谁知道木马怎么用啊 !~~~~~~~
一、ping命令
在Windows的控制窗口中(Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器),运行ping可以看到这个命令的说明,它是一个探测本地电脑和远程电脑之间信息传送速度的命令,这个命令需要TCP/IP协议的支持,ping将会计算一条信息从本地发送到远程再返回所需要的时间,黑客使用这个命令决定是否对服务器进行攻击
另外这个命令还可以透过域名找到对方服务器的IP地址,我们知道域名只是提供给浏览网页用的,当我们看到一个域名地址后,要想通过telnet连接它,就必须知道对方的IP地址,这里也要使用ping命令的。
这个命令的基本使用格式可以通过直接运行ping获得,现在假设目标是,则可以在控制台下输入ping ,得到如下:
Pinging [204.202.136.32] with 32 bytes of data:
Reply from 204.202.136.32: bytes=32 time=302ms TTL=240
Reply from 204.202.136.32: bytes=32 time=357ms TTL=240
Reply from 204.202.136.32: bytes=32 time=288ms TTL=240
Reply from 204.202.136.32: bytes=32 time=274ms TTL=240
Ping statistics for 204.202.136.32:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 274ms, Maximum = 357ms, Average = 305ms
这些信息的意思是:的IP地址是204.202.136.32,对他发送了四次数据包,数据包的大小是32字节,每一次返回的时间分别是302ms、357ms、288ms、274ms。综合看,发送了四个数据包全部返回,最小时间是274ms,更大时间357ms,他们的平均时间是305ms。
这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法,例如可以通过IP地址反查服务器的NetBIOS名,现在以211.100.8.87为例,使用ping配合“-a”,在控制台下输入命令ping -a 211.100.8.87,它的返回结果是:
Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data:
Reply from 211.100.8.87: bytes=32 time=96ms TTL=120
Reply from 211.100.8.87: bytes=32 time=110ms TTL=120
Reply from 211.100.8.87: bytes=32 time=110ms TTL=120
Reply from 211.100.8.87: bytes=32 time=109ms TTL=120
Ping statistics for 211.100.8.87:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 96ms, Maximum = 110ms, Average = 106ms
从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,例如上面的返回的TTL是240,对方的系统很可能是Linux,而第二个目标的TTL是120,那么说明它使用的系统也许是Windows。
二、net命令:
在Windows ME/NT/2000内,很多 *** 功能都是以net命令为开始的,通过net help可以看到这些命令的详细介绍:
NET CONFIG 显示系统 *** 设置
NET DIAG 运行MS的DIAGNOSTICS程序显示 *** 的DIAGNOSTIC信息
NET HELP 显示帮助信息
NET INIT 不通过绑定来加载协议或网卡驱动
NET LOGOFF 断开连接的共享资源
NET LOGON 在WORKGROUP中登陆
NET PASSWORD 改变系统登陆密码
NET PRINT 显示或控制打印作业及打印队列
NET START 启动服务,或显示已启动服务的列表
NET STOP 停止 *** 服务
NET TIME 使计算机的时钟与另一台计算机或域的时间同步
NET USE 连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息
NET VER 显示局域网内正在使用的 *** 连接类型和信息
NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表
这些命令在Win95/98中支持的比较少,只有几个基本常见的,而在NT或者2000中又元元多于上面的介绍,最常用到的是NET VIEW和NET USE,通过者两个命令,可以连接 *** 上开放了远程共享的系统,并且获得资料。这种远程共享本来是为便捷操作设计的,但是很多 *** 管理员忽视了它的安全性,所以造成了很多不应该共享的信息的暴露,
例如在控制台下输入net view \\202.96.50.24则可以获得对应IP的系统共享目录,进而找到他们的共享文件,当然这需要202.96.50.24系统的确存在共享目录
三:telnet和ftp命令:
这两个命令分别可以远程对系统进行telnet登陆和ftp登陆,两种登陆使用的不同的协议,分别属于两种不同的 *** 服务,ftp是远程文件共享服务,也就是说可以将自己的资料上传、下载,但是它并没有过多的权利,无法在远程电脑上执行上传的文件;而telnet则属于远程登陆服务,也就是说可以登陆到远程系统上,并获得一个解释器权限,拥有解释器就意味着拥有了一定的权限,这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限
四:netstat命令:
它可以显示当前正在活动的 *** 连接的详细信息,如采用的协议类型、当前主机与远端相连主机(一个或多个)的IP地址以及它们之间的连接状态等。 使用netstat ?可以显示它的命令格式和参数说明:
netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下:
-a 显示所有主机的端口号;
-e 显示以太网统计信息;
-n 以数字表格形式显示地址和端口;
-p proto 显示特定的协议的具体使用信息;
-r 显示本机路由表的内容;
-s 显示每个协议的使用状态(包括TCP、UDP、IP);
interval 重新显示所选的状态,每次显示之间的间隔数(单位秒)。
netstat命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马,因为常见的 *** 服务开放的默认端口轻易不会被木马占用,例如:用于FTP(文件传输协议)的端口是21;用于TELNET(远程登录协议)的端口是23;用于 *** TP(邮件传输协议)的端口是25;用于DNS(域名服务,即域名与IP之间的转换)的端口是53;用于HTTP(超文本传输协议)的端口是80;用于POP3(电子邮件的一种接收协议)的端口是110;WINDOWS中开放的端口是139,除此以外,如果系统中还有其他陌生的到口,就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口,如果发现下面的端口,就说明已经有木马程序在系统中存在:
31337号端口是BackOffice木马的默认端口;1999是Yai木马程序;2140或者3150都是DEEP THROAT木马使用的端口;还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口,因此发现了陌生端口一定要提高警惕,使用防火墙或者查病毒软件进行检测
五:tracert命令:
这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下:
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
命令行中的参数-d是要求tracert不对主机名进行解析,-h是指定搜索到目的地址的更大轮数,-j的功能是沿着主机列表释放源路由,-w用来设置超时时间间隔。
通过tracert可以判断一个服务器是属于国内还是国际( *** 服务器的物理未知不能依靠域名进行判断),根据路由路经可以判断信息从自己的系统发送到 *** 上,先后经过了哪些IP到大对方服务器,我们清楚了自己的信息的传送路径,才能够更清晰的了解 *** 、对服务器进行攻击。
六、winipcfg:
winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98,而ipconfig适用于Windows NT。winipcfg不使用参数,直接运行它,它就会采用Windows窗口的形式显示具体信息。这些信息包括: *** 适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,点击其中的“其他信息”,还可以查看主机的相关信息如:主机名、DNS服务器、节点类型等。其中 *** 适配器的物理地址在检测 *** 错误时非常有用。
ipconfig的命令格式如下:ipconfig [/? | /all | /release [adapter] | /renew [adapter]]
其中的参数说明如下:
使用不带参数的ipconfig命令可以得到以下信息:IP地址、子网掩码、默认网关。而使用ipconfig
/? 显示ipconfig的格式和参数的英文说明;
/all 显示所有的配置信息;
/release 为指定的适配器(或全部适配器)释放IP地址(只适用于DHCP);
/renew 为指定的适配器(或全部适配器)更新IP地址(只适用于DHCP)。
/all,则可以得到更多的信息:主机名、DNS服务器、节点类型、 *** 适配器的物理地址、主机的IP地址、子网掩码以及默认网关等
怎么用木马?
木马和冰河的使用!【教程】
木马
大家对他的名字很熟悉吧??是啊木马作为一个远程控制的软件已经深入人心,木马是
什么那?如何使用木马程序控制他人那??先不要着急,我们来看看木马的发展,对这
个工具作一个简单的介绍:
黑客程序里的特洛伊木马有以下的特点:
(1)主程序有两个,一个是服务端,另一个是控制端。(如果你下载了,请千万不要
用鼠标双击服务器端)
(2)服务端需要在主机(被你控制的电脑)执行。
(3)一般特洛伊木马程序都是隐蔽的进程。(需要专业的软件来查杀,也有不用软件
查杀的办法,我会介绍)
(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在
接受命令后,会执行相应的任务。
(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)
眼中,特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒,它没有完全具备病
毒的性质。(包括:转播,感染文件等,但是很多的杀毒软件还是可以查杀,毕竟这是
一种使用简单但是危害比较大的软件)
木马的发展:
之一代木马:控制端 -- 连接 -- 服务端
特点:属于被动型木马。能上传,下载,修改注册表,得到内存密码等。
典型木马:冰河,NetSpy,back orifice(简称:BO)等。
第二代木马:服务端 -- 连接 -- 控制端
特点:属于主动型木马。隐蔽性更强,有利用ICMP协议隐藏端口的,有利用DLL(动态
连接库)隐藏进程的,甚至出现能传播的木马。
典型木马: *** 神偷,广外女生等。(反弹端口型木马)
第二代木马象广外女生可以使用WINDOWS的漏洞,越过许多防火墙从而进行对系统的监
控(像金山,天网等)
随着木马的发展,并且作为很多人使用的软件,杀毒软件也越来越对这个传播很广的半
病毒不病毒的软件越来越关注(因为作为服务器端可以夹带在任何文件中传播,只要你
打开这个文件,你就肯定会被中上木马,甚至可以在 *** 上通过下载来传播)所以查杀
木马的工具很多,但是道高一尺,魔高一丈,木马又不断演化出新的品种来对抗杀毒软
件,毕竟中国的广大网民的安全意识不高,加上盗版猖狂,可以正式在 *** 上进行升级
的并不多,所以木马还是很有使用空间的。下面,我们将介绍一款国产的木马-------
冰河。
需要工具:冰河(随便你找什么版本,因为界面根本就差不多)
Superscan3.0 中文汉化版(上黑白搜索一下可以找到)
首先最重要的一步-------工具接压缩(啊~~我知道是废话。。大家多多包涵嘛。。不
要打拉)
然后运行Superscan3.0(就是那连着的两个电脑图标)
出现界面在IP表里面有两个选项
起始IP:
终止IP:
随便填上两个IP地址(更好是C类IP范围从192.0.0.0--223.255.255.255)
顺便讲一下IP的类型:
A类范围:0.0.0.0---127.255.255.255
B类范围:128.0.0.0---191.255.255.255
C类范围:192.0.0.0---223.255.255.255
D类范围:224.0.0.0---239.255.255.255
E类范围:240.0.0.0---247.255.255.255
一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚,有兴趣的朋
友可以看看相关的资料。。。。。
闲话说到这里我们继续看起始IP和终止IP
我给大家一个参考
起始IP:202.103.139.1
终止IP:2020103.139.255
填好这个在扫描类型里看列表中定义:
你可以扫描很多的端口,但那对我们的木马攻击没有实际意义
所以我们把两个窗口填上7626(冰河服务端开的端口)。
好了,点开始。
扫描结果会出现在底下兰色的列表中
当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河
的主机。(假如没有找到,请不要灰心,继续扫描。一个成功的黑客最重要是有耐心
!)
好了打开我们的冰河的客户端(再次提醒!!千万不要点服务器端!!!否则你等于种
木马给自己!!什么??你已经点了??你不会那么傻吧。。。。)
具体功能包括:
1.自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕
变化的同时,监控端的一切键盘及鼠标*作将反映在被控端屏幕(局域网适用);
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对
话框中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当
前显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定
注册表等多项功能限制;
5.远程文件*作:包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏
览文本文件、远程打开文件(提供了四中不同的打开方式--正常方式、更大化、最小化
和隐藏方式)等多项文件*作功能;
6.注册表*作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表
*作功能;
7.发送信息:以四种常用图标向被控端发送简短信息;
8.点对点通讯:以聊天室形式同被控端进行在线交谈。
呵呵,是不是很拽??哼哼~~我叫你不服!!!我要删掉你C盘文件!!!修改你注册
表!!盗你 *** 号码!!上网帐号!!
!………………………………………………………………
罗嗦一下!!你们千万不要搞破坏哦,学会了使用就好。。。
接着,我会介绍特洛伊木马“冰河”的使用:
首先打开客户端
出现*作界面
文件 编辑 设置 帮助
点文件出现下拉菜单
点自动搜索
出现提示框
里面只有起始域 起使地址 终止地址
这三个比较有用
比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25
那么我们就在起始域里输入:202.103.139
起始地址:25
终止地址:25
表示搜索这一个主机
如果扫描结果里显示ERR表示该计算机没有种木马,如果是OK你就爽拉~~
(你也可以在起始域里输入:202.103.139起始里面:1终止里面255,这样是搜索
202.103.139子网里所有的计算机)
看到这里有的朋友会问拉,既然木马可以自己扫描为什么还要上面哪个工具??嘿嘿~~
哪个比较快嘛,多学一点没有坏处的~~(啊~~我错了还不行??大家息怒)
只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个
小加号,点开他你可以随便对对方的文件进行修改删除了,你甚至可以上传一个病毒到
他的文件夹中(不推荐,你们没那么大仇吧??)
好了我们再来看看文件管理右面的命令控制台,这里有你感兴趣的东西哦~~命令很简单
都是一看就会的,你们只要每个都实验一下就知道作什么用的拉
由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”
简单的就象小孩子的游戏~~~
看看下面有什么??
远程关闭计算机
远程从新启动计算机
后面两个没什么用不理他也罢
你只要点一下远程“关闭计算机”
OK拉,他的电脑自己关机拉,不相信??好, *** 上和他说话,他能回答你才怪:)
好了,关于*作的 *** 我已经向大家介绍了,这是一个傻瓜式的软件,*作命令全中文,
作用一看就知道,很容易上手,用他来盗 *** 也不错哦~~~~(在口令类命令的系统信息及
口令里,要先做键盘记录哦)具体 *** 请自己研究,我可不想犯罪。。
关于使用 *** 就介绍到这里,到这里以上为止都是对不特定人物的入侵,那么要怎么对
特定的人物进行入侵那??记得我不叫你们点的服务器端吗?呵呵,就是他,他是没有
图标的一个运行文件,可以夹带在几乎任何文件里运送,比如照片,FLASH等……(有
相关的合成软件,我不知道具体那里有下载,不过我有的,你们需要可以找我,不过不
要拿来作坏事)你只需要给你的网友用 *** 传送个照片呀,一篇文章呀就可以顺利种上木
马,然后你要取得他(她)的IP地址就可以对他进行控制拉,这 *** 不是我教你们的啊
!!以后不要出卖我,还有电子邮件也可以传播。。。。。。。木马病毒。。
*** 有很多大家可以自己研究。。。。。。
下面有几点提示:
1:为什么我解压缩的时候杀毒软件老是报有病毒呀??
木马本身就是一个病毒,只要你不点服务器端,对你不会造成任何影响
运行的时候也要关掉防火墙,否则系统无法运行。
2:为什么我种上木马以后连接不到计算机??
很简单,你的版本过旧拉,去下载新的版本吧,再者对方在网吧,由于
设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。
什么??你不知道他是不是在家??看 *** 的IP地址
比如对方IP是202.103.139.22:4000表示在家
202.103.139.22:1030网吧
只有后面是4000、7000的用户是在家
有的时候是4001、4002表示对方现在运行的 *** 数目,不用管他
3:关于冰河的万能密码:
2.2版:Can you speak chinese?
2.2版:05181977
3.0版:yzkzero
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq2000!
有的是要密码口令登陆的,不过一般不要,也不用刻意注意
4:我也种上服务器端了,对方也在家,他也并没发觉我给他种了,但就是连接不正常
呵呵,对方懂得使用 *** 服务器那你看到的IP地址不是真实的IP地址。这种情况,你还
是放弃吧。
5:冰河是一个很麻烦的家伙,卸载很麻烦就是你安装以后卸载和其他的程序不一样
网上相关文章很多,我由于最近考试关系就不一一介绍了,你可以去黑白 *** 看看:)
6:如果清除冰河服务端:
*** 一: 俗话说,解铃还需系铃人。中了冰河,就用它的控制端来卸载服务端。具体
*** :
1、启动“冰河”的控制端程序。
2、选择“文件”--“添加主机”,或者直接点击快接按钮栏的之一个图标 。
3、弹出的对话框中,“远程主机”一项,填写自己的IP。
4、连接服务端,然后,点击“命令控制台”标签。
5、选择“控制类命令”--“系统控制”,在右面的窗口下方,你会发现四个按钮。点
击“自动卸载”,就将冰河的服务器端清除了。
*** 二:
冰河 v1.1
1、打开注册表“Regedit.exe”。(可以在“开始”--“运行”里输入
“regedit”。)
2、点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3、查找以下的两个路径,并删除
“C:\windows\system\kernel32.exe”
"“C:\windows\system\sysexplr.exe”
4、关闭“Regedit.exe”,重新启动Windows。
5、删除“C:\windows\system\kernel32.exe”和
“C:\windows\system\sysexplr.exe”木马程序。
6:重新启动。完成。
*** 一是对于你给别人种的服务器端的,记得玩完以后给人家清除掉,作事情不要那么
决情!!
*** 二是对于清除自己计算机里的服务器端的,现在就好好看看是不是由于自己的疏忽
被人家种下冰河。。。。。。。。。
小结:对于木马的大家庭来说冰河只是一个小弟弟,但是大家也看到了他的危害性,所
以本人只建议大家学习这个软件,并不是用他去干什么,恶意破坏是低级黑客(根本可
以说是菜鸟)的做法,建议大家不要搞破坏,学习就好。。。。。。。。。。
我安装了个打印机,使用过程中360提示有木马程序在。后来我用360急救箱将程序禁止后。打印机却无法再使用
顶楼上
你确定360弹出木马提示
我感觉 是写入注册表提示吧
你可能没看清楚
建议在此安装打印机驱动 注意观看360 设置为允许
什么是木马程序,有什么功能?
木马简介前言
在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马,当初怎么就想不通它与病毒扯上关系了。经过一番了解,原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市,从而一举占领敌方城市的故事,因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,达到当你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。
一旦你的电脑被它控制,则通常表现为蓝屏然死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用CTRL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。
不过要知道,即使发现了你的机器染上木马病毒,也不必那么害怕,因为木马病毒与一般病毒在目的上有很大的区别,即使木马运行了,也不一定会对你的机器造成危害。但肯定有坏处,你的上网密码有可能已经跑到别人的收件箱里了,这样黑客们就可以盗用你的上网账号上网了!木马程序也是病毒程序的一类,但更具体的被认为黑客程序,因为它入侵的目的是为发布这些木马程序的人,即所谓的黑 *** 务的。
本文将就木马的一些特征、木马入侵的一些常用手法及清除 *** 以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。
木马的基本特征
木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序,它们都有以下基本特征:
1、隐蔽性是其首要的特征
如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的更大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时,客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示,这些黑客们早就想到了方方面面可能发生的迹象,把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式,可以让人在使用绑定的程式时,木马也入侵了系统,甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定,在你看图片的时候,木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面:
a、不产生图标
它虽然在你系统启动时会自动运行,但它不会在“任务栏”中产生一个图标,这是容易理解的,不然的话,凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标,只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可;
b、木马程序自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本个文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开特别的端口
木马程序潜入人的电脑之中的目的不主要为了破坏你的系统,更是为了获取你的系统中有用的信息,这样就必需当你上网时能与远端客户进行通讯,这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”,不知道吧,告诉你别吓着,根据TCP/IP协议,每台电脑可以有256乘以256扇门,也即从0到65535号“门,但我们常用的只有少数几个,你想有这么门可以进,还能进不来?当然有门我们还是可以关上它们的,这我在预防木马的办法中将会讲到。
6、 功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
7、黑客组织趋于公开化
以往还从未发现有什么公开化的病毒组织(也许是我孤陋寡闻),多数病毒是由个别人出于好奇(当然也有专门从事这一职业的),想试一下自己的病毒程序开发水平而做的,但他(她)绝对不敢公开,因为一旦发现是有可能被判坐牢或罚款的,这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织,但应绝对是属于“地下”的。现在倒好,什么专门开发木马程序的组织到处都是,不光存在,而且还公开在网上大肆招兵买马,似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷,黑的手段也越来越高明。我不知道为什么,但据讲其理由是“为了自卫、为了爱国” 。
木马入侵的常用手法及清除 ***
虽然木马程序千变万化,但正如一位木马组织的负责人所讲,大多数木马程序没有特别的功能,入侵的手法也差不多,只是以前有关木马程序的重复,只是改了个名而已,现在他们都要讲究效率,据说他们要杜绝重复开发,浪费资源。当然我们也只能讲讲以前的一些通用入侵手法,因为我们毕竟不是木马的开发者,不可能有先知先觉。
1、在win.ini文件中加载
一般在win.ini文件中的[windwos]段中有如下加载项:
run= load= ,一般此两项为空,如图1所示。
图1
如果你发现你的系统中的此两项加载了任何可疑的程序时,应特别当心,这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中之后,那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序,但你要知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用你常见的文件,如command.exe、sys.com等来伪装。
2、在System.ini文件中加载
我们知道在系统信息文件system.ini中也有一个启动加载项,那就是在[BOOT]子项中的“Shell”项,如图2所示。
图2
在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改"Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为他知道还是有很多朋友不知道这里就一定是“Explorer”,或者在“Explorer”加上点什么东东,加上的那些东东肯定就是木马程序了。
3、修改注册表
如果经常研究注册表的朋友一定知道,在注册表中我们也可以设置一些启动加载项目的,编制木马程序的高手们当然不会放过这样的机会的,况且他们知道注册表中更安全,因为会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce],如图3所示;
图3
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce],如图4所示。
图4
你只要按照其指定的源文件路径一路查过去,并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了,不过同样要注意木马的欺骗性,它可是最善于伪装自己呵!同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。
4、修改文件打开关联
木马程序发展到了今天,他们发现以上的那些老招式不灵了,为了更加隐蔽自己,他们所采用隐蔽的手段也是越来越高明了(不过这也是万物的生存之道,你说呢?),它们采用修改文件打开关联来达到加载的目的,当你打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件(.txt)这个最常见,但又最不引人注目的文件格式关联来加载自己,当有人打开文本文件时就自动加载了冰河木马。
修改关联的途经还是选择了注册表的修改,它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目,如冰河木马修改的对象如图5所示,
图5
如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”,而是改为“sy***plr.exe %1”。
以上所介绍的几种木马入侵方式,如果发现了我们当然是立即对其删除,并要立即与 *** 断开,切断黑客通讯的途径,在以上各种途径中查找,如果是在注册表发现的,则要利用注册表的查找功能全部查找一篇,清除所有的木马隐藏的窝点,做到彻底清除。如果作了注册表备份,更好全部删除注册表后再导入原来的备份注册表。
在清除木马前一定要注意,如果木马正在运行,则你无法删除其程序,这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项,如果你是在木马处于活动时删除该项的话它能自动恢复,这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。
打印机后台程序!!!计算机中病毒后,删除了spoolsv.exe文件。无法打印
你大概删错了
spoolsv.exe - spoolsv
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
进程类别:其他进程
英文描述:
spoolsv.exe is a Microsoft Windows system executable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your com
中文参考:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows 2000 and later
系统进程:Yes
后台程序:Yes
*** 相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
2,
spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转。目前网上提供的 *** 或许能够解决前期问题,但对最新的变种现象无能为力,
Ctrl+Alt+Delete停止spoolsv.exe运行进程
重启计算机进入安全模式,在C:/windows/system32/删除spoolsv.exe(或可用搜索方式删除C盘所有同名文件)
运行regedit,用查找方式找到并删除所有spoolsv文件。
我的电脑点击右键,选择管理,服务,禁用print spooler服务(目前网上提供的 *** 仅到此)
重启电脑进入系统常规模式,你会发现电脑还是处于高速运转,但在搜索中已找不到任何spoolsv相关文件。
Ctrl+Alt+Delete,你可以在进程中找到一个名为inter的后台运行程序,将其关闭即可。
强烈建议在应用以上步骤解决问题之后,运行反木马程序扫描并删除感染文件。
3,
看看WINDOWS\system32文件夹里有没有这几个文件夹
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
如果有的话,恭喜你,你中毒了。具体表现为有个叫播霸的软件不请自来*******(*号部分作者省掉n个字,表达能力差,呵呵。)你把上述文件夹删除,四秒后再看看,删除的文件夹又出现了。真是可恶。不小心下载了病毒程序,运行而中招。。。。。以下是手工清除 *** 。
首先进入安全模式,控制面板,打开添加或删除程序,卸载WinDirected 2.0。这个是罪魁祸首。删除 c:/windows/system32/spoolsv/文件夹
删除c:/windows/exploer.exe程序。(很像explorer.exe)
删除%System%\wmpdrm.dll
好了,以上是关键部分。
下面是从网上复制过来的比较有水平的 *** 。
下面是关于病毒的一些资料:
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http:
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cf *** ho]
[HKEY_CLASSES_ROOT\wmpdrm.cf *** ho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe
根据病毒信息提供偶得查杀 *** :
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cf *** ho
[HKEY_CLASSES_ROOT\wmpdrm.cf *** ho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
4。运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行
0条大神的评论