木马入侵与清除技术

合集下载

木马攻击及防御技术实验报告

目录第一章引言 (1)第二章木马概述 (1)2.1木马的定义及特点 (1)2.2木马的工作原理 (2)2.3木马的分类.................................................... 第三章常见的木马攻击手段3.1捆绑方式.....................................................3.2邮件和QQ冒名欺骗............................................3.3网页木马方式.................................................3.4伪装成其他文件...............................................第四章木马的防范措施4.1安装个人防火墙、木马查杀软件和及时安装系统补丁...............4.2隐藏IP和关闭不必要的端口....................................4.3使用虚拟计算机...............................................4.4关闭不必要的服务选项.........................................4.5定期检查电脑的启动项.........................................4.6不要随意打开邮件.............................................4.7谨慎下载和安装第三方软件.....................................第五章总结........................................................参考文献...........................................................第一章引言随着计算机的日益普及，人们对于“木马”一词已不陌生。

常见网络入侵技术及网络防护技术简介

常见网络入侵技术和网络防护技术简述随着计算机和网络技术的快速发展，网络信息已经成为社会发展的重要组成部分，涉及到国家的政府、军事、经济等诸多领域。

由于计算机网络组成形式的多样性和网络的开放性等特点，致使这些网络信息容易受到来自世界各地的各种人为攻击。

据统计，全球每20秒就有一起黑客事件发生，因此网络安全成为了全世界范围内一个无法回避且急需解决的问题。

本文简单介绍了几种常见的网络入侵手段和网络防护技术。

一、背景上世纪九十年代开始发展起来的计算机网络技术，给人们在处理信息和资源共享带来了极大的方便，深刻影响并改变着我们的生活方式。

当各种商业活动，金融领域，国家政府机构，军事国防对网络依赖度越来越高时，也不得不面对更多来自网络安全方面的考验。

随之出现的诸如木马，蠕虫，DoS攻击等，正在成为网络安全最大的威胁。

全球知名的个人电脑安全软件制造商Symantec专家Ⅵncent Weaver在接受新华社记者采访时说：“中国排全球互联网黑客攻击的第三号目标。

”中国互联网络信息中心(CNNIC)报告指出，截至 2013年底，网民人数已达 6.18亿，手机网民超过 5亿，同样面临着严重的安全威胁。

其中计算机病毒感染率更是长期处于较高水平。

每年因计算机病毒、蠕虫和木马造成的安全事件占全部安全事件的83%。

近年来国内发生了许多网络安全事件，其中部分事件有着重大的社会和政治影响。

我国重要信息系统受到境内、外恶意病毒的攻击，木马的侵入、渗透，危害相当严重。

从整个国家和地区情况看，近年来世界广为知晓的“棱镜门”事件，以及前一个时期通过国外媒体暴露的有关国内知名的公司核心服务器受到侵害的安全问题非常突出。

国外媒体报道的中国周边国家韩国突发的网络安全和信息瘫痪的事件，都令人深思和警醒。

随着互联网的发展，网络安全给我们带来的挑战应该更加凸显。

尽管这几年我国政府在逐步的加大网络安全方面的工作力度、技术投入和资金保障，但仍然客观存在着网络安全的问题，有的还比较突出，整个形势不容乐观。

毕业综合实践报告-计算机木马病毒及防治(防治版)

GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目：计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别：班级：学生姓名：学号：指导老师：完成日期：目录一、计算机木马病毒的概述及现状 (1)（一）计算机木马病毒的概念 (1)（二）木马病毒的原理 (1)（三）木马病毒的特征 (3)（四）木马病毒的危害 (3)（五）计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)（一）修改图标 (5)（二）捆绑文件 (5)（三）出错显示 (5)（四）定制端口 (5)（五）自我销毁 (5)（六）木马更名 (6)三、计算机木马病毒的防治 (6)（一）如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)（二）如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)（三）如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)（一）冰刃 (9)（二）Windows清理助手 (9)（三）恶意软件清理助手 (9)（四）Atool软件 (9)（五）Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。

因特网使得全世界都联系到了一起。

极大的促进了全球一体化的发展。

但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。

企业如何应对木马病等恶意软件攻击

企业如何应对木马病等恶意软件攻击在当今数字化的商业世界中，企业面临着各种各样的网络安全威胁，其中木马病等恶意软件攻击是最为常见和危险的一种。

这些恶意软件可以窃取企业的敏感信息、破坏业务系统、导致数据泄露，给企业带来巨大的经济损失和声誉损害。

因此，企业必须采取有效的措施来应对这些威胁，保护自身的网络安全。

一、加强员工安全意识培训员工是企业网络安全的第一道防线，很多恶意软件攻击都是通过员工的疏忽或误操作而得逞的。

因此，企业需要加强员工的安全意识培训，让他们了解恶意软件的危害和传播方式，以及如何避免成为攻击的目标。

培训内容可以包括：如何识别可疑的邮件、链接和附件；不要随意下载和安装未知来源的软件；定期更新密码，并使用强密码；避免在公共网络上进行敏感操作等。

同时，企业还可以通过模拟攻击、案例分析等方式，让员工亲身体验恶意软件攻击的危害，提高他们的警惕性和应对能力。

二、建立完善的网络安全策略企业需要制定一套完善的网络安全策略，明确规定员工在使用网络和设备时应遵循的规则和流程。

例如，禁止员工使用未经授权的移动存储设备；限制对敏感数据的访问权限；要求员工在离开工作岗位时锁定电脑等。

此外，企业还应该定期对网络安全策略进行审查和更新，以适应不断变化的威胁环境。

同时，要确保所有员工都了解并遵守这些策略，对于违反策略的行为要进行严肃处理。

三、安装和更新杀毒软件和防火墙杀毒软件和防火墙是企业抵御恶意软件攻击的重要工具。

企业应该在所有的电脑、服务器和移动设备上安装可靠的杀毒软件，并定期更新病毒库和软件版本，以确保能够检测和清除最新的恶意软件。

防火墙可以阻止未经授权的网络访问，有效地防止外部恶意软件的入侵。

企业需要合理配置防火墙规则，只允许必要的网络流量通过，同时要密切关注防火墙的日志，及时发现和处理异常情况。

四、定期进行系统和软件更新很多恶意软件利用系统和软件的漏洞进行攻击。

因此，企业要及时为操作系统、应用程序和驱动程序等进行更新，修复可能存在的安全漏洞。

四招快速清除系统中的木马病毒

四招快速清除系统中的木马病毒黑客入侵后要做的事就是上传木马后门，为了能够让上传的木马不被发觉，他们会想尽种.种方法对其进行伪装。

而作为被害者，我们又该如何识破伪装，将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中，始终是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码肯定会表现出肯定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来推断的。

程序运行后，我们只要单击“扫瞄”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，假如有两个或更多的可执行文件头部，那么说明此文件肯定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必需请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。

因此清除的步骤也相对简单一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成详细的项目，对此我们假如发觉自己系统消失特别时，则需要推断是否中了DLL木马。

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看全部DLL模块，这时假如发觉有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。

对于一些比较顽固的进程，我们还将其中，单击“强行解除”按钮，然后再通过“模块文件名”栏中的地址，直接到其文件夹中将其删除。

木马的入侵检测技术和清除方法

１木马的分类和入侵方法
Ｐｋｌ．可以根据进程ｆＰＤ（ｓｉ命令ｌｌＩ进程号１￣来强行结束进程使用方法是：ｐｋｌＰＤｓｉＩｌ
２２端口捡测．
下ｌ淡谈如何通过ｆＩｉ
我仃知道，当服务器端运行后，会打）一个ｔ或ｕｐｕ进行ＪＦｃｐｄ端监听．这个端ｕ的值通常是１２以上．因为１２以下的端［已经被０４０３Ｊ些公崩的服务ｊ用，例如ｔｎｔ崩ｔ３端ｕ、这与电活码ｒ，ｅｅｃ２ｌＩＤ
维普资讯
网络纵横
南肛科技２０年第７０６期
木马的入侵检测技术和清除方法
庄小妹
Ｉ广东培正学院）摘要在互联网上，新的木马总是层出不穷，许多计算机用户深受其害本文根据木马入侵的原理，研究了传统木马和
ＨＫＥＹＬＯＣＡＬＭＡＣＨＩ￣ＯＦｎⅣＡＲＥＭｉｒｓｆＷｉｄｗｓｒｅｔｅｓＮＥ￣；Ｘｃｏｏｔｎｏ＼＼ＣｕｒｎＶｒ
ＷＡＴＩ．说明其它汁算机正在关闭与本机的连接凼此，要注意是否存在ＥＴＢｌＨＤｓＡｓＥ的情况，特别是对于反弹端口的木马，尤其Ｌ
是这样，ｅｔ命令不仅可以在ｗｎｏｓＮ￣ｍｉｗ下使用．在ＬＮＸｄＩＵ操作系统下也可以使用如果要知道是那一个程序打开了某—个端ｕ，则可以使用一些工具进行检查ＦＯＴＰＲ是一个检查端ｆ与相关文件不错的工具Ｉ使用方法也简单在命令行状态下．输入ｆ０可以了，例如．输ｐ僦入ｆｏ后．可以看到７２为ｃｗｎｔｙｔｅ￣ｍｅｅｅ个文件打ｐｒｔ６６：ｉｋｓ２ｅ１ｘ这＼ｎｓｍｋ．开的，也就是能够把打Ｊ端［的木马文件揪了出来，根据这个结ＦＪ果．可以先把相关的进程清除，然后就能够把木马文件清除了。有时在正常的模式下不能删除木马文件，这时可以先进入安全模式，然后就能顺利删除木马文件

拒绝木马入侵四大绝招来防护

(1)接口功能：该功能用作将路由器连接到网络。

可以分为局域网接口及广域网接口两种。

局域网接口主要包括以太网、令牌环、令牌总线、FDDI等网络接口。

广域网接口主要包括E1/T1、E3/T3、DS3、通用串行口(可转换成X.21DTE/DCE、V.35DTE/DCE、RS232DTE/DCE、RS449DTE/DCE、EIA530DTE)等网络接口。

(2)通信协议功能：该功能负责处理通信协议，可以包括TCP/IP、PPP、X.25、帧中继等协议。

(3)数据包转发功能：该功能主要负责按照路由表内容在各端口(包括逻辑端口)间转发数据包并且改写链路层数据包头信息。

(4)路由信息维护功能：该功能负责运行路由协议，维护路由表。

路由协议可包括RIP、OSPF、BGP等协议。

(5)管理控制功能：路由器管理控制功能包括五个功能，SNMP代理功能，Telnet服务器功能，本地管理、远端监控和RMON功能。

通过多种不同的途径对路由器进行控制管理，并且允许记录日志。

(6)安全功能：用于完成数据包过滤，地址转换，访问控制，数据加密，防火墙，地址分配等功能。

路由器对上述功能并非必须完全实现。

但是由于路由器作为网络设备，存在最小功能集，对最小功能集所规定的功能，路由器必须支持。

因为绝大多数功能测试可以由接口测试、性能测试、协议一致性测试和网管测试所涵盖，所以路由器功能测试一般可以只对其他测试无法涵盖的功能做验证性测试。

路由器功能测试一般采用远端测试法。

(二)性能测试路由器是IP网络的核心设备，其性能的好坏直接影响IP网网络规模、网络稳定性以及网络可扩展性。

由于IETF没有对路由器性能测试做出专门规定，一般来说只能按照RFC2544(Benchmarking Methodology forNetwork Interconnect Devices)做测试。

但路由器区别于一般简单的网络互连设备，在性能测试时还应该加上路由器特有的性能测试。

特洛伊木马

的建立
• 木马通道与远程控制
– 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作
控制端控制端程序 1096 6267 服务端木马程序窃取密码文件操作修改注册表系统操作
32
网页挂马技术（二）
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址木马端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址控制端端口 State ESTABLISHED LISTENING 连接状态： ①连接已建立 ②等待连接
33
网页挂马技术（三）
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中

木马病毒是什么怎么手工清除木马病毒

木马病毒是什么怎么手工清除木马病毒电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

木马病毒(木马程序)是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

下面一起看看清除方法!手工清除木马病毒具体方法如下：提示：以下修改注册表等相关操作具备风险，请慎重操作。

1.清除每次开机时自动弹出的网页其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器(方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器)，分别定位到：HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。

这样在下一次开机的时候就不再会有网页弹出来了。

不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。

遇到这种情况，你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”，在“查找”对话框内输入开机时自动打开的网址，然后点击“查找下一个”，将查找到的值项删除。

2.IE标题栏被修改具体说来受到更改的注册表项目为：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/Window TitleHKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title解决办法：①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键;②展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等个人喜欢的名字;③同理，展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然后按②中所述方法处理。

常用工具软件之天网防火墙和木马入侵与清除技术

木马程序的免杀技术
1 2 3 4 木马的脱壳与加壳的免杀加花指令免杀木马修改特征代码免杀木马修改入口点免杀木马
木马的脱壳与加壳的免杀
1．使用ASPack进行加壳 2．使用“北斗压缩”对木马服务端进行多次加壳 3．使用PE-Scan检测木马是否加过壳 4．使用ASPackdie进行脱壳
使用“北斗压缩”对木马服务端进行多次加壳
使用“北斗压缩”对木马服务端进行多次加壳
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下：步骤3：在其中勾选相应参数前面的复选框后，选择“文件压缩”选项卡，单击【打开】按钮，即可打开【选择一个文件】对话框，如图7-73所示。步骤4：在其中选择一个可执行文件后，单击【打开】按钮，即可开始进行压缩，如图7-74所示。经过“北斗程序压缩”加壳的木马程序，可以使用ASPack等加壳工具进行再次加壳，这样就有了两层壳的保护。
伪装成网页
制作网页木马的具体操作步骤如下：步骤4：单击【生成木马】按钮，即可看到【木马已生成成功】提示框，如图7-12所示。单击【确定】按钮，即可成功成功生成网页木马。步骤5：在“动鲨网页木马生成器”目录的“动鲨网页木马”文件夹中将生成 bbs003302.css、bbs003302.gif及index.htm等3个网页木马，其中index.htm是网站的首页文件，而另外两个是条件文件，如图7-13所示。步骤6：将生成的三个木马上传到设置存在木马的Web文件夹中，当浏览者一旦打开这个网页，浏览器就会自动在后台下载指定的木马程序并开始运行了。
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下：步骤1：先用常见的加壳工具ASPack给某个木马服务端进行加壳，再运行“北斗程序压缩”软件，即可打开【北斗程序压缩】主窗口，如图7-71所示。步骤2：选择【配置选项】选项卡，在其中有几个比较重要的参数（处理共享节、最大程度压缩、使用Windows dll加载器等），如图7-72所示。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

本章结束,谢谢观赏
木马程序的免杀技术
1 2 3 木马的脱壳与加壳的免杀加花指令免杀木马修改特征代码免杀木马修改入口点免杀木马
木马的脱壳与加壳的免杀
1．使用ASPack进行加壳 2．使用“北斗压缩”对木马服务端进行多次加壳 3．使用PE-Scan检测木马是否加过壳 4．使用ASPackdie进行脱壳
使用“北斗压缩”对木马服务端进行多次加壳使用“北斗压缩”
用网络精灵NetSpy实现远程监控用网络精灵NetSpy实现远程监控 NetSpy
具体的操作方法如下：步骤6：在“网络精灵”客户端的窗口中展开并右击C：\Windows\SYSTEM文件夹之后，在弹出菜单中选择“上传文件”选项，即可打开【打开】对话框，在其中选择本地文件zip.dll，如图7-34所示。步骤7：单击【打开】按钮，即可将zip.dll文件上传到受控主机上。在“网络精灵” 客户端中选择【文件】→【执行】菜单项，即可打开【执行命令】对话框，在其中对受控主机进行操作，如图7-35所示。
使用“北斗压缩”对木马服务端进行多次加壳使用“北斗压缩”
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下：步骤3：在其中勾选相应参数前面的复选框后，选择“文件压缩”选项卡，单击【打开】按钮，即可打开【选择一个文件】对话框，如图7-73所示。步骤4：在其中选择一个可执行文件后，单击【打开】按钮，即可开始进行压缩，如图7-74所示。经过“北斗程序压缩”加壳的木马程序，可以使用ASPack等加壳工具进行再次加壳，这样就有了两层壳的保护。
捆绑木马和反弹端口木马
1 2 3 4 5 使用WinRAR捆绑木马用网络精灵NetSpy实现远程监控使用“网络公牛”木马攻击使用“广外女生”木马攻击反弹端口木马：网络神偷
用网络精灵NetSpy实现远程监控用网络精灵NetSpy实现远程监控 NetSpy
具体的操作方法如下：步骤 1：下载并运行“网络精灵”客户端程序，即可打开其主窗口，如图7-30所示。步骤 2：选择【计算机】→【添加】菜单项，即可打开【添加计算机】对话框，在其中输入目标计算机的名称、IP地址、密码并使其他属性保持默认状态，如图7-31 所示。步骤3：单击【确认】按钮，客户端程序即可与目标主机上的服务器端程序进行连接。如果连接成功，则会在客户端窗口中显示目标主机的硬盘分区信息。
用网络精灵NetSpy实现远程监控用网络精灵NetSpy实现远程监控 NetSpy
具体的操作方法如下：步骤4：在“网络精灵”客户端窗口中单击工具栏上的相应按钮，即可对目标主机进行各种操作。单击【消息】按钮，即可打开【发送消息-aaddmm】对话框，在其中可编辑向远程受控主机发送的消息，如图7-32所示。单击【确定】按钮，即可把该消息发送给目标主机。步骤5：单击【关机】按钮，即可打开【关闭系统】对话框，在其中可以选择对目标计算机系统进行关机、重启等操作，如图7-33所示。另外，选中“网络精灵”客户端窗口中的目标主机之后，选择【查看】→【刷新】菜单项，即可在下面区域中显示目标主机的硬盘分区情况。
伪装成网页
制作网页木马的具体操作步骤如下：步骤4：单击【生成木马】按钮，即可看到【木马已生成成功】提示框，如图7-12所示。单击【确定】按钮，即可成功成功生成网页木马。步骤5：在“动鲨网页木马生成器”目录的“动鲨网页木马”文件夹中将生成 bbs003302.css、bbs003302.gif及index.htm等3个网页木马，其中index.htm是网站的首页文件，而另外两个是条件文件，如图7-13所示。步骤6：将生成的三个木马上传到设置存在木马的Web文件夹中，当浏览者一旦打开这个网页，浏览器就会自动在后台下载指定的木马程序并开始运行了。
黑客攻防实战从入门到精通（第2版）
木马入侵与清除技术
♂木马的伪装 ♂捆绑木马和反弹端口木马 ♂木马程序的免杀技术 ♂木马清除软件的使用
木马的伪装
1 2 3 4 伪装成可执行文件伪装成网页伪装图片木马伪装成电子书木马
伪装成网页
制作网页木马的具体操作步骤如下：步骤1：运行“动鲨最新网页木马生成器”主程序后，即可打开如图7-9所示对话框。步骤2：单击“请选择要运行的EXE文件”文本框右侧【浏览】按钮，即可打开【打开】对话框，如图7-10所示。步骤3：在其中选择刚才准备的木马文件muma.exe，单击【打开】按钮，即可返回到【动鲨最新网页木马生成器】对话框。在“输入存放木马的WEB文件夹路径”文本框中输入相应的网址，如/，如图7-11所示。
使用“木马克星” 使用“木马克星”清除木马
使用“木马克星”清除木马的具体操作步骤如下：步骤2：单击按钮，即可打开【浏览文件夹】对话框，在其中选择要扫描的硬盘，如图7-139所示。单击【扫描】按钮，即可开始扫描当前计算机是否有木马程序存在，如图7-140所示。
使用“木马克星” 使用“木马克星”清除木马
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下：步骤1：先用常见的加壳工具ASPack给某个木马服务端进行加壳，再运行“北斗程序压缩”软件，即可打开【北斗程序压缩】主窗口，如图7-71所示。步骤2：选择【配置选项】选项卡，在其中有几个比较重要的参数（处理共享节、最大程度压缩、使用Windows dll加载器等），如图7-72所示。
点拨1 点拨1：使用文件捆绑器生成一个扩展名为.jpg的文件，为什么该文件却无法打开？解答：解答：尽管捆绑器可以捆绑txt、jpg等多种格式的文件，但捆绑器只能生成一种格式的文件，即.exe文件。如果让捆绑器生成除.exe文件以外格式的文件，当然是打不开的。点拨2 点拨2：在使用网络神偷时，如何卸载已经运行的程序？解答：解答：由于本软件原理与其他同类软件不同，其被控端只有生成它的主控端才能访问，其他用户是不可能访问的。如果主控端设置有误，则生成的被控端谁也不能访问。因此，用户可在上网之后，看看在主控端的“被控端列表”里能否看到自己，如果能，则可以与自己连接上，再用工具栏中的【卸载被控端程序】选项，就可以彻底清除。如果不能，则可再次生成并运行新的配置正确的被控端，把原被控端覆盖掉之后再用上述方法卸载。当然，也可使用手工卸载实现这一功能，即先删除注册表启动项(HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run)中的键值并重启系统之后，再删除系统文件夹（C:\Windows\System）中的服务端程序即可。
木马清除软件的使用
1 2 3 4 5 用木马清除专家清除木马使用Trojan Remover清除木马用木马清道夫清除木马使用“木马克星”清除木马在“Windows进程管理器”中管理进程
使用“木马克星” 使用“木马克星”清除木马
使用“木马克星”清除木马的具体操作步骤如下：步骤1：下载并安装木马克星软件，双击桌面上“木马克星”快捷图标，即可打开【木马克星】窗口，如图7-137所示。单击【扫描硬盘】按钮，即可进入“扫描硬盘 ”设置界面，如图7-138所示。
使用“北斗压缩”对木马服务端进行多次加壳使用“北斗压缩”
使用“北斗程序压缩”给木马服务端进行多次加壳的具体操作步骤如下：步骤5：当有大量的木马程序需要进行压缩加壳时，可以使用“北斗程序压缩”的“ 目录”压缩功能。选择【目录压缩】选项卡，单击【打开】按钮，即可打开【浏览文件夹】对话框，如图7-75所示。步骤6：在选择一个文件夹之后，单击【确定】按钮返回到【目录压缩】选项卡，即可看到添加的文件以及其子目录，如图7-76所示。步骤7：在其中勾选“包含子目录”复选框和“使用格式过滤器”复选框后，单击【压缩】按钮，即可完成对选中的程序的批量压缩加壳。
使用“木马克星”清除木马的具体操作步骤如下：步骤3：在检测完成之后，如果发现了木马的服务端程序，则会给出提示信息，如图 7-141所示。单击【是】按钮，即可删除相应的木马服务端程序。选择【查看】→ 【生成hijackthis日志】菜单项，即可查看本次扫描的记录，如图7-142所示。
专家课堂（常见问题与解答）专家课堂（常见问题与解答）