补丁后，对系统分区进行镜像备份。对于服务器来说，当前最可靠的还是在DOS下使用ghost进行系统备份。

6、加装杀毒软件、正确设定你的服务器的工作状态后，再一次使用ghost进行系统备份。服务器的网站目录、数据目录不应存在于系统分区，且应对它们进行每日备份。

7、在这里个人推荐Mcafee 8.7i。

二、安装、并设定好防火墙。

1、安装软件防火墙，使你的服务器的外联只开放最必要的端口。 个人推荐Mcafee的防火墙。

2、最好安装硬件防火墙，如果经济条件不足，至少买一个比较好的soho级的路由器(价格只需二百元左右)，并使用端口印射来向外提供服务，这样，服务器就不直接与外界联通，黑客想单方面从外部攻入是非常难的。

三、控制好服务器硬盘的读写权，及网站读写权。

1、如果是win系的服务器，请一定使用NTFS，系统分区使用默认读写权（不要去修改），其它分区加上Users组的可读写权，并向下继承。

2、网站文件、数据文件不要放在“我的文档”中。

3、关闭所有网站的可持行权！除非你非常确信你在干嘛。

四、特别提示：服务器的管理员口令请全部更换，不要用原来的！

五、对于你的网页挂马，最简单的做法是将重要数据留下，所有的网页文件全更换为干净的。

六、对于网页挂马，当前最常用的方式是：服务器系统漏洞（从你的说法来看这是最可能的）、SQL注入（请升级你的数据库服务器到最新）。

什么是木马程序

木马特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.

还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

这个木马奇怪了

这个木马替换了C:\WINDOWS\system32\notepad.exe

并切不让恢复，木马（特洛伊木马），也称为后门，英文叫做“Trojan house”，其名称取自希腊神话的《特洛伊木马记》，它是一种基于远程控制的黑客工具，木马的特性一般有：①包含于正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性②具有自动运行性③具有自动恢复功能。④能自动打开特别的端口。⑤包含具有未公开且可能产生危险后果的功能和程序。木马一般有两个程序组成：一个是服务器程序，一个是控制器程序。当你的计算机运行了服务器后，恶意攻击者可以使用控制器程序进入你的计算机，通过指挥服务器程序达到控制你的计算机的目的。黑客可以利用它锁定你的鼠标、记录你的键盘按键、窃取你的口令屡屡拉、浏览及修改你的文件、修改注册表、远程关机、重新启动等等功能。

木马的种类：①远程控制木马。例如冰河②密码发送木马。例如 QQ 木马③键盘记录木马。一般的木马都具有这功能④破坏性质的木马。⑤代理木马。在肉鸡上作跳板的木马。⑥FTP 木马⑦反弹端口型木马。简单来说就是反防火墙的木马，例如网络神偷⑧dll 木马。这是现在最新出来的采用进程插入技术的木马，是最难对付的木马之一。⑨综合型。

想不中木马，先要了解木马植入的惯用伎俩（很多病毒的传播也是利用同样的手段，因为木马也算是病毒的一种）：

1. 邮件传播：木马很可能会被放在邮箱的附件里发给你，当你在没采取任何措施的情况下下载运行了它，即便中了木马。因此对于带有附件的邮件，你最好不要下载运行，尤其是附件名为*.exe的，并且请养成用杀毒软件扫描附件的习惯。

2. QQ传播：因为QQ有文件传输功能，所以现在也有很多木马通过QQ传播。恶意破坏者通常把木马服务器程序通过合并软件和其他的可执行文件绑在一起，然后骗你说是一个好玩的东东或者是PLMM的照片，你接受后运行的话，你就成了木马的牺牲品了。

3. 下载传播：在一些个人网站或论坛下载软件时有可能会下载到绑有木马服务器的东东。所以建议要下载工具的话最好去比较知名的网站。在解压缩安装之前也请养成对下好的软件进行病毒扫描的习惯。

在这里提醒一下，若被杀毒软件扫描到有病毒请立即清除。不要以为不运行这些带木马的文件就可以了，下面这种木马植入方法专门用来对付有此想法的人。

4. 修改文件关联。这是木马最常用的手段之一，比方说正常情况下txt文件的打开方式为Notepad.exe（记事本），攻击者可以把txt文件打开方式修改为用木马程序打开，这样一旦你双击一个txt文件，原本应用记事本打开的，现在却变成启动木马程序了！当然，不仅仅是txt文件，其它诸如htm、exe、zip、com等都是木马的目标。对付文件关联木马，只能检查“HKEY_CLASSES_ROOT\文件类型\shell\open\command”这个子键，查看其键值是否正常。

5. 直接运行植入。一般是利用系统漏洞把配置好的木马在目标主机上运行就完成了。有关系统安全策略后文会作进一步的讲解。

6. 网页植入。现在比较流行的种植木马方法，也是黑客们惯用的无形杀手，即所谓的网页木马。经常上网的朋友是不是发现在浏览网页的时候，浏览器动不动就会弹出几个提示窗口，其中看见最多的就数3721的提示窗口了。这些窗口的源代码中包含了ActiveX控件，如果不安装里面的控件，以后仍然会出现这种窗口，并且网页的功能就不能实现了。利用这一点，可以制作一个ActiveX控件，放在网页里面，只要用户选择了安装，就会自动从服务器上下载一个木马程序并运行，这样就达到植入木马的目的了。按此方法制作的木马对任何版本的IE都有效，但是在打开网页的时候弹出对话框要用户确定是否安装，只要用户不安装，黑客们就以点办法也没有了。所以当上网的时候弹出对话框询问是否安装某软件或插件，请务必看清楚此消息的来源站点。若是知名网站根据实际需要选择是否安装，若是比较少见或没见过的网址甚至根本看不到网址请毫不犹豫的点击“否”并关闭该窗口。另一类木马主要是利用微软的HTML Object标签的一个漏洞，Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质，因此Web页面里面的木马会悄悄地运行。对于DATA所标记的URL，IE会根据服务器返回HTTP头中的Content－Type来处理数据，也就是说如果HTTP头中返回的是appication/hta等，那么该文件就能够执行，而不管IE的安全级别有多高。如果恶意攻击者把该文件换成木马，并修改其中ftp服务器的地址和文件名，将其改为他们的ftp服务器地址和服务器上木马程序的路径。那么当别人浏览该网页时，会出现“Internet Explorer脚本错误”的错误信息，询问是否继续在该页面上运行脚本错误，当点击“是”便会自动下载并运行木马。以上两种网页木马都会弹出安全提示框，因此不够隐蔽，遇到此情况只要看清消息来源的站点，再视情况判断有没必要点击“是”。还有一种网页木马是直接在网页的源代码中插入木马代码，只要对方打开这个网页就会中上木马，而他对此还是一无所知。在这里提醒各位网民，对于从未见过的URL（通常都是个人网站/论坛），最好不要访问。

那么怎样判断自己的电脑是否中了木马，中了木马时有什幺现象？很难说，因为它们发作时的情况多种多样。

但是如果你的计算器有以下表现，就很可能染上黑客病毒了。

计算器有时死机，有时又重新激活；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多。（可是，有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到，借助PVIEW95就可以看到）。特别是在连入Internet网或是局域网后，如果你的机器有这些现象，就应小心了，当然也有可能是一些其它的病毒在作怪。由于木马程序的破坏通常需要里应外合，大多数的木马不如病毒般可怕。即使运行了，也不一定会对你的机器造成危害。不过，潜在的危害还是有的。比如，你的上网密码有可能已经跑到别人的收件箱里了！

我们也可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256*256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客也是通过端口进入你的电脑。因此，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍：

①Windows本身自带的netstat命令

此命令是显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

-a显示所有连接和侦听端口。服务器连接通常不显示。

-e显示以太网统计。该参数可以与 -s 选项结合使用。

-n以数字格式显示地址和端口号（而不是尝试查找名称）。

-s显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r显示路由表的内容。

interval重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。

如果发现有异常的端口出现，就有可能是木马常用的端口被占用。立即断开网络，用病毒库升级到最新的杀毒软件查杀病毒。

②工作在windows2000下的命令行工具fport

Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：

D:\fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

748 tcpsvcs - 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs - 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs - 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost - 135 TCP C:\WINNT\system32\svchost.exe

利用此命令，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意，也许那就是一只狡猾的木马！

③与Fport功能类似的图形化界面工具Active Ports

Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动，而且它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。

利用查看本机开放端口，以及端口和进程对应关系的方法，可以轻松的发现基于TCP/UDP协议的木马。一般中了木马程序最简单的办法就是用杀毒软件清除，如金山毒霸等。现在的杀毒程序能查杀大部分木马，当然也有一部分查杀不了的木马。这时就需要手动清除。要想手工清除，首先需要了解一下木马通常喜欢隐藏在哪里，并自动加载。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动。木马会在计算机启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，木马都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

①win.ini 中启动 ：在 win.ini 文件中，在 [WINDOWS] 下面， “run=” 和 “load=” 是可能加载 “ 木马 ” 程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上 “ 木马 ” 了。当然你也得看清楚，因为好多 “ 木马 ” ，如 “AOL Trojan 木马 ” ，它把自身伪装成 command.exe 文件，如果不注意可能不会发现它不是真正的系统启动文件。

②system.ini 中启动 ：在 system.ini 文件中，在 [BOOT] 下面有个 “shell= 文件名 ” 。正确的文件名应该是 “explorer.exe” ，如果不是 “explorer.exe” ，而是 “shell= explorer.exe 程序名 ” ，那么后面跟着的那个程序就是 “ 木马 ” 程序，就是说你已经中 “ 木马 ” 了。

③利用注册表加载运行 ：在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

④隐形于启动组中 ： C:\windows\start menu\programs\startup ，在注册表中的位置： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"( 一般来说机率比较少 )

⑤隐蔽在 Winstart.bat 中 ：按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不， Winstart.bat 也是一个能自动被 Windows 加载运行的文件，它多数情况下为应用程序及 Windows 自动生成，在执行了 Win.com 并加载了多数驱动程序之后开始执行（这一点可通过启动时按 F8 键再选逐步跟踪启动过程的启动方式可得知）。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成，因此木马完全可以像在 Autoexec.bat 中那样被加载运行，危险由此而来。

⑥在 Autoexec.bat 和 Config.sys 中加载运行

⑦通过文件关联启动 ：此类木马上文已讲，在这里不再

⑧比较新的木马启动技术就是利用 dll 嵌入技术，把木马嵌进正常使用程序进程里，手工很难清理。这种木马不使用进程，而使用Windows系统中的另一种“可执行程序”——dll（应用程序扩展），这样我们就不能通过Windows的进程管理器来发现这种木马了，但是我们可以借助第三方软件（Windows优化大师的进程管理）来找到木马使用的dll文件，找到后到DOS下删除。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

（五）病毒防杀

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

计算机病毒可根据感染形态进行分类，大致可分为以下几种：

① 引导型病毒：引导型病毒是病毒把自身的程序代码存放在软盘或硬盘的引导扇区中。由于现代计算机的启动机制，使得病毒可以在每次开机，操作系统还没有引导之前就被加载到内存中，这个特性使得病毒可以对计算机进行完全的控制，并拥有更大的能力进行传染和破坏。绝大多数引导型病毒有极强的传染性和破坏性，通常会格式化硬盘、修改文件分配表（FAT表）等，一旦发作，计算机的数据通常会全部丢失。这种类型病毒的清除也很简单，不管是什么名字的病毒，只要是引导型的，用干净的软盘（即不含病毒的启动软盘，注意：一定要关闭软盘的写保护，不允许对软盘进行写入操作）启动系统，然后重写硬盘的引导扇区即可清除。由于该类病毒的清除和发现很容易，所以这类病毒都属于很老的了，现在基本上已经灭绝。

② 文件型病毒：文件型病毒通常把病毒程序代码自身放在系统的其它可执行文件（如：*.COM、*.EXE、*.DLL等）中。当这些文件被执行时，病毒的程序就跟着被执行。文件型病毒依传染方式的不同，又分为非常驻型以及常驻内存型两种。非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中，当这些中毒的程序被执行时，就会尝试把病毒程序传染给另一个或多个文件。该类病毒只在感染病毒的程序被调用执行时，传染给其它程序，病毒本身并不常驻内存；常驻内存型病毒躲在内存中，一旦常驻内存型病毒进入了内存，只要有可执行文件被执行，就可以对其进行感染。由于病毒一直常驻内存，所以此时用杀毒软件进行杀毒，存在“带毒杀毒”的问题，通常不易杀干净。一般需要用干净的系统引导盘启动系统后，再进行杀毒才彻底。

③ 复合型病毒：复合型病毒具备引导型病毒和文件型病毒的特性，可以传染*.COM、*.EXE、*.DLL文件，也可以感染磁盘的引导扇区。由于这个特性，使得这种病毒具有很强的传染力，一旦发病，破坏程度也会非常强。

④ 变型病毒：又称幽灵病毒，这一类病毒使用一个复杂的算法，使自己每传播一次都具有不同的内容和长度。一般的做法是：病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。病毒之所以费尽心机进行自身代码的变化，主要原因是为了躲避杀毒软件对其病毒特征代码的扫描，以避免被杀毒软件清除。

⑤ 宏病毒：宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。所谓的宏，就是一段脚本程序，由于Word、Excel等软件在处理文档时，为了使程序更智能化地按人的意愿工作，允许在Word中加一些VBS程序，这给宏病毒提供了滋生的土壤，宏病毒就是用这些VBS程序书写的程序。

⑥ 网页病毒：网页病毒主要利用系统软件的安全漏洞，通过执行嵌入在网页HTML语言内的Jave Applet程序、JavaScript脚本程序、VBS脚本程序和ActiveX部件等可自动执行的程序，强行修改操作系统的注册表和系统配置，或非法控制系统资源，盗取用户文件。这种非法恶意程序能够自动执行，它完全不受用户的控制。你一旦浏览含有该病毒的网页，便可以在不知不觉的情况下中招，给系统带来不同程度的破坏。轻则消耗系统资源，使系统运行速度缓慢，直至重启；重则删除硬盘数据，甚至格式化硬盘。网页病毒发作通常有两种表现形式：一种是修改浏览器和注册表的各种设置，比如：IE的默认首页被修改，标题栏被添加非法信息，注册表被禁止打开等。另一种则是恶性结果，比如：开机出现对话框，格式化硬盘，全方位侵害封杀系统，最后导致瘫痪崩溃，非法读取或盗取用户文件等。网页病毒的预防通常是先打上IE补丁。接下来有两种方法：一是利用IE自身的设置进行预防，使浏览器自身不执行网页上的脚本程序，或屏蔽某些恶性网站。在IE6的internet选项的“常规”选项卡中，先选中某一网站区域，再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。要注意的是：禁用IE的JS、VBS等脚本程序的运行后，很多网页特效就没办法显示了；另一种办法，就是使用病毒防火墙，或者直接用第三方IE保护软件来保护。

⑦ “蠕虫”型病毒：顾名思义，计算机蠕虫指的是某些恶性程序代码，会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机进行感染。一般来说蠕虫能感染文件，对自身进行复制，消耗系统资源。在互联网环境下，蠕虫病毒变得非常猖獗，它靠复制自己来传播，如果你不对蠕虫的传播渠道进行控制（如操作系统的漏洞、文件共享的权限等），即使你不执行任何外来文件，也会被感染。现在的病毒一般都是既能够感染文件，又可以像蠕虫那样到处爬动（无非就是通过E－mail、共享文件夹、感染HTML代码，然后就是寻找漏洞获得写权限等等），因此，未来能够给网络带来重大灾难的，必定将是网络蠕虫病毒。

⑧ 木马病毒。木马和蠕虫之间，有某种程度上的依附关系，越来越多的病毒同时具有木马和蠕虫两者的特点。

在病毒日益猖獗的今天，安装杀毒软件和防火墙是最基本的措施。同时建议至少每周更新一次病毒库。

从目前发现的病毒来看，计算机感染病毒后的主要症状有：

1：由于病毒程序把自己或操作系统的一部分用坏簇隐藏起来，磁盘坏簇莫名其妙地增多。

2：由于病毒程序附加在可执行程序头尾或插在中间，使可执行程序容量加大。

3：由于病毒程序把自己的某个特殊标志作为标签，使接触到的磁盘出现特别标签。

4：由于病毒程序本身或其复制品不断入侵占系统空间，使可用系统空间变小。

5：由于病毒程序的异常活动，造成异常的磁盘访问。

6：由于病毒程序附加或占用引导部分，使系统引导变慢。

7：丢失数据和程序。

8：中断向量发生变化。

9：打印出现问题。

10：死机现象增多。

11：生成不可见的表格文件或特定文件。

12：系统出现异常活动。

13：出现一些无意义的画面问候语等。

14：程序运行出现异常现象或不合理的结果。

15：磁盘卷标名发生变化。

16：系统不认识磁盘或硬盘，不能引导系统等。

17：在系统内装有汉字库正常的情况下不能调用汉字库或不能打印汉字。

18：在使用没有写保护的软件的软盘时屏幕上出现软盘写保护的提示。

19：异常要求用户输入口令。

你想尝试一下中病毒的滋味的话可去下载病毒感染模拟器。

若你的计算机发生以上状况，千万不要迟疑，遵循以下步骤处理：

1：立刻断开网络。

2：找“决对干净”的DOS系统磁盘启动计算机。这时，记得要关上这张磁盘个写保护。

3：用杀毒软件开始扫描病毒。

4：若侦测到是文件中毒时，则有三种方试处理：删除文件、重命名文件或是请除病毒。记住：千万不要对中毒文件置之不理，特别是不能让其停留在可执行文件中。

5：若侦测到的是硬盘分区或引导区的病毒时，则你可以用干净的DOS磁盘中的FDISK指令，执行FDISK/MBR命令，以恢复硬盘的引导信息；或是在A驱中执行A:/SYS C:（C:为中毒磁盘），以救回硬盘引导区的资料。

6：现在，可以重新建文件、重新安装软件或 ，准备备份资料，请切记，备份资料在重新导入系统前，应先进行扫描，以防万一。

7：千万记住，重新建文档到开始运行之前。应再次扫描整个系统，以免中毒文件不小心又被存入系统中。

8：现在可以安心的开始操作计算机了。

（六）Windows系统安全隐患

许多系统都会有这样那样的安全漏洞（Bugs），其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击、Windows98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；另一些是利用协议漏洞进行攻击，如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏根目录，从而获得超级用户的权限；还有一些漏洞是由于系统管理员配置错误或疏忽引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码以明码方式存放在某一目录下，这都会给黑客带来可乘之机。

防范措施：①个人用户推荐使用Windows XP Professional。这个号称Windows家族最稳定的操作系统，基于NT内核的融合，与以前的各版本相比具有更加安全和更加保密的安全特性，它对系统安全性所做的改善，大大加强了用户建立安全、保密的系统环境的系数。②及时给系统打补丁。可以使用Windows自带的“Windows update”，建议至少每周更新一次，并多留意下官方网站的安全公告。③安装杀毒软件和防火墙。强烈建议至少每周对其更新一次。

另外我们也应充分利用Windows XP的安全特性进行一些必要的安全配置：①使用XP自带的免费Internet连接防火墙。②利用Windows XP内置的IE6.0来保护个人隐私。我们可以在IE6.0中定义透露个人信息的具体参数选项，浏览器会在用户上网时，自动判断所访问的站点的安全、可信等级，根据预先设定的隐私参数，来限制信息方面的流通。③利用加密文件系统（EFS）加密。在Windows XP中EFS使用扩展数据加密标准作为加密算法，EFS自动地为用户生成一对密钥和证书，并在利用了CryptoAPI结构的情况下以公钥加密为基础。加密后的文件夹将限制、识别用户是否属于非法访问，只有对这个文件进行加密的用户可以打开这个文件并使用它。要对文件进行加密，首先你得有NTFS分区，然后右击要加密的文件夹，在弹出的文件夹属性的“常规”栏里依次选择“高级”→“加密内容以便保护数据”→“确定”→“将更改应用于该文件夹、子文件夹和文件”→“确定”，这样，该文件夹、子文件夹及文件都已加密。需要注意的是当对文件夹进行了加密后，一定要制作备份密钥，以防万一。④屏蔽不需要的服务组件。XP众多的服务使用户享受到了前所未有的服务，但是出于种种原因，用户能真正在日常用到的组件还是为数不多，这就造成了很到的系统资源浪费和一定的安全隐患，甚至黑客们还会据此尝试一些入侵，所以屏蔽一些暂时还不需要的服务组件是安全设置中的一个重要部分。⑤管理好