什么是木马？
木马名字来源于古希腊传说（木马在荷马史诗的故事，这个词木马的意思是木马，它指的是木马，这是木马的故事）。
“特洛伊木马”程序是一种相对流行的病毒文件。与普通病毒不同，它不会自动播放或“故意”感染其他文件。它吸引用户下载并通过对特洛伊木马应用伪装来执行它。提供者提供了一个打开天才计算机的门户，允许饲养员任意销毁、以窃取参与者的文件，甚至可以远程操纵种植者的计算机。 “特洛伊木马”有点类似于计算机网络中经常使用的遥控软件，但由于遥控软件是“善意”控制，它通常不会被隐藏； “木马”是相反的，木马是实现“偷取性的遥控器，如果它不是很隐蔽，那就是”没有价值“
它指的是通过特定程序（特洛伊木马程序）控制另一台计算机。特洛伊木马通常有两个可执行程序：一个是客户端，控制台，另一个是服务器，即控制台。使用植入计算机的“服务器”部分，并且所谓的“黑客”使用“驱动程序”进入运行“服务器”的计算机。运行“服务器”木马后，他们会打开电脑种植者一个或多个端口，使黑客可以利用这些开放端口进入计算机系统，以及安全和个人隐私是完全没有安全感！特洛伊木马设计者使用各种方法来隐藏木马，以防止它们被发现。一旦木马的服务正在运行，并通过控制台连接，控制台将大部分操作权限的服务器，如添加密码的电脑，浏览、，移动、，复制、，删除文件，修改注册，更改计算机设置等
随着病毒编写技术的发展，特洛伊木马对用户的威胁越来越大。特别是，一些特洛伊木马程序使用极其尴尬的手段来隐藏，这使得普通用户在中毒后难以检测。
木马类型
木马在线游戏
随着网络游戏的普及和变暖，中国有大量的在线玩家。团队的在线游戏、以及其他虚拟财富和真实财富中的资金越来越模糊。与此同时，还开发了木马病毒，以便从在线游戏账户中窃取密码。
在线游戏木马通常使用用户的、Hook键盘输入游戏进程API函数来获取用户的密码和帐号。被盗信息通常通过发送电子邮件或发送到远程脚本发送给特洛伊木马的作者。在线游戏特洛伊木马的类型和数量在国内木马病毒中是无法比拟的。没有一个流行的在线游戏受到在线木马游戏的威胁。新游戏正式启动后，通常会在一两周内创建相应的特洛伊木马。在大量发电机木马和公众销售网站盗版也的原因，在线游戏木马的泛滥之一。
2.木马在线银行
网上银行木马是为在线交易系统编写的特洛伊木马病毒。其目的是窃取用户卡号、或甚至安全证书的密码。虽然此类木马的数量少于木马，它是更具破坏性和被害人的损失更为严重。
网上银行特洛伊木马通常非常具体。特洛伊木马作者可以先仔细分析银行的在线交易系统，然后编写病毒程序来检测安全漏洞。例如，在2004年，“网银大盗”病毒会自动将页面切换到以前的版本表现不佳的安全、，但继续当用户进入页面登录网上银行进行操作然后注册用户在此页面上输入的卡号。密码：“网银大盗3”可以使用来自中国招商银行网上专业版的备份安全证书盗取安全证书； 2005年，“新网上银行窃贼”使用API Hook等技术干扰网上银行登录安全控制的运作。
随着中国网上交易的普及，受网络银行特洛伊木马威胁的用户也在增加。
3.木马即时通讯软件
现在，国内即时通讯软件正在蓬勃发展。新浪UC QQ、、、盛大网易泡泡圈......用户组上网聊天是非常大的。有三种常见类型的即时消息传递特洛伊木马：
、发送消息类型。通过即时通讯软件自动发送包含恶意网址的消息，让用户接收到该消息点击网站的中毒用户会中毒后病毒发送给更多的朋友。这类病毒的常见技术是查看聊天窗口，聊天窗口又控制窗口自动发送文本内容。木马发送消息类型往往充当广告在线游戏木马像木马“武汉男生2005”，它可以通过类似MSN、QQ、UC各种聊天工具发送恶意网站。它的主要功能是窃取传奇游戏的账号和密码。
b、类型的黑客攻击。主要目标是登录帐户和即时消息软件的密码。操作原理类似于在线游戏。一旦病毒作者窃取了他人的帐户，他们就可以查看隐私内容，例如聊天记录，或者出售帐户。c、传播自己的类型。早在2005年，MSN性感鸡和从MSN一会儿传播其他蠕虫后，MSN推出了禁止用户发送可执行文件的新版本。 2005年上半年，国内的病毒，“QQ龟”和“QQ爱虫虫”是通过QQ聊天软件传播，感染用户的数量是非常高的。 2005年上半年十大最佳病毒分类，由江民公司统计。排名第一和第四。从技术角度来看，发送文件类的QQ蠕虫是先前发送的QQ木马消息类的演变。使用的基本技术是搜索聊天窗口并控制聊天窗口，以达到发送文件或消息的目的。发送文件比发送邮件要复杂得多。
4.网站点击木马类
网页上的点击将恶意模拟用户点击和其他操作，并可在短时间内产生数万次点击。通常编写病毒作者以获得较高的广告费用。这种病毒的技术很简单，通常只向服务器发送HTTP GET请求。
5.下载特洛伊木马
该木马通常体积小，可以下载其他病毒程序或在网络上安装广告程序。由于它们的体积小，下载特洛伊木马更容易传播和传播更快。通常情况下，强大的、也是一个大后门病毒如“灰鸽子”、“黑洞”等，写一个单独的可下载木马程序时，用户将主程序后门下载到本机中毒后。
6.木马类代理。
一旦感染木马的用户代理，代理服务功能，如HTTP、SOCKS，它在本地计算机上启用。黑客使用受感染的计算机作为跳板，以作为受感染的用户执行黑客活动，以实现隐藏目的。
首先找到被感染的文件，手动的方法是完成相关的进程，然后删除该文件，但现在有很多软件杀木马。该软件可以消除它们。特洛伊木马和病毒是一种人为的过程，它们都属于计算机病毒，特洛伊木马。你为什么要单独解除它？大家都知道，计算机病毒之前的角色其实就是破坏彻底摧毁计算机信息和数据，以及威慑无非是一些其他的病毒作者更多的是为了实现某些目标并进行勒索和外部损害的作用，或炫耀他们的技术。""是不一样的木马，特洛伊的作用是赤裸裸的秘密监视别人的密码和其他数据，如盗窃管理员密码的人盗窃 - 子网密码搞破坏，或者好玩，盗用在线使用的密码，赌博账户，股票会计和银行账户，包括在线和其他目的徘徊隐私和获得经济利益。所以Troy的作用比早期的计算机病毒更有用，更能够达到用户直接的目的！导致大量的写的这些侵入性操作的开发商许多别有用心的程序窃取计算机和另外一个人，这是符合为什么很多木马泛滥的原因的监视器。鉴于木马的巨大危险，他们的第一大自然纸是不一样的病毒，所以即使木马病毒属于一类，它是被剥离的各类个人中间病毒的。木马""称为独立程序。
一般来说，一个软件删除程序，旨在杀死特洛伊木马程序杀死这个和那，然后其自身的普通过程的杀毒程序也将能够杀死这个木马，因为今天木马猖獗，由于木马设计单独使用一种特殊的杀马工具，可以提高杀毒软件产品的质量，其声誉受益匪浅，实际上普通的杀毒软件都包含在杀死木马的功能中。如果我们现在说某种它不是专杀程序木马杀毒软件厂商，这似乎为自己有些遗憾，即使是在普通软件杀毒的过程中杀毒软件具有的其他功能杀死特洛伊木马。另一点是，与特洛伊木马程序分开进行杀戮可以提高杀戮效率。现在，防病毒软件中的许多木马只会杀死特洛伊木马并且不会在常见的病毒数据库中验证病毒代码。他说，当用户运行该程序清除木马，该程序只要求，而不是病毒代码调用数据的基础上，大大提高了该库的数据代码的木马，删除特洛伊木马的速度。我们知道消除常见病毒的速度相对较慢。因为现在病毒太多了。每个文件必须由数以万计的木马进行测试，然后用已知的近10万个病毒代码的测试中，速度很慢。保存普通的病毒代码测试，是为了提高效率和速度？也就是说，现在很多杀毒程序都带有木马删除程序，只是杀木马，一般不会控制病毒，而是你自己的应用程序。病毒清除程序不仅可以杀死病毒，还可以杀死病毒！
特洛伊病毒的危险：

1、窃取了我们的在线赌博账户，威胁到我们虚拟财产的安全性
该木马病毒会窃取我们的在线游戏账户，你可以绘制自己，并立即转账球队比赛，然后将木马病毒的用户会出售这些团队发挥和被盗的以盈利为目的的游戏币。
2、在线窃取我们的银行信息并威胁我们的房地产安全。
木马利用我们的键盘记录，窃取网上我们的银行帐号和密码，并将它们发送给黑客，直接导致我们的经济损失。
3、使用即时通讯软件窃取我们的身份并传播木马病毒。
在这种木马病毒之后，它可能导致我们的经济损失。一旦特洛伊木马进入计算机，计算机将下载病毒作者指定的任何程序，这是不确定和有害的。如笑话等。
4、打开了我们电脑的后门，这样我们的电脑就可以被黑客控制。
像灰鸽子和马。当我们拥有这种类型的特洛伊木马时，我们的计算机就会变成一个唾液并成为黑客手中的工具。
如何防御木马病毒？
杀死特洛伊木马（许多杀戮程序，一些病毒可以杀死特洛伊木马）
防火墙（分为硬件和软件），内部软件很好。
如果是公司或其他地方，请同时使用硬件和软件。
基本上，你可以防御大多数木马，但目前的软件并不是无所不能的，不是吗？您还需要学习一些专业知识。有了这些，您的计算机就更安全了。
现在有很多老师，前提是不仅来历不明的访问网站，使用来历不明的软件（很多盗版程序或盗版配备了木马，这取决于你自己的经验告诉他们分开），如果你这样做，木马，病毒。进入你的电脑并不容易。
如何找到一些木马方法　　虽然采用了目前软件木马清除和删除软件，系统自带了一些基本的命令也可以找到病毒木马：
、检测到网络连接。如果您怀疑有人已经安装了木马的计算机上，或者如果你有一个病毒，但没有一个全面的工具来检测是否是这种情况，您可以使用Windows附带的Windows命令。快来看看谁在连接你的电脑。
特定的命令格式是：netstat的-an此命令可以看到连接到本地计算机的所有IP包含四个部分——proto（连接方法）、local地址（本地连接）、foreign（具有本地连接地址）、state（状态当前港口）。通过该命令的详细信息，我们可以完全监视计算机中的连接，从而达到控制计算机的目的。
两个、禁用未知服务
许多朋友会发现系统重启一天后计算机速度会变慢。无论如何优化，它都很慢。您无法找到防病毒软件的问题。这次很可能其他人在入侵您的计算机后以特殊方式打开了。某些类型的服务，例如IIS信息服务，因此您的防病毒软件无法找到它。但不要担心，您可以使用“net start”来验证系统中打开的服务。如果您发现不对您开放的服务，我们可以以特定方式禁用此服务。
该方法是直接输入“net启动”中看到的服务，然后再使用“net停止服务器”来禁用该服务。
三个、帐户易于检查
很长一段时间，恶意攻击者都喜欢使用克隆帐户来控制他们的计算机。他们使用的方法是激活系统上的默认帐户，但不经常使用此帐户，然后使用该工具将此帐户提升为管理员权限。从表面上看，这个帐户仍然和原来一样，但是这个克隆的账户在系统中最大的安全隐患。恶意攻击者可以通过此帐户任意控制您的计算机。
为避免这种情况，您可以通过非常简单的方式测试帐户。首先在命令行中输入网络用户，请检查用户的计算机上，然后使用“用户名网络用户”看什么权限属于，平时除了Administrator是该组的用户管理员，另一个不是！如果您发现集成到系统中的用户属于管理员组，则几乎可以肯定它已被黑客入侵，而其他人已在您的计算机上克隆了该帐户。使用“net user username / del”删除该用户！
客户端处于网络状态。对于未连接到网络的客户，当他们连接到Internet时，他们将在第一次收到更新信息时将病毒签名数据库更新到最新版本。它不仅省去了手动更新用户的繁琐过程，而且还使用户的计算机保持在最佳保护环境中。
四个对比度、“msconfig.exe"和"Services.msc"
1.单击“开始→运行”，输入“MSCONFIG.EXE"回车，打开”系统配置实用程序，然后勾选“隐藏所有Microsoft服务”中的“服务”选项卡，然后在服务要素列表中显示的不是系统程序
2.然后单击“开始→运行”，输入"输入services.msc，打开“服务管理系统”，在“服务清单”比较两个表可以发现，不是系统的服务要素这是逐一显示的。
3.在管理界面中的“系统服务”，找到这些服务后，双击打开，您可以查看可执行文件的位置，在“常规”选项卡上，程序的可执行文件路径上的服务平时正常安装，如防病毒，MSN，防火墙等，建立自己的系统服务，而不是在系统目录下，如果有一个第三方服务指向系统目录的路径，那么它是一个“木马”。选择它，在表格中选择“取消激活”，然后重新启动计算机。
4分：左侧有一个表：有一个所选服务程序的描述，如果它没用，那就是一个木马。
如何消除木马病毒？
1、禁用系统还原（Windows Me / XP）如果您运行的是Windows Me或Windows XP，我们建议您暂时禁用“系统还原”。此功能是默认启用的，并可以被Windows使用，如果损坏您的电脑上恢复文件。如果蠕虫或木马病毒、感染了计算机，系统还原将使得病毒的一个备份，在蠕虫或特洛伊木马计算机、
Windows禁止外部程序（包括防病毒）修改系统还原。因此，程序或防病毒工具无法从“系统还原”文件夹中删除威胁。这样，系统还原，即使你已经清除受感染文件中的所有其他位置可以在您的计算机上还原受感染的文件。
此外，病毒扫描也可以检测到系统还原文件夹中的威胁，即使您已删除的威胁
注意：删除蠕虫后，请按照上一篇文章中的说明恢复系统还原配置。
2、以安全模式或VGA模式重新启动计算机
关闭计算机并等待至少30秒后再以安全模式或VGA模式重新启动
Windows 95/98 / Me / 2000 / XP用户：以安全模式重新启动计算机。除Windows NT外，所有32位Windows系统都可以在安全模式下重新启动。有关详细信息，请参阅文档如何以安全模式启动计算机。
Windows NT 4用户：以VGA模式重新启动计算机
扫描并删除受感染的文件启动防病毒程序并确保将其配置为扫描所有文件。运行完整系统扫描。如果它检测到任何感染了Download.Trojan的文件，请单击“删除”。如有必要，请清除历史记录和Internet Explorer文件。如果在Temporary Internet Files文件夹中的压缩文件中检测到该程序，请执行以下步骤：
启动Internet Explorer。单击工具>
“互联网选项”。点击Internet临时文件部分中的常规选项卡上，单击删除文件，然后在出现提示时单击确定。在“历史记录”部分，单击“清除历史记录”，然后在出现提示时单
3、关于病毒的危险，Download.Trojan将执行以下操作：登录到其作者创建的特定网站或FTP站点，并尝试下载新的蠕虫、特洛伊木马、或其组件
下载完成后，特洛伊木马程序将执行它们
在木马无法打开防病毒软件的情况下，可以使用360安全卫士安全启动。
特洛伊木马喜欢隐藏几个地方
特洛伊木马是一种基于远程控制的病毒程序。该计划非常隐蔽和有害。您可以在不知情的情况下控制或监控它。这些是潜伏的特洛伊木马的伎俩。阅读之后，不要忘记采取措施来处理这些损害。
1、集成到程序中。
你坚实的马也是一个服务器客户端程序。它通常集成到程序中，以防止用户轻松消除它。用户激活特洛伊木马后，特洛伊木马文件将包含在应用程序中，然后加载。覆盖服务器上的原始文件，这样即使删除了特洛伊木马，每当应用程序与特洛伊木马一起运行时，都会安装特洛伊木马。链接到应用程序，例如链接到系统文件，然后每次Windows启动特洛伊木马程序。
2、隐藏在配置文件中
特洛伊木马非常尴尬。我知道新手通常使用图形界面操作系统。大多数不那么重要的配置文件都不在空中，只提供隐藏特洛伊木马的地方。并且通过配置文件的特殊功能，特洛伊木马可以轻松地在每个人的计算机上执行、攻击，因此他们可以监视或监视每个人。但是，这种方法不是很隐蔽，也很容易找到，因此很少在Autoexec.bat和Config.sys中加载特洛伊木马，但不能掉以轻心。
3、潜伏在Win.ini中必须运行特洛伊木马来控制或监视计算机，但没有人会愚蠢地在自己的计算机上运行这个该死的特洛伊木马。当然，特洛伊木马也在心理上准备好知道人类是智商高的动物，并且无法帮助它发挥作用。因此，您必须找到一个安全且可以在系统启动时自动运行的地方，因此它潜伏在Win.ini中。特洛伊木马感觉更舒服。你可能想打开WIN.INI在自己的领域看到的[Windows]的命令启动“负载=”和“运行=”一般“=”后面是空白的，如果有一个程序跟踪，例如这就是它的样子：run = c：windowsfile。 Exeload = c：windowsfile.exe。此时，你必须小心，这个file.exe可能是一个木马。
4普通文件中的、伪装。
这种方法出现得很晚，但今天非常流行。很容易欺骗不合格的窗口操作符。具体方法是伪装成程序中的图片或文字——更改图标为默认的Windows图片图标，然后将该文件重命名为* .jpg.exe的可执行文件，因为默认的配置是Win98的“不显示已知的文件”后缀名”，文件将会显示为* .JPG，如果你不注意，该图标会在木马（如果您嵌入图像中的程序更加完善）
`
5、合并在注册表中。
以前的方法让木马感觉舒适一段时间，没有人能找到它，它可以自动运行，速度非常快！然而，美好的时光并没有持续很长时间，人类迅速拔出他们的马并严厉惩罚他们！但还是不舍得，总结失败的教训后，我觉得以前的亥很容易找到，现在必须在一个地方，是不容易找到隐藏，所以想记录！的确，由于注册表的复杂性，木马常常喜欢藏在这里得到快乐，快速地检查他们，需要什么手续底下，看着他们以极大的关注不降木马：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion所有对最初都是“执行”； HKEY_CURRENT_USERoftwareMicrosoftWindowsCurrentVersion首先对所有对“执行”； HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion所有对在开头“RUN”。
6、隐藏在System.ini中
特洛伊木马无处不在！洞在哪里，你会在哪里钻？事实并非如此。 Windows安装目录中的System.ini也是特洛伊木马喜欢隐藏的地方。或护理，打开这个文件，看看它是从[启动]文件场正常的文件不同，它不是这样的内容，即壳= Explorer.exefile.exe，如果任何这样的内容，那你就不幸，因为这里的file.exe是木马服务器程序！此外，在System.ini的[386Enh]字段中，请注意在本节中验证“controller = path程序名称”，这也可以由特洛伊木马使用。另外，在System.ini中的[话筒]、 [司机]、 [drivers32]这三个字段，这些段也是起到加载驱动程序作用也是一个不错的地方加入木马，现在已知的太十小心点
7、在启动组中不可见
有时木马并不在乎自己的行踪，是它是否是更加关注被自动加载到系统中，因为一旦木马加载到系统中，使用的方法是，你不能送包（嘿，这真是太木马剥了皮厚），按照这个逻辑，启动组也是隐藏木马的好地方，因为它是加载和自动运行的好地方。与开始组对应的文件夹是：
C：windowsstartmenuprogramsstartup
注册表中的位置：
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFoldersStartup = “C：windowsstartmenuprogramsstartup”请经常检查启动组。
8、隐藏在Winstart.bat中
根据以前的逻辑理论，木马喜欢留在木马可以自动加载的地方。这不，Winstart.bat的也是一个Windows文件，可以自动加载运行。在大多数情况下，它会自动为应用程序和Windows生成。它运行Win.com并负责大多数司机（这可以通过按F8键，然后选择一步发起一步启动引导过程。与Autoexec.bat的功能可以更换Winstart.bat的运行后，该木马可以加载和运行方式是在Autoexec.bat中，并且危险发生。
9、打包在主文件中
也就是说，应用程序的启动配置文件，控制端可以使用这些文件来启动该程序的功能，并上传与木马相同的名称创建的文件来启动命令到服务器覆盖具有相同名称的文件，以便可以实现启动特洛伊木马的目的。
在超链接上设置10、
木马的主人将网站上的恶意代码，引诱用户点击。用户点击的结果很明显：打开偷门！建议不要点击页面上的链接，除非你理解它并信任它。
上一篇：云安全

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 什么是云安全

• 分享到：