木马常用端口

相信大家都知道不安全端口的危害吧，黑客经常是指定一段IP地址扫描，

设置了常用的木马端口，就扫那些漏洞，如果你不幸运被选中了就完蛋了，机器就变肉鸡了！

为了避免这种情况发生就得做好防御，要么就关闭所有的端口仅仅打开几个常用的；

要么把所有不安全端口全部关闭。前者弊端是在你用一些特殊程序时候会发生麻烦，

后者就是需要点时间，总结了下所有木马端口也就几十多个，多花点时间吧，

总比中招后重新装系统好吧！以下端口必须关闭：

端口归总：31、555、666、1025、1033、1170、1234、1243、6711、6776、1254、1492、1600、

1807、1981、1999、2000、2001、2023、2115、2140、3150、2583、2801、3024、4092、3129、

3150、3210、4321、3333、3700、3996、4060、4092、4590、5000、5001、5321、50505、5400、

5401、5402、5550、5569、5742、6267、6400、6670、6671、6883、6969、7000、7300、7301、

7306、7307、7308、7626、7789、9400、9401、9402、9872、9873、9874、10067、10167、9989

、11000、11223、12076、61466、12223、12345、12346、12361、16969、19191、20000、20001

、20034、22222、23456、26274、47262、27374、30100、30303、30999、31337、31338、31339

、31666、33333、34324、40412、40421、40422、40423、40426、43210、54321、44445、50766

、53001、65000

端口：31

服务：MSG Authentication

说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：555

服务：DSF

说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：666

服务：Doom Id Software

说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：1025、1033

服务：1025：network blackjack 1033：[NULL]

说明：木马netspy开放这2个端口。

端口：1170

服务：[NULL]

说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776

服务：[NULL]

说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245

服务：[NULL]

说明：木马Vodoo开放此端口。

端口：1492

服务：stone-design-1

说明：木马FTP99CMP开放此端口。

端口：1600

服务：issd

说明：木马Shivka-Burka开放此端口。

端口：1807

服务：[NULL]

说明：木马SpySender开放此端口。

端口：1981

服务：[NULL]

说明：木马ShockRave开放此端口。

端口：1999

服务：cisco identification port

说明：木马BackDoor开放此端口。

端口：2000

服务：[NULL]

说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001

服务：[NULL]

说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023

服务：xinuexpansion 4

说明：木马Pass Ripper开放此端口。

端口：2115

服务：[NULL]

说明：木马Bugs开放此端口。

端口：2140、3150

服务：[NULL]

说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2583

服务：[NULL]

说明：木马Wincrash 2.0开放此端口。

端口：2801

服务：[NULL]

说明：木马Phineas Phucker开放此端口。

端口：3024、4092

服务：[NULL]

说明：木马WinCrash开放此端口。

端口：3129

服务：[NULL]

说明：木马Master Paradise开放此端口。

端口：3150

服务：[NULL]

说明：木马The Invasor开放此端口。

端口：3210、4321

服务：[NULL]

说明：木马SchoolBus开放此端口

端口：3333

服务：dec-notes

说明：木马Prosiak开放此端口

端口：3700

服务：[NULL]

说明：木马Portal of Doom开放此端口

端口：3996、4060

服务：[NULL]

说明：木马RemoteAnything开放此端口

端口：4092

服务：[NULL]

说明：木马WinCrash开放此端口。

端口：4590

服务：[NULL]

说明：木马ICQTrojan开放此端口。

端口：5000、5001、5321、50505

服务：[NULL]

说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口：5400、5401、5402

服务：[NULL]

说明：木马Blade Runner开放此端口。

端口：5550

服务：[NULL]

说明：木马xtcp开放此端口。

端口：5569

服务：[NULL]

说明：木马Robo-Hack开放此端口。

端口：5742

服务：[NULL]

说明：木马WinCrash1.03开放此端口。

端口：6267

服务：[NULL]

说明：木马广外女生开放此端口。

端口：6400

服务：[NULL]

说明：木马The tHing开放此端口。

端口：6670、6671

说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口：6883

服务：[NULL]

说明：木马DeltaSource开放此端口。

端口：6969

服务：[NULL]

说明：木马Gatecrasher、Priority开放此端口。

端口：7000

服务：[NULL]

说明：木马Remote Grab开放此端口。

端口：7300、7301、7306、7307、7308

服务：[NULL]

说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

端口：7626

服务：[NULL]

说明：木马Giscier开放此端口。

端口：7789

说明：木马ICKiller开放此端口。

端口：9400、9401、9402

服务：[NULL]

说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167 服务：[NULL]

说明：木马Portal of Doom开放此端口。

端口：9989

服务：[NULL]

说明：木马iNi-Killer开放此端口。

端口：11000

服务：[NULL]

说明：木马SennaSpy开放此端口。

端口：11223

服务：[NULL]

说明：木马Progenic trojan开放此端口。

端口：12076、61466

服务：[NULL]

说明：木马Telecommando开放此端口。

端口：12223

服务：[NULL]

说明：木马Hack'99 KeyLogger开放此端口。

端口：12345、12346

服务：[NULL]

说明：木马NetBus1.60/1.70、GabanBus开放此端口。

端口：12361

服务：[NULL]

说明：木马Whack-a-mole开放此端口。

端口：16969

服务：[NULL]

说明：木马Priority开放此端口。

端口：19191

服务：[NULL]

说明：木马蓝色火焰开放此端口。

端口：20000、20001

服务：[NULL]

说明：木马Millennium开放此端口。

端口：20034

服务：[NULL]

说明：木马NetBus Pro开放此端口。

端口：21554

服务：[NULL]

说明：木马GirlFriend开放此端口。

端口：22222

服务：[NULL]

说明：木马Prosiak开放此端口。

端口：23456

服务：[NULL]

说明：木马Evil FTP、Ugly FTP开放此端口。

端口：26274、47262

服务：[NULL]

说明：木马Delta开放此端口。

端口：27374

服务：[NULL]

说明：木马Subseven 2.1开放此端口。

端口：30100

服务：[NULL]

说明：木马NetSphere开放此端口。

端口：30303

服务：[NULL]

说明：木马Socket23开放此端口。

端口：30999

服务：[NULL]

说明：木马Kuang开放此端口。

端口：31337、31338

服务：[NULL]

说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339

服务：[NULL]

说明：木马NetSpy DK开放此端口。

端口：31666

服务：[NULL]

说明：木马BOWhack开放此端口。

端口：33333

服务：[NULL]

说明：木马Prosiak开放此端口。

端口：34324

服务：[NULL]

说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口：40412

服务：[NULL]

说明：木马The Spy开放此端口。

端口：40421、40422、40423、40426、

服务：[NULL]

说明：木马Masters Paradise开放此端口。

端口：43210、54321

服务：[NULL]

说明：木马SchoolBus 1.0/2.0开放此端口。

端口：44445

服务：[NULL]

说明：木马Happypig开放此端口。

端口：50766

服务：[NULL]

说明：木马Fore开放此端口。

端口：53001

服务：[NULL]

说明：木马Remote Windows Shutdown开放此端口。

端口：65000

服务：[NULL]

说明：木马Devil 1.03开放此端口。

另外补充下，即使关闭了这些端口你还得时刻打开杀软和防火墙！举个例子，你的电脑假如不关闭这些端口，

你可能同时中上面许多的木马，假如你开的防火墙，就得面对它们，同时你还可能遭到另外的黑客攻击和入侵，

你就多方受敌了。关闭它们后你就仅仅有后者的隐患！面对的就没有前面的木马大军了，呵呵！

80 端口用于网页浏览。木马Executor开放此端口。所以你的杀毒软件要提高警惕，现在网页木马很牛！

21 端口

说明：FTP服务器所开放的端口。

这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、

木马攻击常用名词解释

目录 1. IPS IDS IRS (2) 2．攻击 (3) 3． 80端口 (3) 4． 404 (4) 5． Application Firewall (4) 6． SHELL (5) 8． ISP/ICP (8) 9． IIS (9) 10．SQL注入 (9) 11．XSS攻击 (10) 12．DDOS攻击 (11) .

1.IPS IDS IRS 入侵预防系统(IPS: Intrusion Prevention System)是电脑网路安全设施，是对防病毒软体（Antivirus Programs）和防火墙(Packet Filter, Application Gatew ay)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 在ISO/OSI网路层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软体主要在第五到第七层起作用。为了弥补防火墙和除病毒软体二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵侦查系统(IDS: Intrusion Detection System）投入使用。入侵侦查系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems) 作为对入侵侦查系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。 入侵预防系统类型 投入使用的入侵预防系统按其用途进一步可以划分为 (HIPS: Hostbased Intrusion Prevension System) 单机入侵预防系统和 (NIPS: Network Intrusion Prevension System）网路入侵预防系统 网路入侵预防系统作为网路之间或网路组成部分之间的独立的硬体设备，切断交通，对过往包裹进行深层检查，然后确定是否放行。网路入侵预防系统藉助病毒特征和协议异常，阻止有害代码传播。有一些网路入侵预防系统还能够跟踪和标记对可疑代码的回答，然后，看谁使用这些回答信息而请求连接，这样就能更好地确认发生了入侵事件。 根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点，单机入侵预防系统监视正常程序，比如Internet Explorer，Outlook，等等，在它们（确切地说，其实是它们所夹带的有害代码）向作业系统发出请求指令，改写系统文件，建立对外连接时，进行有效阻止，从而保护网路中重要的单个机器设备，如伺服器、路由器、防火墙等等。这时，它不需要求助于已知病毒特征和事先设定的安全规则。总地来说，单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道，入侵是指有害代码首先到达目的地，然后干坏事。然而，即使它侥幸突破防火墙等各种防线，得以到达目的地，但是由于有了入侵预防系统，有害代码最终还是无法起到它要起的作用，不能达到它要达到的目的。

常见的几种系统维护和木马查杀工具的介绍

超级兔子的功能 系统体检能够及时的发现系统存在的问题，从而提醒用户及时的查看并优化自己的系统。超级兔子是一个完整的系统维护工具，可能清理你大多数的文件、注册表里面的垃圾，同时还有强力的软件卸载功能，专业的卸载可以清理一个软件在电脑内的所有记录。 超级兔子共有8大组件，可以优化、设置系统大多数的选项，打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能，还能防止其它人浏览网站，阻挡色情网站，以及端口的过滤。 超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度，由此检测电脑的稳定性及速度，还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式，同时超级兔子网站提供大多数进程的详细信息，是国内最大的进程库。 超级兔子安全助手可能隐藏磁盘、加密文件，超级兔子系统备份是国内唯一能完整保存Windows XP注册表的软件，彻底解决系统上的问题。 超级兔子魔法设置软件是一个系统设置软件，能够以修改系统注册表等操作来达到大家的要求。完整的超级兔子软件包括以下4个软件：超级兔子魔法设置：常用的Windows设置软件，清晰的分类让你迅速找到相关功能，提供几乎所有Windows的隐藏参数调整。超级兔子注册表优化：维护注册表的工具，经常备份可以保护你的Windows，最神奇的是还有注册表的加速功能。超级兔子终极加速：简单易用的系统加速软件，10秒即可完成Windows的所有设置，并且还能对常用的其它软件进行设置。 超级兔子的魔法软件主要有以下作用： 1. 自动运行：在这里，你可以随意添加或者删除任务栏中自动运行的程序。（但是奉劝各位，还是不要随意改动的好哦，要不然，启动不了可别说是我教的哦！） 2. 删除反安装：里面罗列了所有本地应用软件的目录（比控制面板中添加/删除程序项的内容丰富多了！甚至连在Inerter上查找都有），你可以按你的需要对这些软件进行删除或是运行，需要注意的是，当不能修改命令行被选中时，你是无法修改命令的。和自动运行一样，尽量不要去乱改它！ 3. 输入法：你可以按照你的习惯重新排列输入法的顺序（也不要随意地去添加或是删除输入法，以免引起混乱）。 4. 开始菜单：你可以选择禁止显示程序/文档/收藏夹/查找/运行/注销/关闭系统中的任何一项，同时还可以在其中添加回收站/网络邻居/信箱/控制面板/打印机/历史记录/我的公文包等内容，并且你能对这些快捷方式重新命名，比如将我的电脑改为xxx的电脑，嘿，这个很不错吧！但是修改开始菜单的项目名字比较

常见木马病毒清除的方法

常见木马病毒清除的方法 来源：互联网 | 2009年09月23日 | [字体：小大] | 网站首页 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己，主要途径有:在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan 木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序， 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在

木马常用端口

445.135多为蠕虫病毒的攻击性端口 端口：31 服务：MSG Authentication 说明：木马Master Paradise、Hackers Paradise开放此端口。 端口：666 服务：Doom Id Software 说明：木马Attack FTP、Satanz Backdoor开放此端口 端口：1001、1011 服务：[NULL] 说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口：1025、1033 服务：1025：network blackjack 1033：[NULL] 说明：木马netspy开放这2个端口。 端口：1170 服务：[NULL] 说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口：1234、1243、6711、6776 服务：[NULL] 说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口：1245 服务：[NULL] 说明：木马Vodoo开放此端口。 端口：1433 服务：SQL 说明：Microsoft的SQL服务开放的端口。 端口：1492 服务：stone-design-1 说明：木马FTP99CMP开放此端口。 端口：1524 服务：ingress 说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail 和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

木马攻防感想

木马攻防的感想 前言 木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。 木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友，木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。 【关键词】：木马程序、攻击手段、防范技术、木马的危害

一、木马概述 1.木马的定义及特征 1.1木马的定义 在古罗马的战争中，古罗马人利用一只巨大的木马，麻痹敌人，赢得了战役的胜利，成为一段历史佳话。而在当今的网络世界里，也有这样一种被称做木马的程序，它为自己带上伪装的面具，悄悄地潜入用户的系统，进行着不可告人的行动。 有关木马的定义有很多种，作者认为，木马是一种在远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序，它的运行遵照TCP/IP协议，由于它像间谍一样潜入用户的电脑，为其他人的攻击打开后门，与战争中的“木马”战术十分相似，因而得名木马程序。 木马程序一般由两部分组成的，分别是Server（服务）端程序和Client（客户）端程序。其中Server 端程序安装在被控制计算机上，Client端程序安装在控制计算机上，Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。 首先，服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，并可以向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现了对本地计算机的控制。 因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序，服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖性和自动感染的功能。 1.2木马的特征 据不完全统计，目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制，在不同的环境下运行，发挥着不同的作用，但是它们有着许多共同的特征。 （1）隐蔽性

木马常见植入方法大曝光

对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。 这一招对于经常双击盘符进入“我的电脑”的人最有效。识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。 4把木马文件转换为图片格式 这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。 原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。下一次启动时木马就运行了，无声无息非常隐蔽。 5伪装成应用程序扩展组件 此类属于最难识别的特洛伊木马，也是骗术最高的木马。特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。操作结束后关掉进程，继续进入休眠状况。 举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。当受害者打开QQ时，这个有问题的文件即会同时执行。此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开QQ时木马程序就会同步运行，相较一般特洛伊木马可说是“踏雪无痕”。目前，有些木马就是采用的这种内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL 线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到了良好的隐藏效果。这样的木马对一般电脑用户来说简直是一个恶梦。防范它的方法就是小心小心再小心！ 6利用WinRar制作成自释放文件 这是最新的伪装方法，把木马服务端程序和WinRar捆绑在一起，将其制作成自释放文件，这样做了以后是非常难以检查的，即使是用最新的杀毒软件也无法发现！识别的方法是：对着经过WinRar捆绑的木马文件点击鼠标右键，查看“属性”，在弹出的“属性”对话框中，会发现多出两个标签“档案文件”和“注释”，点选“注释”标签，你就会发现木马文件了。

常见端口对照表

常见端口对照表 端口：0 服务：Reserved 说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 端口：1 服务：tcpmux 说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口：7 服务：Echo 说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。 端口：19 服务：Character Generator 说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP 连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP 的数据包，受害者为了回应这些数据而过载。 端口：21 服务：FTP 说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP 服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash 和Blade Runner所开放的端口。 端口：22 服务：Ssh 说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 端口：23 服务：Telnet 说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口：25 服务：SMTP

黑客木马入侵个人电脑的方法

黑客木马入侵个人电脑的方法 要想使自己的电脑安全，就好扎好自己的篱笆，看好自己的门，电脑也有自己的门，我们叫它端口。 你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。 如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出TCP/IP 协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。 当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑的。 黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入 你的个人电脑的。 如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。 除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电 脑。 如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。 举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netsp y.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.e xe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的73 06端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。 特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。 接下来，奇奇就让你利用软件如何发现自己电脑中的木马。 奇奇再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。 你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址 是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入http://10.10.10. 10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。

木马病毒的简介和基本分类

木马病毒的简介和基本分类 什么是木马（Trojan） 木马（Trojan）这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。 “木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任 木马病毒 意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。 随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。 木马病毒-木马的种类 1、普通的以单独EXE文件执行的木马 2、进程插入式木马 3、Rootkit类 4、其他

计算机常用端口一览表及木马攻击常见端口的关闭

计算机常用端口一览表 1 传输控制协议端口服务多路开关选择器 2 compressnet 管理实用程序 3 压缩进程 5 远程作业登录 7 回显(Echo) 9 丢弃 11 在线用户 13 时间 15 netstat 17 每日引用 18 消息发送协议 19 字符发生器 20 文件传输协议(默认数据口) 21 文件传输协议(控制) 22 SSH远程登录协议 23 telnet 终端仿真协议 24 预留给个人用邮件系统 25 smtp 简单邮件发送协议 27 NSW 用户系统现场工程师 29 MSG ICP 31 MSG验证

33 显示支持协议 35 预留给个人打印机服务 37 时间 38 路由访问协议 39 资源定位协议 41 图形 42 WINS 主机名服务 43 "绰号" who is服务 44 MPM(消息处理模块)标志协议 45 消息处理模块 46 消息处理模块(默认发送口) 47 NI FTP 48 数码音频后台服务 49 TACACS登录主机协议 50 远程邮件检查协议 51 IMP(接口信息处理机)逻辑地址维护 52 施乐网络服务系统时间协议 53 域名服务器 54 施乐网络服务系统票据交换 55 ISI图形语言 56 施乐网络服务系统验证 57 预留个人用终端访问

58 施乐网络服务系统邮件 59 预留个人文件服务 60 未定义 61 NI邮件? 62 异步通讯适配器服务 63 WHOIS+ 64 通讯接口 65 TACACS数据库服务 66 Oracle SQL*NET 67 引导程序协议服务端 68 引导程序协议客户端 69 小型文件传输协议 70 信息检索协议 71 远程作业服务 72 远程作业服务 73 远程作业服务 74 远程作业服务 75 预留给个人拨出服务 76 分布式外部对象存储 77 预留给个人远程作业输入服务 78 修正TCP 79 Finger(查询远程主机在线用户等信息)

常见100种木马排除方法

常见100种木马排除方法！ 1.Acid Battery 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。 重新启动。 2.Acid Shiver 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。 3.Ambush 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。 4.AOL Trojan 启动到MSDOS方式 删除C:\ command.exe（删除前取消文件的隐含属性） 注意：不要删除真的https://www.360docs.net/doc/4716937874.html,文件。 删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性） 删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性） 打开WIN.INI文件

Windows常见的病毒、木马的进程列表

【导读】本文含概了windows几乎所有常见的病毒、木马的进程名程，检查你的系统进程，看看是否中招。 exe → BF Evolution Mbbmanager.exe →聪明基因 _.exe → Tryit Mdm.exe → Doly 1.6-1.7 Aboutagirl.exe →初恋情人 Microsoft.exe →传奇密码使者 Absr.exe → Backdoor.Autoupder Mmc.exe →尼姆达病毒 Aplica32.exe →将死者病毒 Mprdll.exe → Bla Avconsol.exe →将死者病毒 Msabel32.exe → Cain and Abel Avp.exe →将死者病毒 Msblast.exe →冲击波病毒 Avp32.exe →将死者病毒 Mschv.exe → Control Avpcc.exe →将死者病毒 Msgsrv36.exe → Coma Avpm.exe →将死者病毒 Msgsvc.exe →火凤凰 Avserve.exe →震荡波病毒 Msgsvr16.exe → Acid Shiver Bbeagle.exe →恶鹰蠕虫病毒 Msie5.exe → Canasson Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup Cfiadmin.exe →将死者病毒 Mstesk.exe → Doly 1.1-1.5 Cfiaudit.exe →将死者病毒 Netip.exe → Spirit 2000 Beta Cfinet32.exe →将死者病毒 Netspy.exe →网络精灵 Checkdll.exe →网络公牛 Notpa.exe → Backdoor Cmctl32.exe → Back Construction Odbc.exe → Telecommando Command.exe → AOL Trojan Pcfwallicon.exe →将死者病毒 Diagcfg.exe →广外女生 Pcx.exe → Xplorer

介绍一下木马病毒的种类

介绍一下木马病毒的种类 随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。2. 网银木马网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技

术干扰网银登录安全控件的运行。随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。3. 即时通讯软件木马现在，国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种：一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码。二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。三、传播自身型。2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类QQ 木马的进化，采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。4. 网页点击类木马网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作

最新整理十大最常见的电脑病毒有哪些

十大最常见的电脑病毒有哪些 电脑病毒想必大家都有一些了解，但是电脑中毒的时候自己也不知道中的是哪一类型的病毒。为此小编给大家详细介绍一下电脑病毒有哪些?什么电脑病毒最厉害等内容，希望对你有帮助。 十大最常见的电脑病毒十大最常见的电脑病毒1、系统病毒 系统病毒的前缀为：W i n32、P E、W i n95、W32、W95等。这些病毒的一般公有的特性是可以感染W i n d o w s操作系统的 *.e x e和 *.d l l文件，并通过这些文件进行传播。如C I H病毒。 十大最常见的电脑病毒2、蠕虫病毒 蠕虫病毒的前缀是：W o r m。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件)等。 十大最常见的电脑病毒3、木马病毒、黑客病毒 木马病毒其前缀是：T r o j a n，黑客病毒前缀名一般为 H a c k。木马病毒的公有特性是通过网络或者系统漏

洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如Q Q消息尾巴木马 T r o j a n.Q Q3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如T r o j a n.L M i r.P S W.60。这里补充一点，病毒名中有P S W 或者什么P W D之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为密码的英文p a s s w o r d的缩写)一些黑客程序如：网络枭雄(H a c k.N e t h e r.C l i e n t)等。 十大最常见的电脑病毒4、脚本病毒 脚本病毒的前缀是：S c r i p t。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(S c r i p t.R e d l o f)可不是我们的老大代码兄 哦。脚本病毒还会有如下前缀：V B S、J S(表明是何种脚本编写的)，如欢乐时光(V B S.H a p p y t i m e)、十四曰 (J s.F o r t n i g h t.c.s)等。 十大最常见的电脑病毒5、宏病毒 其实宏病毒是也是脚本病毒的一种，由于它的特殊

入侵步骤和思路

第一步：进入系统 1. 扫描目标主机。 2. 检查开放的端口，获得服务软件及版本。 3. 检查服务软件是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。 4. 检查服务软件的附属程序(*1)是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。 5. 检查服务软件是否存在脆弱帐号或密码，如果是，利用该帐号或密码系统；否则进入下一步。 6. 利用服务软件是否可以获取有效帐号或密码，如果是，利用该帐号或密码进入系统；否则进入下一步。 7. 服务软件是否泄露系统敏感信息，如果是，检查能否利用；否则进入下一步。 8. 扫描相同子网主机，重复以上步骤，直到进入目标主机或放弃。 第二步：提升权限 1. 检查目标主机上的SUID和GUID程序是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。 2. 检查本地服务是否存在漏洞，如果是，利用该漏洞提升权限，否则进入下一步。 3. 检查本地服务是否存在脆弱帐号或密码，如果是，利用该帐号或密码提升权限；否则进入下一步。 4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限，否则进入下一步。 5. 检查配置目录(*2)中是否存在敏感信息可以利用。 6. 检查用户目录中是否存在敏感信息可以利用。 7. 检查临时文件目录(*3)是否存在漏洞可以利用。 8. 检查其它目录(*4)是否存在可以利用的敏感信息。 9. 重复以上步骤，直到获得root权限或放弃。 第三步：放置后门 最好自己写后门程序，用别人的程序总是相对容易被发现。 第四步：清理日志 最好手工修改日志，不要全部删除，也不好使用别人写的工具。 附加说明： *1 例如WWW服务的附属程序就包括CGI程序等 *2 这里指存在配置文件的目录，如/etc等 *3 如/tmp等，这里的漏洞主要指条件竞争 *4 如WWW目录，数据文件目录等 /*****************************************************************************/ 好了，大家都知道了入侵者入侵一般步骤及思路那么我们开始做入侵检测了。

十大常见木马及其查杀方法

十大常见木马及其查杀方法 经过媒体的大量宣传，大家对木马有了一定的认识，但大多数人对木马还是陌生和恐惧的感觉。其实，木马没有什么可神秘的，只要你能掌握 以下国内最流行十大木马查杀，那么对付其它木马程序就很容易了——你会骄傲的说：木马查杀？Easy！名词解释 木马其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为 服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上 的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。 就我们下面所讲木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。 控制端对服务端进行远程控制的一方 服务端被控制端远程控制的一方 控制端程序控制端用以远程控制服务端的程序 木马程序潜入服务端内部，获取其操作权限的程序 木马端口即控制端和服务端之间的数据入口，通过这个入口，数据可直达控制端程序或木马程序 十大常见木马及其查杀方法 冰河 冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在 ！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何 清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在 C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文 件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这 就是冰河屡删不止的原因。 清除方法： 1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。 2、冰河会在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRun下扎根，键值为C:windowssystemKernel32.exe，删除它。 3、在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRunservices下，还有键值为C:windowssystemKernel32.exe的，也要删除。 4、最后，改注册表HKEY_CLASSES_ROOT xtfileshellopencommand下的默认值，由中木马后的C:windowssystemSysexplr.exe %1改 为正常情况下的C:windows otepad.exe %1，即可恢复TXT文件关联功能。 广外女生

木马的常见四大伪装欺骗行为

木马的常见四大伪装欺骗行为 1、将木马包装为图像文件 首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。 只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe)为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢？其实方法很简单，他只要把文件名改变，例如把“sam.exe”更改为“sam.jpg”，那么在传送时，对方只会看见sam.jpg了，而到达对方电脑时，因为windows默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg了，受骗也就在所难免了！

还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即用IconForge等图标文件修改文件图标，这样木马就被包装成jpg或其他图片格式的木马了，很多人会不经意间执行了它。 2、以Z-file伪装加密程序 Z-file伪装加密软件经过将文件压缩加密之后，再以bmp图像文件格式显示出来(扩展名是bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。使用者会将木马程序和小游戏合并，再用Z-file加密及将此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马和病毒。当打消了受害者警惕性后，再让他用WinZip解压缩及执行“伪装体(比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。如果入侵者有机会