近来盗号猖獗，本人从网上摘录了两篇文章，希望对大家有所帮助，由浅到深哈，呵呵~好些知识我也弄不明白。

　　小知识：

　　“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

　　第一篇摘自[人民公社-芬里斯]公会论坛

　　先说下关于一些防止盗号的小技巧！

　　盗号木马的工作原理分别是键盘记录，钩子，和内存截取！首先说下破解键盘记录的方法，注意这里说的是键盘记录所以他并不可以记录鼠标那么我们可以这样，例如我们的密码是１２３４！我们可以先输入３４然后，用鼠标把光标移到３的前面（记住一定要用鼠标）然后在输入１２！这样如果被盗的话盗号者所收到的密码就是３４１２！这里就又说到关于密码设置的安全性了！一般密码最好是一段儿无序的数字和英文组合最好是混合型的！用这样的输入方式输入后不容易被猜解！但是这个方法碰到利用钩子或者是内存截取的木马就不起任何作用了！那么我们该怎么办呢！？着就充分体现了我们中国人民的智慧呀！例如我们的密码是１２３４那么我们可以再给１２３４的后面加一个空格！这样我们的密码就成了１２３４了！那么即便是被盗号了！这个空格也是不容易被发现的！当然多加几个空格也不是不可以！呵呵～，但是，着同样就会出现一个问题，就是很多游戏的密码不能加空格的！这是因为管理员设定的密码只能为字符型不能为符点型，那又该怎么办呢！这个时候我们可以利用一些输入法，输入一些特殊的字符就可以解决掉了！当然还有很多方法的！大家可以自己多思考！

　　(以下技术性的东西,O也不太明白,对电脑了解不多的就不看了吧)

　　现在比较流行的几种盗号的方法!

　　所有的盗号都必须建立在你中的盗号者木马的基础上,然而,时下比较流行的盗号木马有三种,一种是键盘记录程序!他可以记录下你的键盘的操作!!!另外一种就是利用WINDOWS的钩子来盗取帐号!!!所谓WINDOWS的钩子就是你在本地计算机里所存放的帐号密码的一个记事本文件!这个文件会在你登陆游戏的时候计算机自动生成!!!还有就是利用内存截取功能,所谓内存截取顾名思义就是利用在你的内存地址上截取你的密码

　　木马的传播方法

　　木马的传播方法有很多种最低档次的就算是通过QQ来给你发送文件了!!不过由于现在大家的安全意识普遍提高了已经没人用了!!!其次就是比较简单的通过解压缩文件来传播了!!!!具体的操作方法我就不说了,要不被人坏人看到岂不是........呵呵!对把!!!我就说下原理!!!!解压包可以通过设置某些属性达到这样一个目的!!!就是你一但解压此压缩包的话!!!压缩包会自动释放一个木马程序到你的计算机里!!!这个程序你是看不到的!!桌面也没有显示!要是好一点儿的木马连进程也没有!!!这样你就不知不觉的中木马了!!!!木马的传播在高一点儿档次就要算是网业木马了!也是时下最流行但是也是对盗号者技术要求最高的一种!!!!他是先把木马放到一个自己事先弄号的空间里!!!然后你访问这个空间就会自动下载并运行木马程序!!!然后再去入侵一个比较知名的网站把这个空间的地址以网业框架木马的方式嵌入一个正常的网业里!然后你访问这个正常的网业就会自动连接到盗号者存放木马的哪个空间地址!!!下载并运行木马!当然,这一切都是在计算机的后台运行的!!!你是看不到的!!!!当然再高级点儿的就是把这个正常的网业地址通过大家最常用的WINDOWSMEDIAPLAYER或者是REALPLAYER这些播放工具的部分功能插入到一个时下比较流行的电影当中!!!!这就是为什么大家经常在看一些在网上下载的电影的时候IE浏览器会自动弹出一些网业的原因了

　　怎么样防止中这些木马

　　首先说下该怎么防止上面说到解压缩程序!!!首先我们下载软件可以去那些比较大点儿的网站!!!!比如说象华军软件园我记得当时人家给我说的时候是这样说的:"只有你想不到的软件,没有你找不到的软件"哈哈!!!还有就是下载回来后解压时不要解压整个压缩包!只解压你所需要的哪个文件!!!!至于网页木马的防范目前唯一的办法就是,不要上那些没有名气的小站!!!特别是那些个什么手机注册激情电影之类的!因为那些网站的安全性都不好!而且内容很吸引人所以会遭到大部分盗号者的青睐!!!还有就是在你网速比较稳定的情况下你去登陆一个网站确发现打开网业的速度很满!而且你的机器很卡!!那就应该怀疑是不是网业上有木马!这个时候就应该及时的退出了!!!下来就是尽量不要去用POCO看那些个激情段子!当然,并不是说只是不能上这些个网站!!!其实很多网站都不能上的!!比如说象一些个以ASP结尾的还有以JSP结尾的还有有BBS二级目录的(所谓的BBS二级目录就是例如www.xxxxxx.com/bbs/yyy其中的/yyy就属于ＢＢＳ的二级目录！这个个网站都是容易出现些漏洞的！！特别是那些个政府和校园的网站着好象是国内的一个通病！！所有的政府，学校的网站的安全性都是很底的！

　　下来最重要的一点是很多人犯的一个错误!!!就是对所谓的杀毒软件给予过高的希望!!!记得前几天去电脑城逛游!!发现瑞星在那里打的有一个广告!!是这么说的：＂瑞星杀毒软件,您电脑的防盗门＂当时直接把我笑翻了~~不要说是他瑞星，就是号称世界上最强悍的杀毒软件卡巴斯基也只不过是个装饰罢了！！！现在一般能上站的木马都是做过免杀的！！所谓免杀就是不被查杀的意思！！这里就简单说下杀毒软件杀毒的原理哈．每个病毒都有一段核心的代码这个代码被称之为特征码．就和每个人的名字一样．杀毒软件的工作原理就是通过辨认这些特征码从而达到查杀的目的！那么找到问题的关键了就好解决了，一般的手法是通过给特征码加密或者修改来实现的免杀！就相当于一个人换了名字！然后这个名字没有登记到户口本上！大家都知道他叫这个名字但是你上网却查不到了是一个道理！木马程序一旦做过免杀那么我们的杀毒软件就形同虚设了！！不过有总比没有好！有了杀毒软件还是可以防止住一些病毒的！！

　　万一要是不小心中了木马该怎么办呢？

　　首先我们用杀毒软件查杀这里就牵扯到杀毒软件的综合利用问题了！！其实，我们一般可以给机器上安装多种杀毒软件，因为各种杀毒软件所擅长查杀的病毒的种类是不一样的！比如瑞星就比较擅长查杀木马病毒！而卡巴就比较擅长查杀蠕虫等！但是，着两个杀毒软件有时候回出现冲突！可以理解哈！竞争对手吗！！呵呵！但是不是这样你的计算机就安全了！这个时候还可以考虑用一些专杀工具！比如说象瑞星的灰鸽子专杀！蠕虫专杀等等！等着一切都完了以后，实际上你的机器离安全还有很远的！因为我刚才说了现在能上站的病毒都是做过免杀的！那些能被查杀的也都是一些老毒了！即便是中了也对你造成不了多大的威胁！就是占点儿内存罢了！然而，真正可以造成威胁的就是还没有查到的那些个病毒！说明刚上站不久！病毒的主人也正在使用这个病毒！那么这个时候我们就应该采取一些特殊的办法了！就是利用手工来杀干掉他们！

　　下面我来简单的讲一下手工杀毒的一些基本的方法！！

　　首先我们先来了解一下木马在我们的机器上运行了以后我们的机器会有些什么样的变化！！木马在机器上运行以后，一般情况下会有一个进程这个我们可以按下Ctry+alt+del来调出任务管理器！点击进程来查看！这个就需要各位熟悉你的机器上所有运行的软件和系统进程的进程名称！这个我不太好说因为大家都用不一样的软件进程当然是不一样的！一旦发现有陌生的进程就值得我们怀疑了！那么发现可疑的进程后我们该怎么办呢！？好！这里我象大家推荐一款工具，PrcView进程查看器这款工具最大的好处是不但可以查看到计算机当前所开放的所有进程，更重要的是他可以查看到使用这个进程的文件所在的文件甲！这样我们就可以去看看是不是机器上的正常的文件的进程还是一个陌生的文件的进程！！要是发现是木马不要犹豫，马上干掉他！

　　还有就是查看计算机所开放的端口，这里说下查看端口的命令！如果你是ＸＰ+ＳＰ２的操作系统，在ＣＭＤ下输入netstat-an！就可以看到拉！当然，还有其他的命令，着个可以查看ＷＩＮＤＯＷＳ的帮助！！这个同样要大家熟悉你的计算机所开放的端口了！和各个端口所开放的服务了！一旦发现开放有可疑的端口立刻将他关掉！关与着一块儿我不想多说！因为有前辈已经总结过了！

　　好了，到这里关于木马的查杀就基本上说完了！后面关于手工查杀病毒的部分可能会有点儿难度，但是只要大家平时多注意观察还是可以做到的！

　　第二篇木马病毒的工作原理和防范

　　摘自动网先峰

　　木马病毒的工作原理

　　由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

　　当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，:)，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY－LOCAL－MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY－USERS＊＊＊＊SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可.

　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马‘文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

　　本人四川－将进酒－零零柒

　　有些乱,希望见谅