巧用技巧揪出图片背后的木马病毒

网络时代安全问题相当重要，木马却威胁我们的计算机。

不要以为我们安装了反病毒软件后就可以高枕无忧了。

网上仍有很多木马程序，它们仍会危及我们的系统安全。

今天给大家介绍其款优秀的反木马软件，帮你远离木马的袭击。

小知识：什么是木马程序？与病毒和恶意代码不同的是，木马程序（Trojan horses）隐蔽性很强，你根本不知道它们在运行。

但是它们产生的危害并不亚于病毒。

一旦你的机器中了木马，则网上有人可以通过它来获取你的密码和一些资料。

甚至一些高级的黑客可以远程控制你的电脑。

一般的木马检测和清除程序可以很容易地检测出你机器里的木马，而且由于木马程序每天都会出现新的种类，所以一般的木马程序都会提供即时在线更新服务，以便让它能够即时检测出系统中的木马。

一般的木马保存在注册表中或者会开放我们机器上的一些端口，木马查杀软件会自动清除检测并查杀。

1.Trojan DefenseAnti-Trojan 5.5是一款扫描我们TCP/IP端口，文件和注册表的木马查杀工具。

端口检测功能会检查出我们机器上的可疑开放端口，以防止被黑客攻击。

进程查看工具则可以列出Windows中当前所有的进程，从中可以断定哪一个是可疑的木马。

而注册表检查功能使用起来速度非常快，从中可以检测出哪些自启动的程序。

Anti-Trojan可以免费上网升级，而且有10种语言版本。

2.Antiy Ghostbusters Pro 5.05Antiy Ghostbusters Pro 5.05 有一个朴素但却非常有个性的界面。

它会列出我们机器里所有运行的程序和进程，我们甚至可以通过它来管理我们的自启动程序、进程甚至是某些服务。

Ghostbusters会有一个窗口，显示远程连接端口情况和IP地址，当然，Ghostbusters也可以扫描和清除系统中的木马程序。

3.Digital Patrol 5.00.31Digital Patrol是一款非常成熟的木马查杀程序，它能够扫描内存、硬盘、文件夹和文件（包括包含在ZIP压缩包中的文件），并能够清除其中的木马程序。

四招快速清除系统中的木马病毒黑客入侵后要做的事就是上传木马后门，为了能够让上传的木马不被发觉，他们会想尽种.种方法对其进行伪装。

而作为被害者，我们又该如何识破伪装，将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中，始终是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码肯定会表现出肯定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来推断的。

程序运行后，我们只要单击“扫瞄”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，假如有两个或更多的可执行文件头部，那么说明此文件肯定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必需请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。

因此清除的步骤也相对简单一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成详细的项目，对此我们假如发觉自己系统消失特别时，则需要推断是否中了DLL木马。

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看全部DLL模块，这时假如发觉有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。

对于一些比较顽固的进程，我们还将其中，单击“强行解除”按钮，然后再通过“模块文件名”栏中的地址，直接到其文件夹中将其删除。

手工查杀木马病毒的一般详细步骤其实，在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件;另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的，你知道，高手们往往是不会去选择做傻事的，因为他们知道应该在这些傻事中学到些什么,而对于我们普通菜鸟用户来说，怎么办呢,总不能坐以待毙吧～作为高手是不能容忍的，因此，手工查杀就从中起了重要作用。

那么我们应该怎么办呢,我们应该从中学到些什么呢,首先，当我们感到机器变得比以前慢很多，或者鼠标有时会不自主的乱抖动，这时我们就应该考虑是不是病毒或木马在作怪了。

这时，我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。

不过这也没关系，我们都是从不懂到懂得的一个过程，没什么指得可笑的。

如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。

如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。

我们只有将它们赶尽杀绝了!!!下一步，我们就要毫不留情的在任务管理器中先结束其进程了。

右击它选择“结束进程”，“确定”即可。

如果中的病毒或木马很强的话，我们就要采取强制的方式结束它了。

具体方法:首先“开始——运行”，输入CMD，打开命令提示符。

输入“Tasklist”后就会看到我们各个程序的进程列表了，其中有一列叫PID(进程标识符)的，这对我们强制关闭某个进程时有用到。

十大常见木马及其查杀方法经过媒体的大量宣传，大家对木马有了一定的认识，但大多数人对木马还是陌生和恐惧的感觉。

其实，木马没有什么可神秘的，只要你能掌握以下国内最流行十大木马查杀，那么对付其它木马程序就很容易了——你会骄傲的说：木马查杀？Easy！名词解释木马其实质只是一个网络客户/服务程序。

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

就我们下面所讲木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

控制端对服务端进行远程控制的一方服务端被控制端远程控制的一方控制端程序控制端用以远程控制服务端的程序木马程序潜入服务端内部，获取其操作权限的程序木马端口即控制端和服务端之间的数据入口，通过这个入口，数据可直达控制端程序或木马程序十大常见木马及其查杀方法冰河冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

电脑木马病毒查杀方法技巧一阶:菜鸟看,中鸟老鸟也可以看1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。

2、对于局域网内部用户,在杀毒之前请断掉网络。

3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。

因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。

(对于国内的杀毒软件)4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。

因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。

(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。

)5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。

(删除文件时删不了有时也因为此)6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。

如果网络中毒,请联系网络管理员,断网杀毒。

(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个人文件,并在有经验的人的指导下进行。

使用不当,可能造成硬盘数据全部丢失。

(此方法用的较少)中阶:中鸟看——杀毒技巧集锦有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。

这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。

找出隐藏的木马病毒的技巧木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。

有人说，既然木马这么厉害，那我离它远一点不就可以了!然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的!哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。

下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟!1、集成到程序中其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。

而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。

不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat 和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。

当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。

大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了，这个file.exe很可能是木马哦。

手工排查病毒木马小弟总结的手工排查的方法，方法如下：很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。

虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。

不同的种类的病毒，其前缀也是不同的。

比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。

一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

如果该病毒变种非常多（也表明该病毒生命力顽强^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。

通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。

而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。

病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。