生成木马的软件_木马程序机器人是什么软件

AI机器人可识别50余种诈骗套路 遇到网络诈骗怎么办

现在诈骗越来越多，有不少人有被骗的经历，那在生活中遇到网络诈骗该如何处理呢？有哪些可以掌握的防骗技巧？常见的诈骗类型是什么？

AI机器人可识别50余种诈骗套路

再来提醒一下，任何刷单都是骗子……”近日，一段AI反诈机器人的劝阻音频引发不少网友关注：反诈电话竟然是机器人打的！据悉，随着AI技术在反诈领域的运用逐步深入，一种名为叫醒热线的发诈电话超过九成电话已经由AI直接打出，且AI已经可以识别超过50种骗术！除此之外，公安、社区、企业都推出了各种反诈横幅、防骗短视频、反诈鸡蛋反诈奶茶等土味反诈提醒，共同提高全社会的防骗意识。

遇到网络诈骗怎么办

1、保持冷静、确定损失

当遭遇了网络诈骗，我们需要尽量保持冷静，切莫慌张。首先，我们要确定自己的损失，如钱财、物品等，可以的话，可列出损失清单，供报案所用。如被骗财物为游戏道具、游戏币、帐号或其他虚拟物品，请先联系该游戏、软件或网站的管理员进行处理。

2、尽快报警、防止二次受骗

确定了损失之后，我们必须尽快报警，切不可再联系网络诈骗者，防止二次受骗。有的受害者晚会损失心切，未经报案便私下联系网络诈骗者，并且轻信了其提供的退款、退物的谎言，二次受骗，使损失进一步扩大。

3、想尽办法、尽快止损

报警之后，我们可想办法进行止损，如尽快联系银行或快递公司等。若为网银诈骗，且有保存诈骗者开户行及帐号等信息的话，可立即登录对方开户银行的网银和电话银行，输入对方账号后，故意输错三次登录密码，这样对方的网银转账跟电话银行转账功能就会被暂时冻结24时，为我们联系银行、报警，进行进一步止损工作争取宝贵时间。

4、搜集证据、妥善保存

网络诈骗者一般都是通过媒介与被害人接触联系，如QQ、手机短信、电子邮件和网络游戏等。首先受害者保存所有证据，以及交易记录，最好有银行的交易记录，还要网络聊天记录，与对方的联系方式。

5、选择正确的报案地点

被骗人可以向案发地、诈骗行为实施地、诈骗结果发生地、嫌疑人住所地报案。就是你可以选择在你的所在地报案，如若你清楚犯罪嫌疑人在哪，也可以去其所在地报案，两地警方任何一方接到报案后均应受理（受理并非立案）。

6、如实反映案件情况

有的受害人因受到网络诈骗而感到懊恼和羞愧，很少报案或者即使报案也对案件事实有所隐瞒，这将会给公安机关破案增加难度。为了尽快抓住犯罪嫌疑人挽回损失，请在报案后，向办案民警如实反映案件情况。

网络诈骗防骗技巧

1、用搜索引擎搜索一下这家公司或网店，查看电话、地址、联系人、营业执照等证件之间内容是否相符，对网站的真实性进行核实。正规网站的首页都具有“红盾”图标和“ICP”编号，以文字链接的形式出现。

2、看清网站上是否注明公司的办公地址，如果有，不妨与该公司的人交涉一下，表示自己距离该地址很近，可直接到公司付款。如果对方以种种借口推脱、阻挠，那就证明这是个陷阱。

3、在网上购物时最好尽量去在现实生活中信誉良好的公司所开设的网站或大型知名的有信用制度和安全保障的购物网站购买所需的物品。

4、不要被某些网站上价格低廉的商品能迷惑，这往往是犯罪嫌疑人设下的诱饵。

5、对于在网络上或通过电子邮件以朋友身份招揽投资赚钱计划或快速致富方案等信息要格外小心，不要轻信免费赠品或抽中大奖之类的通知，更不要向其支付任何费用。

6、对于发现的不良信息及涉嫌诈骗的网站应及时向公安机关进行举报。

常见的诈骗类型有哪些

1、QQ冒充好友诈骗：利用木马程序盗取对方QQ密码，截取对方聊天视频资料,熟悉对方情况后，冒充该QQ账号主人对其QQ好友以“患重病、出车祸”“急需用钱”等紧急事情为由实施诈骗。

2、QQ冒充公司老总诈骗：犯罪分子通过搜索财务人员QQ群,以“会计资格考试大纲文件”等为诱饵发送木马病毒，盗取财务人员使用的QQ号码，并分析研判出财务人员老板的QQ号码，再冒充公司老板向财务人员发送转账汇款指令。

3、微信冒充公司老总诈骗财务人员：犯罪分子通过技术手段获取公司内部人员架构情况，复制公司老总微信昵称和头像图片，伪装成公司老总添加财务人员微信实施诈骗。

4、虚构车祸诈骗：犯罪分子虚构受害人亲属或朋友遭遇车祸,需要紧急处理交通事故为由,要求对方立即转账。当事人因情况紧急便按照嫌疑人指示将钱款打入指定账户。

5、电子邮件中奖诈骗：通过互联网发送中奖邮件,受害人一旦与犯罪分子联系兑奖，即以“个人所得税”、“公证费”、“转账手续费”等各种理由要求受害人汇钱,达到诈骗目的。

6、娱乐节目中奖诈骗：犯罪分子以“中国好声音”等热播节目组的名义向受害人手机群发短消息，称其已被抽选为节目幸运观众，将获得巨额奖品,后以需交手续费、保证金或个人所得税等各种借口实施连环诈骗，诱骗受害人向指定银行账号汇款。

7、冒充公检法电话诈骗：犯罪分子冒充公检法工作人员拨打受害人电话，以事主身份信息被盗用涉嫌洗钱等犯罪为由，要求将其资金转入国家账户配合调查。

8、虚构绑架诈骗：犯罪分子虚构事主亲友被绑架，如要解救人质需立即打款到指定账户并不能报警，否则撕票。当事人往往因情况紧急，不知所措,按照嫌疑人指示将钱款打入账户。

什么是木马，它都有些什么特性，我该怎么识别它，

IT168

对于木马，我们大家基本都听说过，但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。

一：通过病

毒名称识别木马

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：病毒前缀.病毒名.病毒后缀 。

木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)，一些黑客程序如：网络枭雄(Hack.Nether.Client)等。

二：了解木马种植方式才能防止别人种植木马

目前常见的木马种植方式有以下几种：

1.网吧种植

这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。最后建议，不要在网吧打开有重要密码的东西，如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你，说，“这个我的照片哦，快看看。”当你接受并打开的时候，你已经中了木马了。（此时，你打开的文件好象“没有任何反应”）“她”可能接着说说：“呀，发错了。再见。”防御：不要轻易接受别人传的东西，其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。建议：不要打开陌生人传递的文件。特别是图象文件。

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。

5.微妙的网页嵌入

将木马安装在自己的主页里面，当你打开页面就自动下载运行。“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。及时升级杀毒软件。

对于木马，我们大家基本都听说过，但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。下面我们就围绕这几点进行一些介绍。

一：通过病毒名称识别木马

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：病毒前缀.病毒名.病毒后缀 。

木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)，一些黑客程序如：网络枭雄(Hack.Nether.Client)等。

二：了解木马种植方式才能防止别人种植木马

目前常见的木马种植方式有以下几种：

1.网吧种植

这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。最后建议，不要在网吧打开有重要密码的东西，如网络银行等。毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。

2.通讯软件传送

发一条消息给你，说，“这个我的照片哦，快看看。”当你接受并打开的时候，你已经中了木马了。（此时，你打开的文件好象“没有任何反应”）“她”可能接着说说：“呀，发错了。再见。”防御：不要轻易接受别人传的东西，其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑

捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。建议：不要打开陌生人传递的文件。特别是图象文件。

4.高深的编译

对木马客户程序进行编译。让木马更加难以识别。

5.微妙的网页嵌入

将木马安装在自己的主页里面，当你打开页面就自动下载运行。“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。及时升级杀毒软件。

三：电脑被种植了木马的症状

在使用计算机的过程中如果您发现以下现象，则很有可能是被种植了“木马”：

a. 计算机反应速度明显变慢

b. 硬盘在不停地读写

c.键盘、鼠标不受控制

d.一些窗口被无缘无故地关闭

e.莫名其妙地打开新窗口

f.网络传输指示灯一直在闪烁

g.没有运行大的程序而系统却越来越慢

h.系统资源占用很多

i运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)

j.在关闭某个程序时防火墙探测到有邮件发出

k.密码突然被改变，或者他人得知您的密码或私人信息

l.文件无故丢失，数据被无故删改

四：几种常见木马的清除方法

一旦我们的电脑被种植了木马，我们应选择一款针对木马的杀毒软件进行清除，同时，我们也可以手工清除木马程序。下面我们介绍几种常见木马的手工清除方法，通过手工清除木马的介绍，我们可以对木马有一个更好的了解。

1，洛伊木马TROJ_QAZ.A

1、单击“开始│运行” 键入：Regedit，按Enter键

2、找到注册键：

HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run

3、在右边的窗口中，找出任何包含下列数据的注册键值： startIE=XXXXNotepad.exe

4、在右边的窗口中，选中该键值，按删除键后再选是，删除该值。 退出注册表修改。 单击 “开始│关闭系统”，选择“重启动”后单击“是”。

5、重命名Note.com为Notepad.exe。

2，冰河v1.1 v2.2

这是国产最好的木马 作者：Snokebin

1.清除木马v1.1

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径，并删除

" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sysexplr.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。

2.清除木马v2.2

服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。

重新启动到MSDOS方式

删除于注册表相对应的木马程序

重新启动Windows。

3，Trojan.QQ3344

1．在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．随时升级杀毒软件。

3．安装系统漏洞补丁

由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

iFrame漏洞补丁地址：

五：对木马绑定文件的剥离方法

当我们需要的一款文件被发现绑定了木马程序，而我们又需要这款原文件时，我们可以采取下面的方法进行文件剥离。

第一步：用UltraEdit的十六进制方式打开绑定程序，选中第二个MZ到第三个MZ之间的内容(即第二个文件)，将该部分复制。然后新建一个文件，粘贴，保存为EXE文件。

第二步：选中第三个MZ至文件末尾之间的内容(即第三个文件)，同样复制，新建文件后粘贴、保存为EXE文件。

第三步：现在你要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序。一般来说，所需程序文件与捆绑后的图标一致，且文件体积较大的那个文件就是我们所要的原文件。

六：总结

防范木马首先应在自己的电脑中安装一款合适的防杀病毒软件并及时升级，同时在日常工作中不要打开未知文件以及陌生人传来的文件，不要随便打开陌生网页，升级最新版本的操作系统。

关于此 特洛伊木马程序 已检测到: PWS-LegMir (特洛伊木马程序), PWS-LegMir (特洛伊木马程序)

特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

详解木马原理

特洛伊木马是如何启动的

作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种:

1.在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

等一系列……………………

木马的隐藏方式

1.在任务栏里隐藏

这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。

因此，希望通过按Ctrl+Alt+Del发现木马是不大现实的。

3.端口

一台机器有65536个端口，你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势;当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么?

4.隐藏通讯

隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。

5.隐藏隐加载方式

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不做任何伪装，就告诉你这是木马，你会运行它才怪呢。而随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。

6.最新隐身技术

在Win9x时代，简单地注册为系统进程就可以从任务栏中消失，可是在Windows2000盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。运行(太搞笑了，木马被客户端控制)。使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道，在NT下，Administrator是可以看见所有进程的)。在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。。

QUOTE:

特洛伊木马具有的特性

1.包含干正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性

由于木马所从事的是 "地下工作"，因此它必须隐藏起来，它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清，还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时，客户端与服务器端连接成功后，客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题，把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件，叫做exe-binder绑定程序，可以让人在使用绑定的程序时，木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定，在你看图片的时候，木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:

(1)不产生图标

木马虽然在你系统启动时会自动运行，但它不会在 "任务栏"中产生一个图标，这是容易理解的，不然的话，你看到任务栏中出现一个来历不明的图标，你不起疑心才怪呢!

(2)木马程序自动在任务管理器中隐藏，并以"系统服务"的方式欺骗操作系统。

2.具有自动运行性。

木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3.包含具有未公开并且可能产生危险后果的功能的程序。

4.具备自动恢复功能。

现在很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。

5.能自动打开特别的端口。

木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时能与远端客户进行通讯，这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的入侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议，每台电脑可以有256乘以256个端口，也即从0到65535号 "门"，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之 "门"。

6、功能的特殊性。

通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

QUOTE:

木马采用的伪装方法

1.修改图标

木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。看看，木马是不是很狡猾?

2.捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

3.出错显示

有一定木马知识的人部知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框 (这当然是假的)，错误内容可自由定义，大多会定制成一些诸如 "文件已破坏，无法打开!"之类的信息，当服务端用户信以为真时，木马却悄悄侵人了系统。

4.自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中(C;\wmdows或C:\windows\system目录下),一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外)，那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。

5.木马更名

木马服务端程序的命名也有很大的学问。如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗?

木马的种类

1、破坏型

惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

2、密码发送型

可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。

3、远程访问型

最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

4.键盘记录木马

这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。

5.DoS攻击木马

随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

6.代理木马

黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。

7.FTP木马

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

8.程序杀手木马

上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。

9.反弹端口型木马

木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。

QUOTE:

中木马后出现的状况

对于一些常见的木马，如SUB7、BO2000、冰河等等，它们都是采用打开TCP端口监听和写人注册表启动等方式，使用木马克星之类的软件可以检测到这些木马，这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马入侵，因此我们也可以通过手工来侦测木马。

也许你会对硬盘空间莫名其妙减少500M感到习以为常，这的确算不了什么，天知道Windows的临时文件和那些乌七八糟的游戏吞噬了自己多少硬盘空间。可是，还是有一些现象会让你感到警觉，一旦你觉得你自己的电脑感染了木马，你应该马上用杀毒软件检查一下自己的计算机，然后不管结果如何，就算是Norton告诉你，你的机器没有木马，你也应该再亲自作一次更深入的调查，确保自己机器安全。经常关注新的和出名的木马的特性报告，这将对你诊断自己的计算机问题很有帮助。

(1)当你浏览一个网站，弹出来一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而览浏器突然自己打开，并且进入某个网站，那么，你要小心。

(2)你正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的间题。

(3)你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。

(4)硬盘老没缘由地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象。

这时，最简单的方法就是使用netstat-a命令查看。你可以通过这个命令发现所有网络连接，如果这时有攻击者通过木马连接，你可以通过这些信息发现异常。通过端口扫描的方法也可以发现一些弱智的木马，特别是一些早期的木马，它们捆绑的端口不能更改，通过扫描这些固定的端口也可以发现木马是否被植入。

当然，没有上面的种种现象并不代表你就绝对安全。有些人攻击你的机器不过是想寻找一个跳板。做更重要的事情;可是有些人攻击你的计算机纯粹是为了好玩。对于纯粹处于好玩目的的攻击者，你可以很容易地发现攻击的痕迹;对于那些隐藏得很深，并且想把你的机器变成一台他可以长期使用的肉鸡的黑客们，你的检查工作将变得异常艰苦并且需要你对入侵和木马有超人的敏感度，而这些能力，都是在平常的电脑使用过程日积月累而成的。

我们还可以通过软件来检查系统进程来发现木马。如利用进程管理软件来查看进程，如果发现可疑进程就杀死它。那么，如何知道哪个进程是可疑的呢?教你一个笨方法，有以下进程绝对是正常的：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打开了IE)，而出现了其他的、你没有运行的程序的进程就很可疑了。一句话，具体情况具体分析。

QUOTE:

被感染后的紧急措施

如果不幸你的计算机已经被木马光临过了，你的系统文件被黑客改得一塌糊涂，硬盘上稀里糊涂得多出来一大堆乱七八糟的文件，很多重要的数据也可能被黑客窃取。这里给你提供3条建议，希望可以帮助你:

(1)所有的账号和密码都要马上更改，例如拨号连接，ICQ,mIRC,FTP，你的个人站点，免费邮箱等等，凡是需要密码的地方，你都要把密码尽快改过来。

(2)删掉所有你硬盘上原来没有的东西。

(4)检查一次硬盘上是否有病毒存在 。

木马技术篇

这里就不介绍木马是如何写成的了,毕竟大多数网友不会去编写什么木马,也没有足够的知识和能力来编写,包括我自己:)

QUOTE:

黑客是如何骗取你执行木马的

1、冒充为图像文件

首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称 ，再假装传送照片给受害者，受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是 exe，而木马程序的扩展名基本上又必定是 exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!

还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。

2、合并程序欺骗

通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后只需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的:

以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：

（1）合拼后的文件体积过大

（2）只能合拼两个执行文件

正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。

首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。

最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的隐蔽性是不言而喻的。

3、以Z-file 伪装加密程序

Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将 此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马，甚至病毒！当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件多是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行 ，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。

乐言智能机器人电脑提示病毒

乐言智能机器人电脑提示病毒是运行程序错误。是运行程序错误导致病毒。通常和系统文件kernelbase.dll有关。kernelbase.dll是存放在Windows系统文件夹中的重要文件，通常情况下是在安装操作系统过程中自动创建的，对于系统正常运行来说至关重要。用户电脑被木马病毒、或是流氓软件篡改导致出现kernelbase.dll丢失、缺失损坏等会出现弹窗现象。解决方法下载kernelbase.dll进行修复。