关于木马～！！！！！！

木马实际上是一种远程控制软件，国外叫特洛依，名字的来源是由于古代攻城的时候，由埋伏在城里的“特洛依”，国外的叫法，应该是伪装的起来的兵士，接应城外的军队攻克城堡。所以“木马”一词应该含有“隐蔽”和“接应”的意思。

国外比较有名的木马是前几年流行的“冰河”，这是一个比较优秀的国产木马。现在木马有很多种，象“广外幽灵”，“蓝色火焰”，“ *** 神偷”等，最近又新出一个比较优秀的国产木马程序－“灰鸽子”。

木马的神奇之处在于其隐蔽性和强大的 *** 通讯功能。在现在，很多木马已经变成了病毒的一种，成为各种杀毒软件追杀的对象。不过这只限于那些知道的木马，又很多未知或新出的木马程序一时还查杀不了。

木马是一种运行在计算机中的程序，一个木马程序通常由两部分组成：客户端和服务端。服务端是运行在被控制计算机上的程序，通常做得很小而且很隐蔽，以病毒的形式存在，开机的时候可以自动随计算机启动，没有专门的查杀软件或者不经过细致的分析很难查杀。而客户端则是安装在控制方使用机器上的一个程序，通常都做成图形界面，这样，在安装了客户端的机器上就可以操纵安装了服务端的机器（或者称中了木马病毒的机器），象查看对方的屏幕，窃取对方的密码，让对方死机等等，总之，凡是程序可以达到的功能，木马都可以做到，这就是所谓的远程控制，即用一台机器控制另外一台机器，只要这两台机器可以互相访问。

木马的传输协议一般采用TCP/IP通讯协议，象常用的 *** 通讯软件，也是采用该协议，还有采用UDP协议的。

木马一般都是很隐蔽的，现在的木马功能越来越强，而且不容易发现，中了木马的机器是很危险的，因为你很有可能已经被另外一个人操纵了你的机器，这样你的密码等机密就可能泄漏。

对付木马比较有效的办法是安装防火墙，但防火墙也不安全，因为有些木马已经有针对性地破坏防火墙的某些功能，可以穿过防火墙和外界发生连接。

很多电脑初学者被人装了木马程序也不知道，所以，安全问题是最重要的，除了用杀毒软件查杀外，还要平时留心一点，这样能更有效的保护你的信息不致泄漏。

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东东。软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳后的软件运行速度的差别。当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内存中运行的，是不可以了解具体是怎么样在内存中运行的。通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护你的程序数据的完整性。不被修改或者窥视你程序的内幕。

“木马”是什么？

木马,原名特洛伊木马~~是古代的1种深入敌后偷袭别人的战术,运用到电脑是1种软件的名字,作用侵入别人电脑,观察,破坏或盗取资料,木马刚开始是1种良性软件,随着使用普及,慢慢地落入些电脑垃圾的手上,至今,很多垃圾人利用此类软件盗取别人游戏,银行卡密码.

敬告楼主!不要做非法的事,严重可能会被捉去坐牢.而且一般木马自身也有可能是木马,使用后害人害己,请谨慎.

首先要端正视听的是，木马并非病毒，其本质是，服务器/客户端的应用程序。

互联网有一个重要的理论模型，即：服务器/客户端模型，这个模型要有两台获两台以上的计算机构成。就是说，在 *** 上的任意两台计算机系统，其中一台作为服务器运行，为客户端提供数据处理服务，客户端可以通过特定的方式，利用 *** 登陆或直接向服务器发送请求，服务器根据请求完成相应的工作。木马程序的工作方式就是以这个模型为基础的。

完整的木马程序一般是由两个部分组成：一个是服务器程序，一个是控制程序。如果将木马程序的服务器程序“种”入一台计算机中，也就是人们常说的重了木马毒拥有控制程序的人就可以通过 *** 连接上这台机器，并可任意控制这台机器。

现在您不难想象若您的计算机被木马入侵，其后果会如何了吧！可任意浏览、窃取计算机中的数据；可随意操作您的机器；甚至把您的硬盘重新格式化！

至于您最后的问题，您当然可以学习应用这种程序了。至于您要干什么，三思而后行吧！

hacktool.win32.produkey. *** 是什么木马？

这是一种特洛伊木马。

计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

木马程序表面上是无害的，它们经常隐藏在软件中，但它们却隐藏着恶意。这些表面上看似友善的程序运行后，就会进行一些非法的行动，如删除文件或对硬盘格式化。

完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过 *** 控制电脑。为所欲为。这时电脑上的各种文件、程序，以及在电脑上使用的密码无安全可言了。

希望我能帮助你解疑释惑。

木马程序一般是指什么？

木马程序通常称为木马，恶意代码等，是指潜伏在电脑中，可受外部用户控制以窃取本机信息或者控制权的程序。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：

一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

木马的来源

计算机木马的名称来源于古希腊的特洛伊木马的故事，希腊人围攻特洛伊城，很多年不能得手后想出了木马的计策，他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后，木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。

计算机木马的设计者套用了同样的思路，把木马程序插入正常的软件、邮件等宿主中。在受害者执行这些软件的时候，木马就可以悄悄地进入系统，向黑客开放进入计算机的途径。

如果你的机器有时死机，有时又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用任务管理器调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这时你就应该查一查你的系统，是不是有木马在你的计算机里安家落户了。

木马的产生与发展

与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。最早的Unix木马与现在流行的BO、冰河等有很大的不同，它是运行在服务器后台的一个小程序，伪装成Unix的login登录过程。那时候计算机还属于很珍贵的宝物，不是个人能够买得起的，某个大学、研究机构可能会有一台计算机，大家都从终端上用自己的帐号来登录连接到它上面。那么我们就可以看一下，用户向一台中了木马的计算机上登录时会发生什么事情：用户登录的时候，木马劫持登录过程，向用户提供一个与正常登录界面一样的输入窗口，骗用户输入。在得到用户名和口令之后，木马就会把它存放起来，然后把真正的登录进程调出来。这时用户看到登录界面第二次出现了，这与通常的密码错误的现象是一样的，于是用户再次输入信息而进入系统。整个过程没有人发觉，而密码已经保存在硬盘的某个小角落里了，黑客隔一段时间就可以访问一下服务器，看看有多少收获。

随着木马开发者们孜孜不倦的努力，随后又出现了ftp型、破坏型、信息发送型等等的接班人。ftp型打开所在计算机的端口，使他人可以跳过密码上传或下载；信息发送型木马找到系统中的重要信息如密码等，用e-mail发送到指定的信箱中；破坏型可以删除文件甚至格式化硬盘（真是损人不利已）。不过现在更流行的还是远程控制型的，我们要在这里详细介绍。下面咱们掀起她的盖头来，分析一下这木马的行动原理。

远程控制型木马的运行原理

这是目前最受广大黑帽子欢迎的一类木马。以冰河为例，在一台中了招的机器上，除了正常的服务（如FTP等）之外，冰河的服务器端，就是安装在受害机器上的木马，会秘密地开放出一个默认的TCP 7626端口，让黑客连接实现远程控制。这与正规的PC-Anywhere、Terminal Service等商业远程管理软件的效果是一样的。同样可以进行远程桌面的直接控制，冰河服务器端的大小是260多K，而商业软件是一、二十兆。这种黑客软件做得也真是够精巧的了。当然这也是木马成功进入他人系统的必要条件，太大的木马很容易被别人发觉。

木马是怎样植入计算机的？

木马首先要伪装自己。一般有两种隐藏手段，之一种是把自己伪装成一般的软件。我在做安全工程的时候就碰到一个程序员中了木马，他在论坛上得到一个小程序，拿下来执行了一下，但系统报告了内部错误，程序退出了。他认为是程序没有开发好，就没有在意。谁知有一天自己的 *** 密码怎么也进不去，他才觉得不对了。我们后来检查那个程序，果然是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

第二种是把自己绑定在正常的程序上面。老到的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，它即可以一边进行winzip程序的正常安装，一边神不知鬼不觉地把木马种下去。这种木马有可能被细心的用户发觉，因为这个winzip程序在绑定了木马之后尺寸就会变大。

伪装之后，木马就可以通过邮件发给被攻击者了，或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人，象“最新笑笑小电影！”、“cuteFTP4.0完全解密版！！！”（一点不骗人，安装了这个cuteFTP之后，你的机器就被“完全解密”了）。那些喜欢免费盗版的朋友们也要小心了。（写到这里突然想起一句名言：这世上没有比免费更贵的了......）

木马系统包括哪些部分?

一般分为服务端和控制端，中木马就是运行了服务端，中了木马的电脑就会被控制端控制

防止电脑给木马病毒入侵 的话 那就给电脑下载个杀软把

比较推荐用腾讯电脑管家的

杀毒采用的是“4+1”芯引擎

“4+1”芯引擎：“4”指的是 *** 电脑的云查杀、金山毒霸、小红伞以及趋势科技的四种病毒检测查杀技术，“1”指的是此次新推出的因木马损害而造成系统文件崩溃从而实现自主修复功能。

木马是怎样创造的?

什么是特洛伊木马?

“特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过 *** 控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

说起 *** 安全,我想确实是一个难题,因为 *** 的确不安全,那麽到底怎麽不安全呢?这也是一两句话难以说清楚,现在我只谈一谈简单的木马攻防战术.

木马程序用“瞒天过海”或“披着羊皮的狼”之类的词来形容这类程序一点也不为过,直截了当的说法是木马有两个程序,一个是服务器程序,一个是控制器程序,当你的电脑运行了服务器程序后,客人就可以使用控制器程序进入你的电脑,通过指挥服务器程序达到控制你的电脑的目的.

有些网友会说我的电脑没有什麽秘密的资料,就抱着无所谓的态度,我想你肯定不希望在奋勇冲浪的时候,在与MM谈情说爱的时候,或许你在看属于你隐私的电子邮件的时候总有一双或很多双眼睛在"笑眯眯"的"关心"着你吧,更有甚者,通过木马将病毒传染到你的电脑上,让你死去活来,你的鼠标被人家控制,键盘不知什麽时候锁住了,这电脑还算你的吗?怎麽办?凉拌!

那麽木马究竟是何方神圣,让我们来分析一下.

一个木马要工作,那麽其服务器程序必须在目标上运行,没有人会主动要求去运行它,但是会有这麽一天,有人对你抱以和善的微笑说,"我这有一个好游戏"" 我有漂亮的MM屏保和你分享一下"等等,当你打开这些所谓的程序时,一个宿主程序已经悄悄潜入你的机子,之一步就这样完成了,这完全是我们疏于防范造成的.

然后,木马一般会在以下三个地方安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的.也有捆绑方式启动的,木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上.如果捆绑到一般的程序上,启动是不确定的,这要看目标电脑主人了,如果他不运行,木马就不会进入内存.捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马.非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马由很强的隐蔽性.

木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中,为什么要在这两个目录下,因为windows的一些系统文件在这两个位置,如果你误删了文件,你的电脑可能崩溃,你不得不重新安装系统.

木马的文件名更是一种学问,木马的文件名尽量和windows的系统文件接近,这样你就会弄糊涂了,比如木马 SubSeven 1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows由一个系统文件是c:\windows\ KERNEL32.DLL,他们之差一点点,但是删错了的话,结果可大不相同的哦,删除KERNEL32.DLL会让你死翘翘的哦.再比如,木马 phAse 1.0版本,生成的木马是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系统文件C:\WINDOWS\ System\Msgsrv32.exe一模一样,只是图标有点两样,你可不要删错了哦.上面两个是假扮系统文件的类型,我们再来看看无中生有的类型,木马SubSeven 1.5版本服务器文件名是c:\windows\window.exe,看清楚了哦,少一个s的哦,如果不告诉你这是木马,你有胆子删吗？

但是木马有一个致命的缺点,相对固定的端口,黑客要进入你的电脑,必须要有通往你电脑的途径,也就是说,木马必须打开某个端口,大家叫这个端口为“后门”,木马也叫“后门工具”.这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多木马的端口是固定的,让人一眼就能看出是什么样的木马造成的. 所以,端口号可以改变,这是一种混淆的办法.我们知道7306是木马netspy的,木马SUB7可以改变端口号,SUB7默认的端口是1243,但是如果把1243端口改成了7306呢,呵呵,一定会把目标电脑的主人弄混淆了.有些人会问,要是这个端口会自动改变那该多好呀,每次上网端口号自动改变,呵呵,真聪明,可惜聪明过头了.比如,真有这样的木马装在我的电脑上,每次上网的端口均会改变,你是黑客,你打算怎么进入我的电脑呢？你知道这个木马现在开放的端口号是多少吗？想扫描我的电脑？端口一共有6万多个,你什么时候扫描完毕？半个小时,呵呵,我早发现了,早把你炸死了.即使我是菜鸟一个,你这样高速度扫描我的电脑,也会导致我的电脑通讯阻塞,谁会在网速非常慢的情况下在 *** 上待半个小时？所以,这基本上是不太可能的事情.

木马有很强的隐蔽性,在WINDOWS中,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法时按“Ctrl+Alt+Del"键,跳出一个窗口,找到需要终止的程序,然后关闭它.早期的木马会在按“Ctrl+Alt+Del"显露出来,现在大多数木马已经看不到了.所以只能采用内存工具来看内存中时候存在木马.

木马还具有很强潜伏的能力,表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来.这种条件主要是目标电脑主人的操作造成的.我们先来看一个典型的例子：木马Glacier（冰河1.2正式版）现在已经升级到3.0版, 这个木马有两个服务器程序,C:\WINDOWS\SYSTEM\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装入内存,这是表面上的木马.另一个是C:\WINDOWS\SYSTEM\Sysexplr.exe, 也在注册表中,它修改了文本文件的关联,当你点击文本文件的时候,它就启动了,它会检查Kernel32.exe是不是存在,如果存在的话,什么事情也不做.当表面上的木马Kernel32.exe被发现并删除以后,目标电脑的主人可能会觉得自己已经删除木马了,应该是安全的了.如果目标电脑的主人在以后的日子中点击了文本文件,那么这个文件文件照样运行,而Sysexplr.exe被启动了.Sysexplr.exe会发现表面上的木马 Kernel32.exe已经被删除,就会再生成一个Kernel32.exe,于是,目标电脑以后每次启动电脑木马又被装上了.

说了这麽多,是不是感到很恐怖,很上火,别着急,清凉解暑药马上就到.

在对付特洛伊木马程序方面,有以下几种办法：

1.必须提高防范意识,不要打开陌生人信中的附件,哪怕他说的天花乱坠,熟人的也要确认一下来信的原地址是否合法.

2.多读readme.txt.许多人出于研究目的下载了一些特洛伊木马程序的软件包,在没有弄清软件包中几个程序的具体功能前,就匆匆地执行其中的程序,这样往往就错误地执行了服务器端程序而使用户的计算机成为了特洛伊木马的牺牲品.软件包中经常附带的readme.txt文件会有程序的详细功能介绍和使用说明,尽管它一般是英文的,但还是有必要先阅读一下,如果实在读不懂,那更好不要执行任何程序,丢弃软件包当然是最保险的了.有必要养成在使用任何程序前先读readme.txt的好习惯.

值得一提的是,有许多程序说明做成可执行的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊木马程序,或者干脆就是由病毒程序、特洛伊木马的服务器端程序改名而得到的,目的就是让用户误以为是程序说明文件去执行它,可谓用心险恶.所以从互联网上得来的readme.exe更好不要执行它.

3.使用杀毒软件.现在国内的杀毒软件都推出了清除某些特洛伊木马的功能,如KV300、KILL98、瑞星等等,可以不定期地在脱机的情况下进行检查和清除.另外,有的杀毒软件还提供 *** 实时监控功能,这一功能可以在黑客从远端执行用户机器上的文件时,提供报警或让执行失败,使黑客向用户机器上载可执行文件后无法正确执行,从而避免了进一步的损失,但是要记住,它不是万能的.

4.立即挂断.尽管造成上网速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊木马造成的,当入侵者使用特洛伊的客户端程序访问你的机器时,会与你的正常访问抢占宽带,特别是当入侵者从远端下载用户硬盘上的文件时,正常访问会变得奇慢无比.这时,你可以双击任务栏右下角的连接图标,仔细观察一下“已发送字节”项,如果数字变化成1～3kbps（每秒1～3千字节）,几乎可以确认有人在下载你的硬盘文件,除非你正在使用 ftp功能.对TCP/IP端口熟悉的用户,可以在“MS－DOS方式”下键入“netstat－a"来观察与你机器相连的当前所有通信进程,当有具体的 IP正使用不常见的端口（一般大于1024）与你通信时,这一端口很可能就是特洛伊木马的通信端口.当发现上述可疑迹象后,你所能做的就是：立即挂断,然后对硬盘有无特洛伊木马进行认真的检查.

5.观察目录.普通用户应当经常观察位于c：\、c：\windows、c：\ windows\system这三个目录下的文件.用“记事本”逐一打开c：\下的非执行类文件（除exe、bat、com以外的文件）,查看是否发现特洛伊木马、击键程序的记录文件,在c：\Windows或c：\Windows\system下如果有光有文件名没有图标的可执行程序,你应该把它们删除,然后再用杀毒软件进行认真的清理.

6.在删除木马之前,最最重要的一项工作是备份,需要备份注册表,防止系统崩溃,备份你认为是木马的文件,如果不是木马就可以恢复,如果是木马你就可以对木马进行分析.不同的不马有不同的清除 *** ,由于涉及面太大,这里就不详述了.

总之不管你喜欢不喜欢,木马总是存在的,你只有去多多少少的了解一些木马的知识,才不至于遭人暗算,警惕啊,我的朋友,在茫茫的大海中,总有那麽一双眼睛在窥视着你.

什么是木马

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。[1]

中文名

木马病毒

外文名

Trojan

含义

计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。[2]

木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力，它们经常隐藏在游戏或图形软件中，但它们却隐藏着恶意。这些表面上看似友善的程序运行后，就会进行一些非法的行动，如删除文件或对硬盘格式化。[2]

完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过 *** 控制你的电脑。为所欲为。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。[2]