木馬的工具檢測方法

Ⅰ 兩種手動查木馬的方法

自己動手檢查：

木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。

RFC1244(Request for Comments:1244)中是這樣描述木馬的：「木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。」隨著互聯網的迅速發展，木馬的攻擊、危害性越來越大。木馬實質上是一個程序，必須運行後才能工作，所以會在進程表、注冊表中留下蛛絲馬跡，我們可以通過「查、堵、殺」將它「緝拿歸案」。

查

1.檢查系統進程

大部分木馬運行後會顯示在進程管理器中，所以對系統進程列表進行分析和過濾，可以發現可疑程序。特別是利用與正常進程的CPU資源佔用率和句柄數的比較，發現異常現象。

2.檢查注冊表、ini文件和服務

木馬為了能夠在開機後自動運行，往往在注冊表如下選項中添加註冊表項：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木馬亦可在Win.ini和System.ini的「run=」、「load=」、「shell=」後面載入，如果在這些選項後面載入程序是你不認識的，就有可能是木馬。木馬最慣用的伎倆就是把「Explorer」變成自己的程序名，只需稍稍改「Explorer」的字母「l」改為數字「1」，或者把其中的「o」改為數字「0」，這些改變如果不仔細觀察是很難被發現。

在Windwos NT/2000中，木馬會將自己作為服務添加到系統中，甚至隨機替換系統沒有啟動的服務程序來實現自動載入，檢測時要對操作系統的常規服務有所了解。

3.檢查開放埠

遠程式控制制型木馬以及輸出Shell型的木馬，大都會在系統中監聽某個埠，接收從控制端發來的命令，並執行。通過檢查系統上開啟的一些「奇怪」的埠，從而發現木馬的蹤跡。在命令行中輸入Netstat na，可以清楚地看到系統打開的埠和連接。也可從www.foundstone.com下載Fport軟體，運行該軟體後，可以知道打開埠的進程名，進程號和程序的路徑，這樣為查找「木馬」提供了方便之門。

4.監視網路通訊

對於一些利用ICMP數據通訊的木馬，被控端沒有打開任何監聽埠，無需反向連接，不會建立連接，採用第三種方法檢查開放埠的方法就行不通。可以關閉所有網路行為的進程，然後打開Sniffer軟體進行監聽，如此時仍有大量的數據，則基本可以確定後台正運行著木馬。

堵

1.堵住控制通路

如果你的網路連接處於禁用狀態後或取消撥號連接，反復啟動、打開窗口等不正常現象消失，那麼可以判斷你的電腦中了木馬。通過禁用網路連接或拔掉網線，就可以完全避免遠端計算機通過網路對你的控制。當然，亦可以通過防火牆關閉或過濾UDP、TCP、ICMP埠。

2.殺掉可疑進程

如通過Pslist查看可疑進程，用Pskill殺掉可疑進程後，如果計算機正常，說明這個可疑進程通過網路被遠端控制，從而使計算機不正常。

殺

1.手工刪除

對於一些可疑文件，不能立即刪除，有可能由於誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件裡面的明文字元對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟體對可疑文件進行靜態分析，查看文件的導入函數列表和數據段部分，初步了解程序的主要功能。最後，刪除木馬文件及注冊表中的鍵值。

2.軟體殺毒

由於木馬編寫技術的不斷進步，很多木馬有了自我保護機制。普通用戶最好通過專業的殺毒軟體如瑞星、金山毒霸等軟體進行殺毒，對於殺毒軟體，一定要及時更新，並通過病毒公告及時了解新木馬的預防和查殺絕技，或者通過下載專用的殺毒軟體進行殺毒(如近期的沖擊波病毒各大公司都開發了查殺工具)。

Ⅱ 如何判斷手機是否有木馬

可以通過安裝安全軟體來排查手機是否中了木馬病毒。

一般來說，手機木馬是否存在於你的周圍，源於你平時對於網路安全的重視和警惕。

1.木馬病毒具有一定的隱蔽性，因此一般來說需要使用殺毒軟體或者手機自帶的安全中心進行掃描。

2.任何一款殺毒軟體都會因為查殺引擎，病毒庫樣本數量影響對未知病毒的判斷，因此掃描結果只是相對的。

3.日常上網遇到陌生鏈接不要隨便點擊，下載app盡可能前往官網。

4.手機許可權不要隨便提供給軟體，例如imei，gps定位，這些可能會影響到使用的隱私安全，特別是root，root許可權相當於手機令牌，軟體一旦惡意使用，手機會變得非常危險。

木馬防範

1、檢測和尋找木馬隱藏的位置

木馬侵入系統後，需要找一個安全的地方選擇適當時機進行攻擊，了解和掌握木馬藏匿位置，才能最終清除木馬。木馬經常會集成到程序中、藏匿在系統中、偽裝成普通文件或者添加到計算機操作系統中的注冊表中，還有嵌入在啟動文件中，一旦計算機啟動，這些木馬程序也將運行。

2、防範埠

檢查計算機用到什麼樣的埠，正常運用的是哪些埠，而哪些埠不是正常開啟的；了解計算機埠狀態，哪些埠目前是連接的，特別注意這種開放是否是正常；查看當前的數據交換情況，重點注意哪些數據交換比較頻繁的，是否屬於正常數據交換。關閉一些不必要的埠。

3、刪除可疑程序

對於非系統的程序，如果不是必要的，完全可以刪除，如果不能確定，可以利用一些查殺工具進行檢測。

4、安裝防火牆

防火牆在計算機系統中起著不可替代的作用，它保障計算機的數據流通，保護著計算機的安全通道，對數據進行管控可以根據用戶需要自定義，防止不必要的數據流通。安裝防火牆有助於對計算機病毒木馬程序的防範與攔截。

5、相關部門加強整治木馬產業鏈，完善相應的法律法規

現階段，我國存在著一些專業的服務集團，這些集團的存在可以組成一條比較完善的木馬產業鏈。相對於社會安全法律，針對計算機安全的企管科，也應該受到有關部門和主體的重視與管理，需要建立對應的健全的法律措施。

在2017年，我國計算機受到惡意感染的數量減少了百分之二十六，移動互聯網惡意程序的數量也逐漸呈現出一種下降的趨勢。正是由於《網路安全法》的實施，在一定程度上抑制了惡意程序的擾民問題，該法律法規的頒布，從網路的角度來看，強化了一些基礎性網路設施的建設。

因此，互聯網環境下，必須依靠全產業鏈的合作，強化每一條生產線上的管理工作，讓《網路安全法》能夠發揮出它應有的價值。

6、健全網站和網路游戲的管理

網站和網路游戲開發商要加大對於網站和網路游戲的管理與監督，爭取從源頭上就阻止木馬病毒，讓它沒有擴散的機會，這是防範網頁病毒和網路游戲的主要方式之一。

另外，網路環境的和設備的日常維護、維修、管理工作都要加強，內容包括網站的伺服器每日檢查，伺服器內的數據和資料進行更新，操作、行為日誌的核查等工作過，還需要對伺服器的網路配置、安全配置等情況進行嚴格的檢查等。

7、增加網民的防範意識

我國計算機用戶正在快速的增長，部分用戶對於自身信息的保護意識不強，大部分用戶的計算機上都沒有安裝一些殺毒軟體，或者是設置防火牆。

他們應該深刻的意識到反病毒是一項長期且系統性的工作，主動了解這方面的相關知識，提高對於木馬病毒的防範措施。針對網站中攜帶的病毒問題，用戶還可以利用防火牆在木馬盜取用戶賬號、隱私之前，就將其攔截並殲滅。

Ⅲ 如何用最簡單的方法檢查計算機是否中了木馬病毒

嚴格來講，木馬和病毒是兩種概念。木馬是一種載體，最終的目的是把宿主程序（一般是後門程序和病毒程序）植入目標計算機。
所以你的問題的答案應該是這樣的：
對於木馬程序，首先應該查看系統進程（使用windows2000/xp的任務管理器或者第三方軟體）中有沒有異常活動的進程，如果有，仔細檢查該進程的來源。
再用工具查看windows的啟動項，用winxp下的msconfig或者其他工具都可以。一般木馬的入口都在這里，把可疑的啟動項禁止，再次啟動以確認。
使用netstat程序或者其他工具查看本機的埠開放情況，對於無法確認的開放埠，察看其監聽程序是否為合法軟體。
最後，可以用專用工具來查殺，比如木馬防線，木馬剋星等工具，防病毒軟體在這方面的功能比較弱，但也有一定的功效。

Ⅳ 如何手動查殺木馬

雖然沒有絕對的安全，但如果能知已知彼，了解木馬的隱藏手段，對於木馬即使不能百戰百勝，也能做到及時發現，使損失最小化。那麼，木馬究竟是如何躲在我們的系統中的呢？ 最基本的隱藏: 不可見窗體＋ 隱藏文件木馬程序無論如何神秘，但歸根究底，仍是Win32平台下的一種程序。Windows下常見的程序有兩種:1.Win32應用程序(Win32 Application)，比如QQ、Office等都屬於此行列。2.Win32控制台程序(Win32 Console)，比如硬碟引導修復程序FixMBR。其中，Win32應用程序通常會有應用程序界面，比如系統中自帶的「計算器」就有提供各種數字按鈕的應用程序界面。木馬雖然屬於Win32應用程序，但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況，如木馬使用者與被害者聊天的窗口)，並且將木馬文件屬性設置為「隱藏」，這就是最基本的隱藏手段，稍有經驗的用戶只需打開「任務管理器」，並且將「文件夾選項」中的「顯示所有文件」勾選即可輕松找出木馬，於是便出現了下面要介紹的「進程隱藏」技術。第一代進程隱藏技術:Windows 98的後門在Windows 98中，微軟提供了一種能將進程注冊為服務進程的方法。盡管微軟沒有公開提供這種方法的技術實現細節(因為Windows的後續版本中沒有提供這個機制)，但仍有高手發現了這個秘密，這種技術稱為RegisterServiceProcess。只要利用此方法，任何程序的進程都能將自己注冊為服務進程，而服務進程在Windows 98中的任務管理器中恰巧又是不顯示的，所以便被木馬程序鑽了空子。要對付這種隱藏的木馬還算簡單，只需使用其他第三方進程管理工具即可找到其所在，並且採用此技術進行隱藏的木馬在Windows 2000/XP(因為不支持這種隱藏方法)中就得現形！中止該進程後將木馬文件刪除即可。可是接下來的第二代進程隱藏技術，就沒有這么簡單對付了。第二代進程隱藏技術:進程插入在Windows中，每個進程都有自己的私有內存地址空間，當使用指針(一種訪問內存的機制)訪問內存時，一個進程無法訪問另一個進程的內存地址空間，就好比在未經鄰居同意的情況下，你無法進入鄰居家吃飯一樣。比如QQ在內存中存放了一張圖片的數據，而MSN則無法通過直接讀取內存的方式來獲得該圖片的數據。這樣做同時也保證了程序的穩定性，如果你的進程存在一個錯誤，改寫了一個隨機地址上的內存，這個錯誤不會影響另一個進程使用的內存。你知道嗎——進程(Process)是什麼 對應用程序來說，進程就像一個大容器。在應用程序被運行後，就相當於將應用程序裝進容器里了，你可以往容器里加其他東西(如:應用程序在運行時所需的變數數據、需要引用的DLL文件等)，當應用程序被運行兩次時，容器里的東西並不會被倒掉，系統會找一個新的進程容器來容納它。一個進程可以包含若干線程(Thread)，線程可以幫助應用程序同時做幾件事(比如一個線程向磁碟寫入文件，另一個則接收用戶的按鍵操作並及時做出反應，互相不幹擾)，在程序被運行後中，系統首先要做的就是為該程序進程建立一個默認線程，然後程序可以根據需要自行添加或刪除相關的線程。1.進程插入是什麼獨立的地址空間對於編程人員和用戶來說都是非常有利的。對於編程人員來說，系統更容易捕獲隨意的內存讀取和寫入操作。對於用戶來說，操作系統將變得更加健壯，因為一個應用程序無法破壞另一個進程或操作系統的運行。當然，操作系統的這個健壯特性是要付出代價的，因為要編寫能夠與其他進程進行通信，或者能夠對其他進程進行操作的應用程序將要困難得多。但仍有很多種方法可以打破進程的界限，訪問另一個進程的地址空間，那就是「進程插入」(Process Injection)。一旦木馬的DLL插入了另一個進程的地址空間後，就可以對另一個進程為所欲為，比如下文要介紹的盜QQ密碼。2.木馬是如何盜走QQ密碼的普通情況下，一個應用程序所接收的鍵盤、滑鼠操作，別的應用程序是無權「過問」的。可盜號木馬是怎麼偷偷記錄下我的密碼的呢？木馬首先將1個DLL文件插入到QQ的進程中並成為QQ進程中的一個線程，這樣該木馬DLL就赫然成為了QQ的一部分！然後在用戶輸入密碼時，因為此時木馬DLL已經進入QQ進程內部，所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了，真是「家賊難防」啊！3.如何插入進程(1)使用注冊表插入DLL早期的進程插入式木馬的伎倆，通過修改注冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入進程的目的。缺點是不實時，修改注冊表後需要重新啟動才能完成進程插入。(2)使用掛鉤(Hook)插入DLL比較高級和隱蔽的方式，通過系統的掛鉤機制(即「Hook」，類似於DOS時代的「中斷」)來插入進程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進程中「偷雞摸狗」)，需要調用SetWindowsHookEx函數(也是一個Win32 API函數)。缺點是技術門檻較高，程序調試困難，這種木馬的製作者必須具有相當的Win32編程水平。你知道嗎——什麼是API Windows中提供各種功能實現的介面稱為Win32 API(Application Programming Interface，即「應用程序編程介面」)，如一些程序需要對磁碟上的文件進行讀寫，就要先通過對相應的API(文件讀寫就要調用文件相關的API)發出調用請求，然後API根據程序在調用其函數時提供的參數(如讀寫文件就需要同時給出需要讀寫的文件的文件名及路徑)來完成請求實現的功能，最後將調用結果(如寫入文件成功，或讀取文件失敗等)返回給程序。(3)使用遠程線程函數(CreateRemoteThread)插入DLL在Windows 2000及以上的系統中提供了這個「遠程進程」機制，可以通過一個系統API函數來向另一個進程中創建線程(插入DLL)。缺點很明顯，僅支持Windows 2000及以上系統，在國內仍有相當多用戶在使用Windows 98，所以採用這種進程插入方式的木馬缺乏平台通用性。木馬將自身作為DLL插入別的進程空間後，用查看進程的方式就無法找出木馬的蹤跡了，你能看到的僅僅是一些正常程序的進程，但木馬卻已經偷偷潛入其中了。解決的方法是使用支持「進程模塊查看」的進程管理工具(如「Windows優化大師」提供的進程查看)，木馬的DLL模塊就會現形了。不要相信自己的眼睛:恐怖的進程「蒸發」嚴格地來講，這應該算是第2.5代的進程隱藏技術了，可是它卻比前幾種技術更為可怕得多。這種技術使得木馬不必將自己插入到其他進程中，而可以直接消失！它通過Hook技術對系統中所有程序的進程檢測相關API的調用進行了監控，「任務管理器」之所以能夠顯示出系統中所有的進程，也是因為其調用了EnumProcesses等進程相關的API函數，進程信息都包含在該函數的返回結果中，由發出調用請求的程序接收返回結果並進行處理(如「任務管理器」在接收到結果後就在進程列表中顯示出來)。而木馬由於事先對該API函數進行了Hook，所以在「任務管理器」(或其他調用了列舉進程函數的程序)調用EnumProcesses函數時(此時的API函數充當了「內線」的角色)，木馬便得到了通知，並且在函數將結果(列出所有進程)返回給程序前，就已將自身的進程信息從返回結果中抹去了。就好比你正在看電視節目，卻有人不知不覺中將電視接上了DVD，你在不知不覺中就被欺騙了。所以無論是「任務管理器」還是殺毒軟體，想對這種木馬的進程進行檢測都是徒勞的。這種木馬目前沒有非常有效的查殺手段，只有在其運行前由殺毒軟體檢測到木馬文件並阻止其病毒體的運行。當時還有一種技術是由木馬程序將其自身的進程信息從Windows系統用以記錄進程信息的「進程鏈表」中刪除，這樣進程管理工具就無法從「進程鏈表」中獲得木馬的進程信息了。但由於缺乏平台通用性而且在程序運行時有一些問題，所以沒有被廣泛採用。你知道嗎——什麼是HookHook是Windows中提供的一種用以替換DOS下「中斷」的一種系統機制，中文譯名為「掛鉤」或「鉤子」。在對特定的系統事件(包括上文中的特定API函數的調用事件)進行Hook後，一旦發生已Hook的事件，對該事件進行Hook的程序(如:木馬)就會收到系統的通知，這時程序就能在第一時間對該事件做出響應(木馬程序便搶在函數返回前對結果進行了修改)。毫無蹤跡:全方位立體隱藏利用剛才介紹的Hook隱藏進程的手段，木馬可以輕而易舉地實現文件的隱藏，只需將Hook技術應用在文件相關的API函數上即可，這樣無論是「資源管理器」還是殺毒軟體都無法找出木馬所在了。更令人吃驚的是，現在已經有木馬(如:灰鴿子)利用該技術實現了文件和進程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟體在其運行前進行攔截。跟殺毒軟體對著干:反殺毒軟體外殼木馬再狡猾，可是一旦被殺毒軟體定義了特徵碼，在運行前就被攔截了。要躲過殺毒軟體的追殺，很多木馬就被加了殼，相當於給木馬穿了件衣服，這樣殺毒軟體就認不出來了，但有部分殺毒軟體會嘗試對常用殼進行脫殼，然後再查殺(小樣，別以為穿上件馬夾我就不認識你了)。除了被動的隱藏外，最近還發現了能夠主動和殺毒軟體對著乾的殼，木馬在加了這種殼之後，一旦運行，則外殼先得到程序控制權，由其通過各種手段對系統中安裝的殺毒軟體進行破壞，最後在確認安全(殺毒軟體的保護已被瓦解)後由殼釋放包裹在自己「體內」的木馬體並執行之。對付這種木馬的方法是使用具有脫殼能力的殺毒軟體對系統進行保護。你知道嗎——什麼是殼顧名思義，你可以很輕易地猜到，這是一種包在外面的東西。沒錯，殼能夠將文件(比如EXE)包住，然後在文件被運行時，首先由殼獲得控制權，然後釋放並運行包裹著的文件體。很多殼能對自己包住的文件體進行加密，這樣就可以防止殺毒軟體的查殺。比如原先殺毒軟體定義的該木馬的特徵是「12345」，如果發現某文件中含有這個特徵，就認為該文件是木馬，而帶有加密功能的殼則會對文件體進行加密(如:原先的特徵是「12345」，加密後變成了「54321」，這樣殺毒軟體當然不能靠文件特徵進行檢查了)。脫殼指的就是將文件外邊的殼去除，恢復文件沒有加殼前的狀態
本文來自猴島游戲論壇 ： http://bbs.hou.com/r2818477_u/

Ⅳ 怎麼檢查電腦是否有木馬

一、通過啟動文件檢測木馬

一旦電腦中了木馬，則在電腦開機時一般都會自動載入木馬文件，由於木馬的隱藏性比較強，在啟動後大部分木馬都會更改其原來的文件名；

注意：

參數「-a」的作用是顯示計算機中目前所有處於監聽狀態的埠。

如果出現不明埠處於監聽狀態，而且前又沒有進行任何網路服務的操作，則在監聽該埠的很有可能是木馬。

Ⅵ 木馬的檢測

木馬清道夫
http://www.fjcmw.net/bester/soft/qdf8.81.rar

Ⅶ 怎麼樣檢查木馬

識別木馬有新招，希望這篇文章對你有所幫助。
一、經常看到有玩家說，在輸入自己的帳號的時候通故意輸錯帳號和碼。其實這種木馬是最早期的木馬程序。現在已經很少有編木馬程序的程序員，還按照這種監聽鍵盤記錄的思路去編寫木馬程序。現在的木馬程序已經發展到通過內存提取數據來獲得用戶的帳號和密碼。大家都知道，不管是傳奇還是任何一款程序。它都是有他所特有的數據的（包括玩家的帳號、密碼，等級裝備資料等等）。這些數據都是會通過本機與游戲伺服器取得了驗證以後，玩家的角色資料才會出現在玩家的面前。而這些數據在運行的時候都是存放在計算機的內存裡面的。木馬作者只需要在自己的程序裡面加入條件語句就可以取得玩家真實的游戲帳號、密碼、角色等級~~~~~，以我自己的計算機知識，這種語句的大概意思應該是：當游戲進程進入到讓玩家選擇角色的時候再從內存中提取最後一次的帳號、密碼、角色等級等資料。也就是說，其實玩家之前所做的故意輸錯帳號或密碼完全是浪費自己的表情、浪費自己的時間。
下邊先來說一下木馬是如何通過網頁進入你的電腦的，相信大家都知道，現在有很多圖片木馬，EML和EXE木馬，其中的圖片木馬其實很簡單，就是把木馬exe文件的文件頭換成bmp文件的文件頭，然後欺騙IE瀏覽器自動打開該文件，然後利用網頁里的一段JAVASCRIPT小程序調用DEBUG把臨時文件里的bmp文件還原成木馬exe文件並拷貝到啟動項里，接下來的事情很簡單，你下次啟動電腦的時候就是你噩夢的開始了，EML木馬更是傳播方便，把木馬文件偽裝成audio/x-wav聲音文件，這樣你接收到這封郵件的時候只要瀏覽一下，不需要你點任何連接，windows就會為你代勞自動播放這個他認為是wav的音樂文件，木馬就這樣輕松的進入你的電腦，這種木馬還可以frame到網頁里，只要打開網頁，木馬就會自動運行，另外還有一種方法，就是把木馬exe編譯到.JS文件里，然後在網頁里調用，同樣也可以無聲無息的入侵你的電腦，這只是些簡單的辦法，還有遠程式控制制和共享等等漏洞可以鑽，知道這些，相信你已經對網頁木馬已經有了大概了解，
簡單防治的方法：
開始-設置-控制面版-添加刪除程序-windows安裝程序-把附件里的windows scripting host去掉，然後打開Internet Explorer瀏覽器，點工具-Internet選項-安全-自定義級別，把裡面的腳本的3個選項全部禁用，然後把在中載入程序和文件禁用，當然這只是簡單的防治方法，不過可能影響一些網頁的動態java效果，不過為了安全就犧牲一點啦，這樣還可以預防一些惡意的網頁炸彈和病毒，如果條件允許的話可以加裝防火牆，再到微軟的網站打些補丁，反正我所知道的網吧用的都是原始安裝的windows，很不安全哦，還有盡量少在一些小網站下載一些程序，尤其是一些號稱黑客工具的軟體，小心盜不著別人自己先被盜了，當然，如果你執意要用的話，號被盜了也應該付出這個代價吧。還有，不要以為裝了還原精靈就很安全，據我所知，一般網吧的還原精靈都只還原c:盤即系統區，所以只要木馬直接感染你安裝在別的盤里的游戲執行文件，你照樣逃不掉的。
木馬程序一般分為伺服器端程序和客戶端程序兩個部分，當伺服器端程序安裝在某台連接到網路的電腦後，就能使用客戶端程序對其進行登陸。這和PcAnywhere以及NetMeeting的遠程式控制制功能相似。但不同的是，木馬是非法取得對對方電腦的控制權，一旦登陸成功，就可以取得管理員級的權利，對方電腦上的資料、密碼等是一覽無余。不過這種木馬一般的偽黑客很少使用，因為一不小心就會引火上身，被對方反查過來就會偷雞不成蝕把米了，一般他們都會採用只有伺服器端的小木馬，這類木馬通常會把截取的密碼發到一個免費郵箱里，不需要人為操作，有空去收趟郵件就可以了，這種木馬遍布互連網的各個角落，的確防不勝防，由於木馬程序眾多，加之不斷有新版本、新品種產生，使得軟體無法完全應付，所以手動檢查清除是十分必要的。
木馬會想盡一切辦法隱藏自己，別指望在任務管理器里看到他們的蹤影，有些木馬更是會和一些系統進程寄生在一起的，如著名的廣外幽靈就是寄生在MsgSrv32.exe里；當然它也會悄無聲息地啟動，木馬會在每次用戶啟動windows時自動裝載服務端，Windows系統啟動時自動載入應用程序的方法木馬都會用上，如啟動組、win.ini、system.ini、注冊表等等都是木馬藏身之地；下邊簡單說一下如何檢查，點開始-運行，輸入：
msconfig回車 就會打開系統配置實用程序，先點system.ini，看看shell=文件名，正確的文件名應該是explorer.exe，如果explorer.exe後邊還跟有別的程序的話，就要好好檢查這個程序了，然後點win.ini，run=和load=是可能載入木馬程序的途徑，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上木馬了，當然你也得看清楚，因為如AOL木馬，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動文件；最後點啟動，檢查裡面的啟動項是不是有不熟悉的，如果你實在不清楚的話可以把他們全部取消，然後重新運行msconfig，看一下有沒有取消的啟動項重新被選中的，一般木馬都會存在於內存中，（就是線程插入，然後隱藏進程的木馬，DLL無進程木馬就不會駐留在內存裡面，我們在下一次中會講到）所以發現你取消他的啟動項就會自動添加上的，然後你就可以逐步添上你的輸入法，音量控制，防火牆等軟體的啟動項了；還有一類木馬，他是關聯注冊表的文件打開方式的，一般木馬經常關聯.exe，點開始-運行，輸入：regedit回車，打開注冊表編輯器，點第一條，也就是HKEY_CLASSES_ROOT，找到exefile，看一下//exefile//shell//open//command裡面的默認鍵值是不是"%1" %* ，如果是一個程序路徑的話就一定是中木馬了，另外配合兩種以上的殺毒軟體也是必要的，另外在windows下木馬一般很難清除，最後重新啟動到dos環境下再進行查殺。
防木馬程序、防火牆、及殺毒軟體介紹：
1、木馬剋星： 專業的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌~!
2、綠鷹PC萬能精靈2.91 ：專業的個人版木馬查殺工具;近100%查殺各種類型木馬!玩家推薦反木馬品牌~!
3、Symantec AntiVirus：這個我就不用再介紹了吧，全球最大的殺毒軟體！強力推薦8.1企業版。

Ⅷ 木馬病毒的查殺

首先找到感染文件，其手動方法是結束相關進程然後刪除文件。但是目前互聯網上出現了各種殺毒軟體及專殺，我們可以藉助這些安全工具進行查殺。
木馬和病毒都是一種人為的程序，都屬於電腦病毒，為什麼木馬要單獨提出來說呢?大家都知道以前的電腦病毒的作用，其實完全就是為了搞破壞，破壞電腦里的資料數據，除了破壞之外其它無非就是有些病毒製造者為了達到某些目的而進行的威懾和敲詐勒索的作用，或為了炫耀自己的技術. 木馬不一樣，木馬的作用是赤裸裸的偷監視別人和盜竊別人密碼，數據等，如盜竊管理員密碼-子網密碼搞破壞，或者好玩，偷竊上網密碼用於別處，游戲帳號，股票帳號，甚至網上銀行帳戶等等.達到偷窺別人隱私和得到經濟利益為目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達到使用者的目的！導致許多別有用心的程序開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序，這就是網上大量木馬泛濫成災的原因.鑒於木馬的這些巨大危害性和它與早期病毒的作用性質不一樣，所以木馬雖然屬於病毒中的一類，但是要單獨的從病毒類型中間剝離出來.獨立的稱之為木馬程序。
一般來說一種殺毒軟體程序，它的木馬專殺程序能夠查殺某某木馬的話，那麼它自己的普通殺毒程序也當然能夠殺掉這種木馬，因為在木馬泛濫的今天，為木馬單獨設計一個專門的木馬查殺工具，那是能提高該殺毒軟體的產品檔次的，對其聲譽也大大的有益，實際上一般的普通殺毒軟體里都包含了對木馬的查殺功能.如果大家說某某殺毒軟體沒有木馬專殺的程序，那這家殺毒軟體廠商自己也好像有點過意不去，即使它的普通殺毒軟體里當然的有殺除木馬的功能。並且，在互聯網上公開的病毒，一般殺毒廠商都會更新病毒庫，便以查殺。
還有一點就是，把查殺木馬程序單獨剝離出來，可以提高查殺效率,很多殺毒軟體里的木馬專殺程序只對木馬進行查殺，不去檢查普通病毒庫里的病毒代碼，也就是說當用戶運行木馬專殺程序的時候，程序只調用木馬代碼庫里的數據，而不調用病毒代碼庫里的數據，大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的，因為有太多太多的病毒.每個文件要經過幾萬條木馬代碼的檢驗，然後再加上已知的差不多有近10萬個病毒代碼的檢驗，那速度豈不是很慢了.省去普通病毒代碼檢驗，是不是就提高了效率，提高了速度呢? 也就是說好多殺毒軟體自帶的木馬專殺程序只查殺木馬而一般不去查殺病毒，但是它自身的普通病毒查殺程序既查殺病毒又查殺木馬！
如何查出：
在使用常見的木馬查殺軟體及殺軟體的同時，系統自帶的一些基本命令也可以發現木馬病毒：
一、檢測網路連接
如果你懷疑自己的計算機上被別人安裝了木馬，或者是中了病毒，但是手裡沒有完善的工具來檢測是不是真有這樣的事情發生，那可以使用Windows自帶的網路命令來看看誰在連接你的計算機。
具體的命令格式是：netstat -an這個命令能看到所有和本地計算機建立連接的IP，它包含四個部分——proto（連接方式）、local address（本地連接地址）、foreign address（和本地建立連接的地址）、state（當前埠狀態）。通過這個命令的詳細信息，我們就可以完全監控計算機上的連接，從而達到控制計算機的目的。
二、禁用不明服務
很多朋友在某天系統重新啟動後會發現計算機速度變慢了，不管怎麼優化都慢，用殺毒軟體也查不出問題，這個時候很可能是別人通過入侵你的計算機後給你開放了特別的某種服務，比如IIS信息服務等，這樣你的殺毒軟體是查不出來的。但是別急，可以通過「net start」來查看系統中究竟有什麼服務在開啟，如果發現了不是自己開放的服務，我們就可以有針對性地禁用這個服務了。
方法就是直接輸入「net start」來查看服務，再用「net stop server」來禁止服務。
三、輕松檢查賬戶
很長一段時間，惡意的攻擊者非常喜歡使用克隆賬號的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶，但這個賬戶是不經常用的，然後使用工具把這個賬戶提升到管理員許可權，從表面上看來這個賬戶還是和原來一樣，但是這個克隆的賬戶卻是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。
為了避免這種情況，可以用很簡單的方法對賬戶進行檢測。
首先在命令行下輸入net user，查看計算機上有些什麼用戶，然後再使用「net user 用戶名」查看這個用戶是屬於什麼許可權的，一般除了Administrator是administrators組的，其他都不是！如果你發現一個系統內置的用戶是屬於administrators組的，那幾乎肯定你被入侵了，而且別人在你的計算機上克隆了賬戶。快使用「net user用戶名/del」來刪掉這個用戶吧！
聯網狀態下的客戶端。對於沒有聯網的客戶端，當其聯網之後也會在第一時間內收到更新信息將病毒特徵庫更新到最新版本。不僅省去了用戶去手動更新的煩瑣過程，也使用戶的計算機時刻處於最佳的保護環境之下。
四、對比系統服務項
1、點擊「開始，運行」輸入「msconfig.exe回車，打開」系統配置實用程序，然後 在「服務」選項卡中勾選「隱藏所有Microsoft服務」，這時列表中顯示的服務項都是非系統程序。
2、再點擊「開始，運行」，輸入Services.msc回車，打開「系統服務管理」，對比兩張表，在該「服務列表」中可以逐一找出剛才顯示的非系統服務項。
3、在「系統服務」管理界面中，找到那些服務後，雙擊打開，在「常規」選項卡中的可執行文件路徑中可以看到服務的可執行文件位置，一般正常安裝的程序，比如殺毒，MSN，防火牆，等，都會建立自己的系統服務，不在系統目錄下，如果有第三方服務指向的路徑是在系統目錄下，那麼他就是「木馬」。選中它，選擇表中的「禁止」，重新啟動計算機即可。
4、要點：有一個表的左側：有被選中的服務程序說明，如果沒用，它就是木馬。 1、盜取我們的網游賬號，威脅我們的虛擬財產的安全
木馬病毒會盜取我們的網游賬號，它會盜取我們帳號後，並立即將帳號中的游戲裝備轉移，再由木馬病毒使用者出售這些盜取的游戲裝備和游戲幣而獲利。
2、盜取我們的網銀信息，威脅我們的真實財產的安全
木馬採用鍵盤記錄等方式盜取我們的網銀帳號和密碼，並發送給黑客，直接導致我們的經濟損失。
3、利用即時通訊軟體盜取我們的身份，傳播木馬病毒等不良信息
中了此類木馬病毒後，可能導致我們的經濟損失。在中了木馬後電腦會下載病毒作者指定的程序任意程序，具有不確定的危害性。如惡作劇等。
4、給我們的電腦打開後門，使我們的電腦可能被黑客控制
如灰鴿子木馬等。當我們中了此類木馬後，我們的電腦就可能淪為肉雞，成為黑客手中的工具。 木馬查殺（查殺軟體很多，有些病毒軟體都能殺木馬）
防火牆（分硬體和軟體）家裡面的就用軟體好了，如果是公司或其他地方就硬體和軟體一起用。
基本能防禦大部分木馬，但是的軟體都不是萬能的，還要學點專業知識，有了這些，你的電腦就安全多了。高手也很多，只要你不隨便訪問來歷不明的網站，使用來歷不明的軟體（很多盜版或破解軟體都帶木馬，這個看你自己經驗去區分），還要及時更新系統漏洞，如果你都做到了，木馬，病毒。就不容易進入你的電腦了。

Ⅸ 怎樣鑒別木馬病毒

願我的答案 能夠解決您的煩憂

檢測電腦是否中毒最好的辦法自然就是用殺毒軟體檢測了

直接用殺毒軟體掃描一下，就知道你電腦到底有沒有中毒了

1，下載騰訊電腦管家「8.11」最新版

2，打開殺毒頁面開始查殺，切記要打開小紅傘引擎。如果普通查殺不能解決問題，您可以打開騰訊電腦管家---殺毒——全盤殺毒- 進行深度掃描。

3，查殺處理完所有病毒後，立刻重啟電腦，再進行一次安全體檢，清除多餘系統緩存文件，避免二次感染。

如果您對我的答案不滿意，可以繼續追問或者提出寶貴意見，謝謝