安全知识：与脚本病毒做斗争 几种常见的杀毒方法
    有过网吧或者机房管理经验朋友肯定知道，如果机子中了病毒的话是很让人头疼的事情，现在的病毒大多都具有复制能力特别强，能够通过局域网传播，大量耗费系统资源等特点，一个局域网内只要有一台机子中了病毒，如果不及时的杀毒和隔离的话，其他的机子很快便会感染病毒，如何防止病毒，和快速的杀毒成了每个网管所迫切考虑的事情。 

　　其实网吧内的常见的病毒有两种，一种是类似与CIH的病毒这种高破坏性的病毒，中了之后系统会无法启动，这种病毒的危害大，但是中毒的几率相对很少；另一中就是脚本病毒。这类病毒一味的耗费系统资源，直到系统崩溃死机，比起CIH病毒来说，它们看似很不起眼，但却做让人头疼。有没有克制脚本病毒的方法呢？笔者在实践中总结了以下几条经验。 

　　第一，装系统的时候要用光盘启动硬盘来装，光盘要保证以前用过的没有携带病毒的，硬盘一定要没有任何文件，否则残留的文件里面很可能就感染了病毒，这一点一定要毫不留情，不要为了要备份一个驱动或者一个软件不把它删除。否则你刚装完系统发现已经中了病毒，那可就后悔莫及了。 

　　第二，装完系统后，再装驱动之前，最好先用装个杀毒软件，杀毒软件首先要保证自己没有病毒，其实你可以把WIN98安装文件，杀毒软件等，网吧机器的驱动放在一起用EasyBoot做个启动光盘。有了这张盘，你在装其他软件和游戏之前就可以保证母盘不感染病毒了。 

　　第三，装好驱动后先上网把杀毒软件更新到最新，然后开着病毒防火墙，从事先准备好的机器上调用软件和游戏的安装文件来安装网吧的必备软件和常玩的游戏，一切都弄好后测试一遍游戏和软件，然后在C盘目录下建立一个ADMIN的文件夹，把专杀工具包，硬盘工具包，网络克隆工具，还有备份的注册表放到里面备用。一般样板盘做成这样就很好了，当然如果系统配置不高，为了不影响玩游戏的速度，在克隆完之后要把病毒防火墙的自启动取消。 

　　装杀毒软件不是让它老开着防火墙，因为一来它耗费系统资源，二来平时安装着还原精灵，有病毒重启一下就好了，它主要用在以后升级游戏或者调用文件的时候把防火墙打开防止调用文件中的病毒感染系统，更何况人非圣贤，孰能无过，再谨慎的人也不会保证以后肯定不会出病毒，所以一定要为每台机子装上杀毒工具，但平时没必要启用它的保护功能。 

　　在网络上的人肯定都中过爱情森林，新欢乐时光等这些顽固的病毒，尤其是在局域网里，往往是所有的机子都感染病毒，每个机子能杀出几百个到上千个病毒，我曾经在一台机子上用瑞星杀出过8000多个病毒。 

　　这些病毒非常恶劣，一般在WINDOWS下是不容易杀干净的，每次杀完病毒，紧接着再杀的时候就会发现杀毒软件本身还有EXPLOR.EXE等进程依然感染着病毒，你无论怎么杀也杀干净，这样的话最好是重起到安全模式下再杀，杀毒的时候不要打开任何的窗口，因为有些病毒只要你打开窗口就会激活，它占用到内存的话就很难清除了。杀完后重起再进安全模式再杀，一般这样几次病毒就会杀干净了。如果还不行的话就要到DOS下查杀了，一般的杀毒软件都有它的DOS版本。重启动到纯DOS模式下，跳转到安装目录下运行那个程序会有个提示，不过这样查杀病毒的速度一般很慢。值得注意的是如果所有的机子都中了病毒的话，一定要把交换机关掉一台一台的杀，杀完后备份C盘，并用保护卡保护起来。 

　　脚本病毒这样清除就可以了，但是对于CIH等病毒来说，除了杀完毒后还有做恢复工作，一般来说它就是破坏分区表和主引导程序，严重的话破坏BIOS。我们可以分别来对待，如果损坏的仅仅是主引导记录，可以用干净的启动软盘或光盘启动系统运行fdisk /mbr就可以了，也可以用DISKMAN，DISKGEN等小工具来重建主引导记录。如果损坏的是分区表，首先考虑的是用DISKMAN的恢复分区表功能，破坏的不太严重的话一般可以恢复的。不过，如果你对磁盘结构，分区表，I/O表，FAT表不熟悉的话，笔者还是建议专业人员来修理好些，毕竟这样安全系数更大。

如何准确识别svchost核心系统进程是否被病毒感染
了解

　　svchost.exe是NT核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是维护电脑安全的必修课之一。

　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

深入

　　svchost中可以包含多个服务

　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

　　从启动参数中可见服务是靠svchost来启动的。

实例

　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

令杀毒更高效 如何通过系统命令结束顽固病毒进程
    杀毒的时候我们会遇到这种情况，有些病毒怎么杀也杀不掉。杀毒软件告诉我们重启后才能清除，结果重启后病毒依然如故。那么，怎么对付这种病毒呢？笔者在这里为大家提供两则小技巧，以便帮你强行杀死这种“顽固不化”的病毒进程。

根据进程名查杀

    这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。

    接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill /im conime.exe”命令，要不了多久，系统就会自动返回结果。

根据进程号查杀

    上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。

    考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。

    接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd -c q -p PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd -c q -p 444”命令，来杀死这个病毒进程。

安全攻略：普通用户维护Windows系统方法回避病毒
    Windows本身是一个非常开放、同时也是非常脆弱的系统，稍微使用不慎就可能会导致系统受损，甚至瘫痪。而如果是经常进行应用程序的安装与卸载也会造成系统的运行速度降低、系统应用程序冲突明显增加等等问题的出现。这些问题导致的最终后果就是不得不重新安装windows。

　　1、使用病毒检测工具防止病毒入侵

　　这涉及到维护系统安全，如果你经常接触数据交换，使用这种工具是非常非常必要的。如果你喜欢经常下载软件 ，有一个好的在线病毒防御工具是非常必要。反病毒程序会在系统启动后自动运行并提供在线监测，当发现病毒入侵系统时会给出警告信息并停止一切系统活动，此时你可在程序给出的界面中选择杀毒或者相关的操作。

　　2、维护系统注册表

　　我们知道，windows的注册表是控制系统启动、运行的最底层设置，如果你经常地安装/卸载应用程序，这些应用程序在系统注册表中添加的 设置通常并不能够彻底删除，时间长了会导致注册表变得非常大，系统的运行速度就会受到影响。

　　3、经常性地备份系统注册表

　　对系统注册表进行备份是保证windows系统可以稳定运行、维护系统、恢复系统的最简单、最有效的方法。使用regedit的导出功能直接将这两个文件复制到备份文件路径下，当系统出错时再将备份文件导人到windows路径下，覆盖源文件即可恢复系统。

　　4、清理system路径下的无用的dll文件

　　这项维护工作大家可能并不熟悉，但它也是影响系统能否快速运行的一个至关重要的因素。我们知道，应用程序安装到windows中后，通常会在 windows的安装路径下的system文件夹中复制一些dll文件。而当你将相应的应用程序的删除后，其中的某些dll文件通常会保留下来;当该路径 下的dll文件不断增加时，将在很大程度上影响系统整体的运行速度。而对于普通用户来讲，进行dll文件的手工删除是非常困难的。

　　5、使用防系统死机工具维护系统稳定

　　这是另一种维护系统的方法，当你的系统出现不稳定现象而你又不知道问题的起因、也不想重新安装windows时，可以使用该工具来维护系统的稳定。这种方法可以在关键时刻保护你的应用程序，把在系统内存中暂存的数据保存到磁盘中，通常在你即将完成一项设计或创作出一幅作品时防死机会十分有用。

　　6、定期对磁盘进行碎片整理和磁盘文件扫描

　　这是最简单、最直接的方法。一般来说，你可以使用windows系统自身提供的"磁盘碎片整 理"和"磁盘扫描程序"来对磁盘文件进行优化。

　　7、使用windows辅助工具优化系统

　　windows是一个非常庞大的系统，同时系统对cpu、内存的要求也日益提高，加上现在的应用程序也越做越大，这是导致系统启动速度不是很快的原因。为此，现在已经有专门进行windows和其应用程序启动加速的工具出现。

　　8、优化windows本身

　　由于windows本身的自动化程度已经很高，原则上已经不需要用户自己进行优化设置。但是我们在使用过程中还是总结出一些经验，这对于提高系统的运行速度也是有效的，其中包括以下一些重点。

病毒知识:彻彻底底详细让你全面了解电脑病毒历史
    现在人都知道有电脑病毒，不过，你真正地了解它吗？希望本文能够让你更深刻地认识病毒，提高我们的安全意识。

一、病毒的定义

　　电脑病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。

　　从广义上定义，凡能够引起电脑故障，破坏电脑数据的程序统称为电脑病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为电脑病毒。

二、电脑病毒的发展趋势

　　在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：

　　1.DOS引导阶段

　　1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。

　　2.DOS可执行阶段

　　1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。

　　3.伴随体型阶段

　　1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。

　　4.变形阶段

　　1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒─幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

　　5.变种阶段

　　1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作品─“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。

　　6.网络、蠕虫阶段

　　1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

　　7.窗口阶段

　　1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。

　　8.宏病毒阶段

　　1996年，随着MS Office功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。

　　9.互联网、感染邮件阶段

　　1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就有可能中毒。

　　10.爪哇、邮件炸弹阶段

　　1997年，随着互联网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

三、病毒的演化及发展过程

　　当前电脑病毒的最新发展趋势主要可以归结为以下几点：

　　1.病毒在演化

　　任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，病毒在不断的演化，使杀毒软件更难检测。

　　2.千奇百怪病毒出现

　　现在操作系统很多，因此，病毒也瞄准了很多其他平台，不再仅仅局限于Microsoft Windows平台了。

　　3.越来越隐蔽

　　一些新病毒变得越来越隐蔽，同时新型电脑病毒也越来越多，更多的病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。同时，制造病毒和查杀病毒永远是一对矛盾，既然杀毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。

　　4.病毒产业化

　　从“熊猫烧香”开始，人们开始对病毒背后的故事进行思考。是什么不断推进病毒技术更新和进步？当一切都和利益挂上钩的时候，真相开始浮出水面。之前大部分的病毒，是程序员用来炫耀其技术而产生的。而现在的病毒、木马、蠕虫从制作到后期大规模爆发整个过程程中的赢利模式统筹已经形成一条完整的产业链，“肉机”批发、“病毒”贩卖，幕后老板月入200万，所有证据均表明当病毒可以资本利润化的时候，病毒的发展将更加迅猛，病毒制造者将更加疯狂。

不必惊慌失措 教你识辨几个易被误认为病毒的文件
　　随着计算机的普及和信息技术的发展，“计算机病毒”一词对每一个人来说都已经不再陌生了，现如今计算机病毒可谓层出不穷，甚至让广大计算机用户几乎到了“谈毒色变”的程度。江民公司技术工程师发现有许多用户对操作系统下的文件不是很了解了解，以至于产生种种的怀疑。

以下是用户经常怀疑是病毒的文件:

　　一、Thumb.db文件

　　Thumb.db文件被用户误认为是病毒的原因应该有三点：
　　1、该文件在一些操作系统中的带有图片的文件夹中都存在；
　　2、即使删除此文件，下次打开该文件夹时仍会生成；
　　3、该文件可能会不断增大。

　　其实，Thumb.db文件在Windows Me或更新的Windows版本中都会有，这是Windows对图片的缓存(也可以说是缓冲文件)，它可以方便用户对图片进行预览，图片越多，这个文件可能就越大，这是正常的。在Windows XP系统下可以在“文件夹选项”里面选择“不缓存缩略图”，就不会产生这种文件了。

　　二、Mfm1992文件 或“Mfm1992.AVB.AVB.AVB.AVB(后缀是无穷AVB)”

　　Mfm1992文件用户误认为是病毒的主要原因应该是:此文件可能生成在任何一个文件夹中，而且删除后可能还会重新生成。

　　Mfm1992文件是由于智能ABC的词库出错而产生的一个文件。由于智能ABC输入法的词库容量有限，当超出这个容量的时候，就会产生这个文件。当前程序运行在哪个目录，这个文件就在该目录下产生。这个文件的大小一般为43KB。这是智能ABC4.0的一个Bug，Win2000和me中自带的智能 ABC5.0已经修正了这个错误。

　　如果想让计算机中不再出现这个文件，有两种办法:

　　1、可以把4.0的智能ABC升级至高版本。
　　2、可以把Windowssystem目录下的*.rem文件删除，然后重启计算机。

　　三、Word的临时文件

　　用户在打开一个Word文档时会发现在同一个目录下出现了一个与原文档名称相同但前面加了一个“~$”符号的文件，它的图标与Word文档的图标相同，但是“灰”颜色的(即具有隐藏属性)。许多用户觉得可疑，认为是病毒造成的。

　　其实这是一个正常的现象，这个文件是Word生成的，可以理解为是一个缓冲文件，它的作用是最大限度的保存由于意外原因(如突然死机等)造成的用户对修改或建立的Word文档在未进行保存时的损失。其实这个文件在关闭了Word文档后即会自动消失，用户不必担心。

　　四、jdbgmgr.exe文件

　　与以上几种文件不一样，该文件即不是出错时生成的文件也不是临时文件，是一个正常的系统文件。用户本来是注意不到它的，因为它存在于系统目录下。但很多用户把它认为是病毒的原因是由于一封具有欺骗性的电子邮件在网上四处散发。这封被伪装成一份病毒防治报告的电子邮件，对收到邮件的用户发出警告，声称 “jdbgmgr.exe”文件是一种病毒，可以在感染PC两周后损害整个电脑系统。这一谎言被许多相信自己已经被感染的PC用户四处散发，希望能帮助其他受害者清除这个病毒。

　　实际上，“jdbgmgr.exe”文件是Java调试管理器，是所有Windows系统中所安装Java软件的一个组成部分。该文件一旦被删除之后，可能会导致一些Javaapplets和JavaScript停止工作。

反病毒小知识:木马破坏方式及木马采用的伪装方法
木马采用的伪装方法

　　1.修改图标

　　木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。看看，木马是不是很狡猾?

　　2.捆绑文件

　　这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

　　3.出错显示

　　有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框 (这当然是假的)，错误内容可自由定义，大多会定制成一些诸如 "文件已破坏，无法打开!"之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

　　4.自我销毁

　　这项功能是为了弥补木马的一个缺陷。我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中(C:\windows\或C:\windows\system目录下),一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外)，那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。就很难删除木马了。

　　5.木马更名

　　木马服务端程序的命名也有很大的学问。如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗?

木马的种类

　　1、破坏型

　　惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

　　2、密码发送型

　　可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

　　在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。

　　3、远程访问型

　　最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

　　程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

　　4.键盘记录木马

　　这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。

　　5.DoS攻击木马

　　随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

　　还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

　　6.代理木马

　　黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。

　　7.FTP木马

　　这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。

　　8.程序杀手木马

　　上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有很多，程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。

　　9.反弹端口型木马

　　木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。

防范蠕虫措施:企业及个人用户如何有效防范病毒？
企业用户对蠕虫病毒的防范措施

　　当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务（MIS）系统、Internet应用等领域。网络具有便利信息交换特性，蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时，就不得不考虑企业的病毒防范问题，以保证关系企业命运的业务数据完整不被破坏。

　　企业防治蠕虫病毒的时候需要考虑几个问题：病毒的查杀能力，病毒的监控能力，新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下：

　　1．加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新！由于各种漏洞的出现，使得安全不在是一种一劳永逸的事，而作为企业用户而言，所经受攻击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高！

　　2．建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。

　　3．建立应急响应系统，将风险减少到最小！由于蠕虫病毒爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。

　　4．建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失！

　　5．对于局域网而言，可以采用以下一些主要手段：
　　（1）在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。
　　（2）对邮件服务器进行监控，防止带毒邮件进行传播！
　　（3）对局域网用户进行安全培训。
　　（4）建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等！

个人用户对蠕虫病毒的防范措施

　　病毒并不是非常可怕的，网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞！所以防范此类病毒需要注意以下几点：

　　1．购合适的杀毒软件！网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！目前国内的杀毒软件具有了相当高的水平，像瑞星杀毒软件。

　　2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!

　　3．提高防杀毒意识.不要轻易去点击陌生的站点，有可能里面就含有恶意代码！

　　当运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高” 。、因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

　　4．不随意查看陌生邮件，尤其是带有附件的邮件，，由于有的病毒邮件能够利用ie和outlook的漏洞自动执行，所以计算机用户需要升级ie和outlook程序，及常用的其他应用程序！

反病毒小知识：拒之门外 防御计算机病毒十大步骤
    近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤： 

　　1、用常识进行判断 

　　决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件，因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。 

　　2、安装防病毒产品并保证更新最新的病毒库 

　　建议你至少每周更新一次病毒库，因为防病毒软件只有最新才最有效。　　

　　3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描 

　　当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。

　　4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。 

　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。 

　　5、不要从任何不可靠的渠道下载任何软件 

　　这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。 

　　6、警惕欺骗性的病毒 

　　如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问反病毒软件厂商， 证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。 

　　7、使用其它形式的文档，如.rtf（Rich Text format）和.pdf（Portable Document format） 

　　常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。 

　　8、不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘 

　　这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。 

　　9、禁用Windows Scripting Host 

　　Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。 

　　10、使用基于客户端的防火墙或过滤措施 

　　如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。

反病毒小知识:如何快速准确判断你的电脑是否中毒
    经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

　　系统无法启动：病毒修改了硬盘的引导信息 ，或删除了某些启动文件。如引导型病毒 引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

　　文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

　　经常报告内存不够： 病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

　　提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

　　软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

　　出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

　　数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

　　键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

　　系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

　　系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

　　有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而安装反病毒软件是非常有必要的事。