木马程序流程图_木马程序分析工具怎么用

怎么用木马？

木马和冰河的使用！【教程】

木马

大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是

什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这

个工具作一个简单的介绍：

黑客程序里的特洛伊木马有以下的特点：

（1）主程序有两个，一个是服务端，另一个是控制端。（如果你下载了，请千万不要

用鼠标双击服务器端）

（2）服务端需要在主机（被你控制的电脑）执行。

（3）一般特洛伊木马程序都是隐蔽的进程。（需要专业的软件来查杀，也有不用软件

查杀的办法，我会介绍）

（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在

接受命令后，会执行相应的任务。

（5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等）

眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病

毒的性质。（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是

一种使用简单但是危害比较大的软件）

木马的发展：

第一代木马：控制端 -- 连接 -- 服务端

特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。

典型木马：冰河，NetSpy，back orifice（简称：BO）等。

第二代木马：服务端 -- 连接 -- 控制端

特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态

连接库）隐藏进程的，甚至出现能传播的木马。

典型木马：网络神偷，广外女生等。（反弹端口型木马）

第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监

控（像金山，天网等）

随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半

病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你

打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀

木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软

件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级

的并不多，所以木马还是很有使用空间的。下面，我们将介绍一款国产的木马-------

冰河。

需要工具：冰河（随便你找什么版本，因为界面根本就差不多）

Superscan3.0 中文汉化版（上黑白搜索一下可以找到）

首先最重要的一步-------工具接压缩（啊~~我知道是废话。。大家多多包涵嘛。。不

要打拉）

然后运行Superscan3.0（就是那连着的两个电脑图标）

出现界面在IP表里面有两个选项

起始IP：

终止IP：

随便填上两个IP地址（最好是C类IP范围从192.0.0.0--223.255.255.255）

顺便讲一下IP的类型：

A类范围：0.0.0.0---127.255.255.255

B类范围：128.0.0.0---191.255.255.255

C类范围：192.0.0.0---223.255.255.255

D类范围：224.0.0.0---239.255.255.255

E类范围：240.0.0.0---247.255.255.255

一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚，有兴趣的朋

友可以看看相关的资料。。。。。

闲话说到这里我们继续看起始IP和终止IP

我给大家一个参考

起始IP：202.103.139.1

终止IP：2020103.139.255

填好这个在扫描类型里看列表中定义：

你可以扫描很多的端口，但那对我们的木马攻击没有实际意义

所以我们把两个窗口填上7626（冰河服务端开的端口）。

好了，点开始。

扫描结果会出现在底下兰色的列表中

当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河

的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心

！）

好了打开我们的冰河的客户端（再次提醒！！千万不要点服务器端！！！否则你等于种

木马给自己！！什么？？你已经点了？？你不会那么傻吧。。。。）

具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕

变化的同时，监控端的一切键盘及鼠标*作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对

话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当

前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定

注册表等多项功能限制；

5．远程文件*作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏

览文本文件、远程打开文件（提供了四中不同的打开方式--正常方式、最大化、最小化

和隐藏方式）等多项文件*作功能；

6．注册表*作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表

*作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

呵呵，是不是很拽？？哼哼~~我叫你不服！！！我要删掉你C盘文件！！！修改你注册

表！！盗你QQ号码！！上网帐号！！

！………………………………………………………………

罗嗦一下！！你们千万不要搞破坏哦，学会了使用就好。。。

接着，我会介绍特洛伊木马“冰河”的使用：

首先打开客户端

出现*作界面

文件 编辑 设置 帮助

点文件出现下拉菜单

点自动搜索

出现提示框

里面只有起始域 起使地址 终止地址

这三个比较有用

比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25

那么我们就在起始域里输入：202.103.139

起始地址：25

终止地址：25

表示搜索这一个主机

如果扫描结果里显示ERR表示该计算机没有种木马，如果是OK你就爽拉~~

（你也可以在起始域里输入：202.103.139起始里面：1终止里面255，这样是搜索

202.103.139子网里所有的计算机）

看到这里有的朋友会问拉，既然木马可以自己扫描为什么还要上面哪个工具？？嘿嘿~~

哪个比较快嘛，多学一点没有坏处的~~（啊~~我错了还不行？？大家息怒）

只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个

小加号，点开他你可以随便对对方的文件进行修改删除了，你甚至可以上传一个病毒到

他的文件夹中（不推荐，你们没那么大仇吧？？）

好了我们再来看看文件管理右面的命令控制台，这里有你感兴趣的东西哦~~命令很简单

都是一看就会的，你们只要每个都实验一下就知道作什么用的拉

由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”

简单的就象小孩子的游戏~~~

看看下面有什么？？

远程关闭计算机

远程从新启动计算机

后面两个没什么用不理他也罢

你只要点一下远程“关闭计算机”

OK拉，他的电脑自己关机拉，不相信？？好，QQ上和他说话，他能回答你才怪：）

好了，关于*作的方法我已经向大家介绍了，这是一个傻瓜式的软件，*作命令全中文，

作用一看就知道，很容易上手，用他来盗QQ也不错哦~~~~（在口令类命令的系统信息及

口令里，要先做键盘记录哦）具体方法请自己研究，我可不想犯罪。。

关于使用方法就介绍到这里，到这里以上为止都是对不特定人物的入侵，那么要怎么对

特定的人物进行入侵那？？记得我不叫你们点的服务器端吗？呵呵，就是他，他是没有

图标的一个运行文件，可以夹带在几乎任何文件里运送，比如照片，FLASH等……（有

相关的合成软件，我不知道具体那里有下载，不过我有的，你们需要可以找我，不过不

要拿来作坏事）你只需要给你的网友用QQ传送个照片呀，一篇文章呀就可以顺利种上木

马，然后你要取得他（她）的IP地址就可以对他进行控制拉，这方法不是我教你们的啊

！！以后不要出卖我，还有电子邮件也可以传播。。。。。。。木马病毒。。

方法有很多大家可以自己研究。。。。。。

下面有几点提示：

1：为什么我解压缩的时候杀毒软件老是报有病毒呀？？

木马本身就是一个病毒，只要你不点服务器端，对你不会造成任何影响

运行的时候也要关掉防火墙，否则系统无法运行。

2：为什么我种上木马以后连接不到计算机？？

很简单，你的版本过旧拉，去下载新的版本吧，再者对方在网吧，由于

设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。

什么？？你不知道他是不是在家？？看QQ的IP地址

比如对方IP是202.103.139.22：4000表示在家

202.103.139.22：1030网吧

只有后面是4000、7000的用户是在家

有的时候是4001、4002表示对方现在运行的QQ数目，不用管他

3：关于冰河的万能密码：

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

有的是要密码口令登陆的，不过一般不要，也不用刻意注意

4：我也种上服务器端了，对方也在家，他也并没发觉我给他种了，但就是连接不正常

呵呵，对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况，你还

是放弃吧。

5：冰河是一个很麻烦的家伙，卸载很麻烦就是你安装以后卸载和其他的程序不一样

网上相关文章很多，我由于最近考试关系就不一一介绍了，你可以去黑白网络看看：）

6：如果清除冰河服务端：

方法一： 俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体

方法：

1、启动“冰河”的控制端程序。

2、选择“文件”--“添加主机”，或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中，“远程主机”一项，填写自己的IP。

4、连接服务端，然后，点击“命令控制台”标签。

5、选择“控制类命令”--“系统控制”，在右面的窗口下方，你会发现四个按钮。点

击“自动卸载”，就将冰河的服务器端清除了。

方法二：

冰河 v1.1

1、打开注册表“Regedit.exe”。（可以在“开始”--“运行”里输入

“regedit”。）

2、点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3、查找以下的两个路径，并删除

“C:\windows\system\kernel32.exe”

"“C:\windows\system\sysexplr.exe”

4、关闭“Regedit.exe”，重新启动Windows。

5、删除“C:\windows\system\kernel32.exe”和

“C:\windows\system\sysexplr.exe”木马程序。

6：重新启动。完成。

方法一是对于你给别人种的服务器端的，记得玩完以后给人家清除掉，作事情不要那么

决情！！

方法二是对于清除自己计算机里的服务器端的，现在就好好看看是不是由于自己的疏忽

被人家种下冰河。。。。。。。。。

小结：对于木马的大家庭来说冰河只是一个小弟弟，但是大家也看到了他的危害性，所

以本人只建议大家学习这个软件，并不是用他去干什么，恶意破坏是低级黑客（根本可

以说是菜鸟）的做法，建议大家不要搞破坏，学习就好。。。。。。。。。。

怎么检查电脑是否有木马

一、通过启动文件检测木马

一旦电脑中了木马，则在电脑开机时一般都会自动加载木马文件，由于木马的隐藏性比较强，在启动后大部分木马都会更改其原来的文件名；

如果用户对电脑的启动文件非常熟悉，则可以从Windows系统自动加载文件中分析木马的存在并清除木马，这种方式是最有效、最直接的检测木马方式；

但是，由于木马自动加载的方法和存放的文职比较多，这种方法对于不太懂电脑的人来说比较有难度。

二、通过进程检测木马

由于木马也是一个应用程序，一旦运行，就会在电脑系统的内存中驻留进程。因此，我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程；

在Windows系统中，按下【Ctrl+Alt+Delete】组合键，打开【Windows任务管理器】窗口，选择【进程】选项卡，查看列表 中是否存在可以的木马程序；

如果存在可疑进程，选中此进程并右击，从弹出的快捷菜单中选择【结束进程】即可结束词进程；

【Windows进程管理器】的主界面看下面的图；

在列表中选择其中一个进程选项之后，单击【描述】按钮，即可看到该进程的详细信息；

在进程列表中右击某个进程在其中可以对进程进行结束、暂停、查看属性、删除文件等操作。

三、通过网络连接检测木马

木马的运行通常是通过网络连接实现的，因此，用户可以通过分析网络连接来推测木马是否存在，最简单的办法是利用Windows自带的Netstat命令；

选择“开始”-“运行”菜单项，打开“运行”对话框，单击“确定”按钮，打开“命令提示符”窗口；

在“命令提示符”窗口中输入“netstat -a”，按“Enter”键，在其运行结果中查看有哪些可以的运行程序来判断木马文件。

注意：

参数“-a”的作用是显示计算机中目前所有处于监听状态的端口。

如果出现不明端口处于监听状态，而且前又没有进行任何网络服务的操作，则在监听该端口的很有可能是木马。

如何手动查杀木马

虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢？ 最基本的隐藏: 不可见窗体＋ 隐藏文件木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。第一代进程隐藏技术:Windows 98的后门在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。第二代进程隐藏技术:进程插入在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。你知道吗——进程(Process)是什么 对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。1.进程插入是什么独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。2.木马是如何盗走QQ密码的普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！3.如何插入进程(1)使用注册表插入DLL早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。(2)使用挂钩(Hook)插入DLL比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。你知道吗——什么是API Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。(3)使用远程线程函数(CreateRemoteThread)插入DLL在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。不要相信自己的眼睛:恐怖的进程“蒸发”严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。你知道吗——什么是HookHook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。毫无踪迹:全方位立体隐藏利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。跟杀毒软件对着干:反杀毒软件外壳木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。你知道吗——什么是壳顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态

本文来自猴岛游戏论坛 ：

XP系统自带的木马捆绑工具如何使用？

工具介绍：

名称：IExpress

功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

实际操作

第一步

在“运行”对话框中输入IExpress就可启动程序。

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。[!--empirenews.page--]

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--]

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。[!--empirenews.page--]

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

建议你下载汉化版

怎样查杀木马病毒

木马清除最好是手动清除，这样既杀得彻底也杀得放心。 中了病毒，要是杀毒软件有提示，可以看看那个病毒的名称，再上网搜病毒相关资料（像AV终结者那样会禁止搜索资料的病毒可以从其它渠道获得病毒的相关信息或是把病毒上传给杀毒厂商，寻求帮助），如果有对应的专杀工具，下载，安全模式杀毒即可，没有的话就从一些资料上分析该病毒的特征，然后从那些特征开始着手。那些木马进程一般都会隐藏，很难找到，最好使用IcesWord（冰刃）来查找，并在安全模式下删除，然后在注册表里把相关名称的键值删除（删除前请备份），再用冰刃看看硬盘里是否有病毒残余（名字大致相同的且是新建的文件），有的话全部删除。如果系统中有重要数据受到损坏，就不要再进行其它操作（要是进行其它操作会覆盖掉那些系统隐藏的正常的数据），上网搜索数据恢复软件即可。卡巴斯基是世界病毒库最大的一款杀毒软件.但是占内寸较大.如果电脑配置好的话可以考虑安装.如果配置一般的话建议安装NOD32,它占内存小,杀毒能力不错,保护范围全面.据说网上有很多免费的NOD32下载!推荐nod32这款杀毒软件，获2007年度AV-Comparatives测试总冠军，非常出色的杀软，杀毒能力很强，占资源很小，安装包大小不到20M，而且没有任何广告，虽然同样是国外杀软，但是对国内软件支持的很好，我使用目前还没出现过误报误杀的现象。现在下载pplive可以免费下载nod32的简体中文版并且赠送半年的正版激活码这是官方的活动，完全免费的。不妨试试最好配合安全卫士360和QQKAV一起使用，能更好的保护系统。（可以到丁香鱼工作室下载各种破解版免费的杀毒软件）丁香鱼工作室： 如果大家使用的是Windows 2K或Windows XP那么教大家一招克就能死所有病毒!!如果你是新装的系统(或者是你能确认你的系统当前是无毒的)，那就再好不过了，现在就立即就打开：“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧!首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽回的余地，免得你被拒绝于系统之外;再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。接着再添加两个用户，比如用户名分别为：user1、user2;并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了。只使用user1登陆就可以了。登陆之后上网的时候找到 ie，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式运行”点确定!要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密码!!!好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了!因为你当前的系统活动的用户时user1。而user2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过ie 得到的信息都将让它都将以为这个user2就是你当前活动的用户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅时use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为user2根本就没运行，怎么能取得系统的操作权呢??既然取不得，也就对你无可奈何了。而他们更不可能跨越用户来操作，因为微软得配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据user1的位置!所以你只要能保证总是以这个user2用户做代理来上网(但却不要使用user2来登陆系统，因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活!)，那么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒!不过总有疏忽的时候，一个不小心中毒了怎么办??不用担心，现在我们就可以来尽情的表演脱壳的技术了!开始金蝉脱壳：重新启动计算机，使用超级管理员登陆——进入系统后什么程序都不要运行你会惊奇的发现在的系统竟然表现的完全无毒!!，那就再好不过了，现在就立即就打开：“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧!把里面的user1和user2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了——(好象是陪葬，呵呵!)。这么做过之后我保证你的win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的!好!现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为win2k 重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的!!!建立完成之后立即注销超级管理员，转如使用user1登陆，继续你象做的事吧，你会发现你的系统如同全新了!以上方法可以周而复始的用，再加上经常的去打微软的补丁，几乎可以永远保证你的操作系统是无毒状态!只要你能遵循以下几条规辙：一、任何时间都不以超级管理员的身份登陆系统——除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不!只做做用户和系统的管理和维护就立即退出，而决不多做逗留!(这也是微软的要求，微软最了解自己的东东，他的建议是正确的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了!!这应该事能完全作到的)。

如何利用别人留下的木马进行反跟踪破解？

如果发现木马最好的办法就是杀掉，以除后患，建议楼主下载安装腾讯电脑管家来进行杀毒，

重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描--完成后打开工具箱--顽固木马克星--深化主，扫描--完成重启电脑就可以了，

希望这样能够帮到楼