关于NOD32的免杀原理

首先认识一下输出表输出表偏移ae00 RVA：E000 大小：A6ae00-ae13： DLL名称和DLL个数，前面12字节全为0，有特殊作用但对我们没什么意义，ae0c处4字节为E05A是DLL名称，即ae5a，跟到ae5a得知DLL名称为plugin.dll,ae10处4字节为0001说明只有一个DLL；ae14-ae27：得知函数数量，函数名数量，函数地址，函数名地址和函数名序列号地址。ae14开始的4字节的值为0005，表示函数的数量为5个，ae18开始的4字节也是0005表示的是函数名数量也为5个；ae1c开始的4字节为E028即ae28为函数地址，从而得知函数地址是从ae28开始的；ae20开始的4字节为E03C即ae3c为函数名地址，跟到ae3c，它的值为E065即为ae65，而ae65就是GetPluginInfo为第一个函数名称，第二第三个类似；ae24开始的4字节为E050为函数名序列号地址，也就是各函数的排列顺序，跟进到ae50可以看到是0004 0001 0000 0003 0002分别对应下面各函数的排列顺序；ae28-ae3b：对应各函数RVA，上面已经说到了，A814 A614 A7D4 A730 A5F8 分别为拍名0000 0001 0002 0003 0004的函数对应的函数地址；ae3c-ae4f：各函数名称地址，上面也提到了，看第一个，E065即ae65为GetPluginInfo；ae50-ae59：各函数名序号地址，也可以理解成排名；ae5a-aea4：DLL名称和函数名称；有一个需要注意的地方，假定各函数地址也就是ae28-ae3b是一定的，它对应的是函数名称序号，也就是排名，即A814是排名第一的函数地址，A614为排名第二的函数地址……理解以后就可以开始了，可以有几种方法：最容易理解的方法：ae28-ae3b不变，排名顺序也不变，将GetPluginInfo移到后面空白aeb0处，原函数用0填充，同时修改ae44处的E083为E0B0图3经测试，躲过NOD32查杀而且功能没有受影响。其实我们还可以有别的方法可以修改输出表而不影响功能，比如，函数名不变，同时修改函数名地址和排名，原来对应关系是A814 0000 GetPluginRun A614 0001 GetPluginResultA7D4 0002 PluginStopA730 0003 PluginFuncA5F8 0004 GetPluginInfo将ae40处的E073和E083交换，同时ae52处的0001和0000交换图4同时修改函数地址和排名后对应关系还是没变，所以功能还是正常的，虽然这样修改这个文件与过NOD32没有关系，但谁能保证下次特征码会定位在哪里呢？如果是定义在ae28-ae3b或者ae50-ae59就可以这样修改了，只是一种修改思路。可能你会问，只要知道把GetPluginInfo移到后面再改下相应位置不就行了，干嘛罗嗦一大堆呢？其实理解原理才是重要的，如果NOD32把特征码定位到了别的地方或者定位的手法有了提高了怎么办？不相信？NOD32对输入表特征码的定位就已经有了提高！听我慢慢道来……[本文首发于《黑客防线》07年第4期，如需转载请注明版权归《黑客防线》所有，转自幽游' Home( http://www.0x08.com)]输入表篇以我们协会楚茗大哥的一个下载者中的一个dll文件为例（放附件里了），个头比较小，容易说明问题。还是先理解一下输入表，关于输入表网上讨论的比较多，也相对容易一点，先看PE头处图5PE头位于d0处，一般PE头+80便是指向输入表的RVA，d0+80=150，看150处，是11D0转换成文件偏移也就是3d0，所以3d0也就是输入表开始的地方，由LordPE知大小为3C图6和输出表有些相似之处：3d0-3f7是40个字节，每20个字节对应了一个DLL，以第一个DLL为例，从3d0-3e3,均以四个字节为间距分成五份，0000120C是OriginalFirstThunk,是FirstThunk的备份通常用不到，下面两段00000000/00000000分别是TimeDateStamp32位的时间标志和ForwarderChain输入函数列表的32位索引，号称有特殊作用，我遇到的都没用处，最后的两个是有用的，00001232是DLL名，00001000是First thunk指向DLL的第一个函数的地址；3f8-40b全为0，也属于输入表的范围。再往下就是函数地址和DLL名函数名了，不属于输入表的范畴，和输出表类似，不再赘述。有一个地方需要注意，第一个DLL的第一个函数名地址为1284即文件偏移484比真正的函数名GetCurrentProcess地址提前了2个字节，这两个字节是用来作为函数名称提示符的。定位出的特征码是45a处的urlmon.dll，按照网上流传的方法，也就是和修改输出表类似，将urlmon.dll名移动到后面空白处，我们试验一下，将3f0处的1256改成12B0，也就是4b0,同时将urlmon.dll移到4b0处，将原来的填充掉，当然用LordPE可以方便一点修改，但不利于理解。图7这样修改后经过测试是没有问题的正常工作，但还是被NOD32杀！可以证明网上流传的第一种方法是完全错误的，根本过不了NOD32，重新定位特征码变成了4b4,是修改后的urlmon.dll的位置，难道NOD32长眼睛了？仔细想想，可以理解为NOD32肯定不是直接比对特征码的，因为经过测试将3f0处的1256用0填充后不杀了，我们修改的不是定位出的特征码同样不杀说明了什么问题？难道它是读取3f0处的值跟进到相应函数名处再比对的？为证明这一观点，在函数名后移的基础上，将输入表60个字节整体移动，从3d0移动到3c0，同时整体移动PE头，具体移动方法上面提过了，同时不能忘记修改PE头处定义的输入表位置和大小，将c0处定义输入表位置大小的值分别改成移动后的值11C0和004C图8图9保存后很不幸，还是被杀，还是低估了NOD32，它的查杀机制竟然是直接获取输入表某DLL下某函数进行比对！和常见的特征码有了很大的区别，在这种机制下手工修改输入表免杀已经不太可能了，当然网上有流传的加两层壳免杀的方法，个人认为不好，第一、加两层壳很容易造成文件损坏不能正常运行，DLL文件尤其如此；第二、加壳后已经免杀的又会被别的杀毒软件查杀，因为他们也定义了加壳后的特征码；第三、加两层壳后有很大的几率NOD32还是能查出来。所以我觉得还是用文件保护软件加密IAT比较好，比如ASPotect，是正规的程序保护软件，加密后NOD32就不杀了，只要先做好别的杀毒软件的免杀，加密后别的杀毒也不会理睬！至于网上流传的第三种方法，加壳再脱壳，不能说方法错误，也是一种办法，其意义也是打乱IAT，和加密IAT相比优点就是文件不会变大，EXE文件我测试过有些是行的通的，但脱壳修复后不能运行的也很多，至于DLL文件就不用提了，加壳脱壳后还能正常使用的几率很小！现在NOD32的这种查杀机制也算很不错，可以说是一种创新，可以理解为对同一类型病毒变种有了预见性，比如几个月前的NOD32可以杀新生成的灰鸽子，但最大的软肋就是IAT的加密，或许还应该再有些改进才好！ 文中的DLL例子下载注：因为一些DLL是病毒，会被杀毒软件查杀，所以加密了，密码是hacker。

rundll32.dll

rundll32进程信息

rundll32一般不是病毒，它是系统必须的组件之一，不可以删除，强烈建议你打开杀毒软件的监控，以便及时发现病毒

rundl132.exe才是病毒 是阿拉伯数字1而不是字母l

你直接在C:\WINDOWS\system32 下删除

并在注册表启动项里去除rundl132.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

===========

C:\\WINDOWS\\uninstall 这个目录下的是威金变种了。。

用专杀清除！手动难以清除其他被感染的可执行文件（EXE等）

威金有效专杀

http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html

使用顺序

（1） 先用，abc.com

（2）再用 农夫的可升级专杀 辅助查杀

（3）其他的其他

顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型：

Void CALLBACK FunctionName (

HWND hwnd,

HINSTANCE hinst,

LPTSTR lpCmdLine,

Int nCmdShow

);

其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]

DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

解决方案:

卡巴斯基是不能查到该病毒,所谓术业有专攻，如是而已，这是一个木马病毒，当然要用木马杀毒软件了，下面推荐一款木马软件

木马杀客(测试过，可以查杀该木马病毒，并修复rundll32.exe文件)如果楼主还有疑问,请到黑客防线发帖或寻找相关的资料....

http://www.hacker.com.cn

我下载灰鸽子黑防专版的解压后就被杀了,怎样解决

子是国产远程控制软件的翘楚，国内玩网络安全的朋友基本人手一套。虽然鸽子自己定位为远程控制软件，但由于功能强大，使用种群又普遍是黑客爱好者，所以各种杀毒软件均将它视为木马软件——由此而引发的免杀技术从此大放光彩。

你是否还在为没有个人独有的免杀的木马而懊恼？是否还在为控制不了肉鸡而伤心？不用再为此难过，《黑客防线》专版灰鸽子是你最好的选择：免费、公开而且有系列的免杀教程与之配套，更新频率极快的、详细而全面的免杀操作录象能“授汝以渔”，让你打造出自己的专版免杀灰鸽子！

致的技术落后。

致的技术落后。

一．灰鸽子相关工具和录象公共免费版

1．黑防鸽子服务端自动免杀器

2．灰鸽子插件集

二．《黑客防线》专版免费灰鸽子VIP内部资料篇（VIP会员内部资源，需加入VIP登录后方可查看，点击加入VIP会员）

1．纯净资源（强烈建议到黑防官方下载黑防版灰鸽子，并使用压缩包中的MD5文件校验器校验文件，以免文件被人恶意修改，置入第三方后门木马。黑防下载文件内含MD5文件校验器，可以校验MD5值，如果MD5值不对，请勿使用。

\huigezi-heifang.rar 校验码：C5F959803E3311CA15888F5888C58CF8

（1）黑客防线专版灰鸽子和MD5文件校验器

(在安装前改确定你的系统没有安装过其他版本的灰鸽子，不然无法正常生成客户端。)

2．黑防专版灰鸽子配置与各种网络环境上线教程（VIP内部资源）

（1）花生壳黑防鸽子上线详细版

（2）黑防灰鸽子使用教程详细版

（3）S扫描器+内网映射+配置鸽子上线

（4）灰鸽子配置详细版

（5）网吧鸽子另类100%上线+抓鸡教程

（6）自动IP通知、邮件发送、解析灰鸽子原理

（7）灰鸽子自动上线教程

（8）更简单的鸽子上线

（9）灰鸽子内网端口映射自动上线

（10）用自己的肉鸡上线灰鸽子详细配置

（11）一键更新鸽子IP

（12）鸽子内网上线的两种方式

（13）灰鸽子网吧内网上线

（14）灰鸽子上线

（15）从配置灰鸽子到挂马详细语音版

（16）网吧代理服务器使用灰鸽子端口映射方法

（17）灰鸽子通过路由上线的教程

（18）ADsl 路由器上网映射端口使用灰鸽子自动上线全攻略

（19）关于scok5跳板的制作和免杀鸽子

（20）另类鸽子上线的方法

（21）从灰鸽子内网配置服务端到制作免杀服务端到制作网页木马到制作免杀网页木马到网站挂马

（22）鸽子内网上线配置动画

（23）灰鸽子内部免杀以及上线测试

（24）内网使用灰鸽子动画

（25）灰鸽子Socks5代理

3．黑防专版灰鸽子免杀与传播教程（VIP内部资源）

（1）(语音教程)灰鸽子内存，表面，DLL全面免杀

（2）菜鸟利用PP快速传播鸽子

（3）灰鸽子2006脱壳

（4）教你鸽子母鸡生小鸡

（5）鸽子免杀教程

（6）灰鸽子的培植与感染整个网吧教程

（7）修改鸽子数据特征码过咔吧

（8）5分钟打造免杀鸽子服务端（包括内存）

（9）ms06040+鸽子使用教程

（10）黑防灰鸽子过卡巴特最新动画

（11）给黑防灰鸽子做免杀

（12）分离灰鸽子后门捆绑程序

（13）灰鸽子2006服务端免杀

（14）鸽子(内存+表面)免杀教程

（15）灰鸽子vip2006简单免杀

（16）伪装壳灰鸽子万能文件捆绑器

（17）鸽子攻击者

（18）灰鸽子DLL内存特征码定位演示

（19）EPS定律脱鸽子2006壳

（20）黑防鸽子免杀江民的攻克

（21）鸽子cserver.dat免杀演示

（22）黑防鸽子的隐藏QQ马的特征码免杀

（23）把鸽子的肉鸡占为己有

4．灰鸽子木马清理与防护（VIP内部资源）

（1）灰鸽子专杀器

（2）如何发现自己中了灰鸽子木马

（3）灰鸽子专用清除器

（4）灰鸽子后门专杀工具绿色版

点击查看更多灰鸽子相关VIP资源

这是黑客防线主页，其中有些是VIP会员才能看的教程，为了方便大家下载教程我把

其中的下载地址给大家贴出来了。

关于scok5跳板的制作和免杀鸽子

灰鸽子2006服务端免杀

鸽子(内存+表面)免杀教程

黑软免杀技术细节语音动画

灰鸽子vip2006简单免杀

给黑防灰鸽子做免杀

对ASP木马免杀的研究

黑防鸽子免杀江民的攻克

木马绝对免杀录象

鸽子cserver.dat免杀演示

灰鸽子内部免杀以及上线测试

黑防原创免杀系列录象1

黑防原创免杀系列录象2

黑防原创免杀系列录象3

黑防原创免杀系列录象4

黑防原创免杀系列录象5

第六课

第七课

希望大家能够多学点技术，对自己的以后有所帮助，但不要用自己掌握的技术去做违法的事。

--------------------------------------------------

（二）

教你做灰鸽子免杀客户端

文件类型： .rar

界面语言：简体中文

软件类型：国产软件

运行环境：/Win9X/Me/WinNT/2000/XP

软件大小：20 MB

软件等级：

整理时间：2007-05-15

下载地址：

解压密码：

【送高分】怎么用冰刃杀ES.DLL！！在线等。急。立即给分！最重要快！

IceSword冰刃使用方法 有这么一款软件，它专为查探系统中的幕后黑手——木马和后门而设计，内部功能强大，它使用了大量新颖的内核技术，使内核级的后门一样躲无所躲，它就是——IceSword冰刃。 IceSword冰刃(以下简称IceSword)是一款斩断系统黑手的绿色软件。在笔者的使用中，IceSword表现很令笔者满意，绝对是一把强悍的瑞士军刀——小巧、强大。

1.IceSword的“防”

打开软件，看出什么没？有经验的用户就会发现，这把冰刃可谓独特，它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”，而并是通常所见的软件程序名(见图1)。这就是IceSword独有的随机字串标题栏，用户每次打开这把冰刃，所出现的字串都是随机生成，随机出现，都不相同(随机五位/六位字串)，这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外，你可以试着将软件的文件名改一下，比如改为killvir.exe，那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword，是不是会弹出确认窗口？这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮，也不能结束IceSword的运行了，只能在IceSword的面前乖乖就范了。

2.IceSword的“攻”

如果IceSword只有很好的保护自身功能，并没有清除木马的能力，也不值得笔者介绍了。如果大家还记得本刊2005年第5期《如何查杀隐形木马》一文，那一定会觉得IceSword表现相当完美了。但这只所谓的隐身灰鸽子，在IceSword面前只算是小儿科的玩意。因为这只鸽子只能隐身于系统的正常模式，在系统安全模式却是再普通不过的木马。而IceSword的作者就在帮助中多次强调IceSword是专门针对功能强大的内核级后门设计的。今天，笔者通过一次经历来说明IceSword几招必杀技。

前段时间，笔者某位朋友的个人服务器(Windows 2003)，出现异常，网络流量超高，朋友使用常规方法只可以清除简单的木马，并没有解决问题，怀疑是中了更强的木马，于是找来笔者帮忙。笔者在询问了一些情况后，直接登录到系统安全模式检查，谁知也没有什么特别发现。于是笔者尝试拿出IceSword这把“瑞士军刀”……

第一步:打开IceSword，在窗口左侧点击“进程”按钮，查看系统当前进程。这个隐藏的“幕后黑手”马上露出马脚(见图2)，但使用系统自带的“任务管理器”是看不到些进程的。注意，IceSword默认是使用红色显示系统内隐藏程序，但IceSword若在内核模块处显示多处红色项目并不都是病毒，我们还需要作进一步的技术分析及处理。

别以为只是系统自带的任务管理器功能弱，未能发现。我们又用了IceSword与Process Explorer(另一款功能强大的进程查看软件)进行对比，同样也没办法发现“幕后黑手”的踪影

第二步:点击窗口左侧的“服务”按钮，来查看系统服务。这时就可以看到如图4所示的情况了，这个木马的服务也是隐藏的，怪不得笔者未能发现行踪。

第三步:既然看了服务，也应该查查注册表[HKEY_LOCAL_ MACHINE SYSTEM\ CurrentControlSet \Services]的情况。反正IceSword也提供查看/编辑注册表功能，正好和系统的“注册表编辑器”也来个对比，点击窗口左侧的“注册表”标签，然后打开依次展开[HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services]项(见图5)。真是不比不知道，一比吓一跳。看来，系统内置工具还是选择“沉默”，还记得《如何查杀隐形木马》一文吧，虽说鸽子在正常模式下，它的主服务也能隐藏，但它在系统的“注册表编辑器”内完全是显示的，更不要说目前是安全模式。仔细看看，既然已经从IceSword得到可靠情报，得知“幕后黑手”位于系统目录E:\Windows\system32\wins下.

第五步:剩下的事容易多了，在IceSword中点击“查看”标签下的“进程”按钮，右击刚刚发现的隐藏进程，选择“结束进程”。然后用IceSword删除那三个木马文件，最后，还要删除多余的服务项——那两个HackerDefender*的注册表键值即可。清理完这只“黑手”后，再使用杀毒软件重新杀一遍系统，确认没有其他的木马。

上面的例子充分体现了IceSword的魅力所在。正如作者所言，IceSword大量采用新颖技术，有别于其他普通进程工具，比如IceSword就可以结束除Idle进程、System进程、csrss进程这三个进程外的所有进程，就这一点，其他同类软件就是做不到的。当然有些进程也不是随便可以结束的，如系统的winlogon.exe进程，一旦杀掉后系统就崩溃了，这些也需要注意。

还等什么，这么好用、强悍的“瑞士军刀”，还不赶快准备一把防身？

高级篇

第一部分：冰刃杀毒流程。

在基础篇里面，我向大家介绍了有关所有冰刃的基础使用方法，那么怎么用冰刃来杀毒呢？这个写一下大概的流程。

第一步：禁止运行进程。打开所有需要的软件和文件夹后，可以通过菜单里面禁止进线程建立，具体方法看基础篇，里面有详细介绍。

第二步：结束病毒进程。结束所有与病毒有关的进程，还要结束某些与系统进程无关的进程，可能包括一些额外的应用程序，包括桌面文件等等。这个为了保持病毒不会因为某些进程而重新被调用。

第三步：处理启动项目，处理服务、注册表等启动项目，分别在冰刃查看——服务、注册表、文件中处理。具体方法可以看基础篇。

第四步：删除病毒文件。删除所有可能的病毒进程，当然如果要备份，可以利用冰刃的复制功能，把病毒副本复制出来。如果复制病毒样本，需要一些技术，因为很多病毒如果处理不当，在重新启动后还会恢复回来。

第五步：重新启动计算机，你可以利用冰刃的重启并监视这个功能，我会下面的部分介绍。也可以利用计算机系统的重新启动功能，但是要把禁止进程建立的对勾去掉，并且在运行冰刃的前提下重新启动。这一步的目的为了防止某些潜入式DLL潜入到系统进程中作乱，而且无法删除。比如潜入到Winlogon中的DLL用基础篇里面的方法可能会出现蓝屏。

第六步：做进一步检查，检查文件删除情况，注册表删除情况。

第七步：检查应用程序。很多病毒会修改应用程序，达到保护自己的目的，比如：盗取QQ的软件，会修改QQ.exe，当运行QQ软件的时候病毒会重新被加载，所以要通过冰刃的线程监控，还有文件进行进一步的监控。

第八步：处理可疑文件。在以上所有步骤过程中，一般都会出现一些不认识的或者不知道的程序，对这些程序我们做的就是最后处理，重点在于分析这些程序到底有无用处。到底是什么软件释放的，或者病毒释放的。这个一般要高手才能进行。

最后一步：特别处理，重点处理病毒修改的系统设置，比如隐藏文件的设置、HOST文件的修改、主页等IE项目的修改、文件关联的修改等等。这些修改一般都要等杀毒结束后进行。

这个杀毒过程只是最基本的，和我自己给人解决问题时候套用的一个格式有一些关系。看过这个以后，对于我的删除方法会有一定了解

第二部分：删除顽固病毒文件

这一部分在基础篇中提到，但是当时我没有测试，小聪给我的结果让我很惊讶，怎么会不能成功，我就想了想做进一步的实验。此实验在虚拟机下进行，如果没有虚拟机请不要模仿。

因为我没有释放顽固病毒的样本，只能运用计算机系统中最基础的文件，考虑到非常难删除的病毒文件都是SYS文件，我选择了C:\WINDOWS\system32\drivers\acpi.sys文件进行进一步测试，这个文件是系统基础文件，不要轻易删除。

此文件很像某些病毒，删除它还会重新生成一个新的文件，我们就用它来进行新的测试。第一次测试是在正常模式下，在c:\建立一个名称为acpi.sys的文件，并设置了只读、系统、隐藏三个属性，用冰刃强制删除此文件，再以最快速度考入，观察，确实可以达到2分钟的目的，也就是说2分钟后系统会自动把此文件修改会上面的样子，并且大小相同。第二次测试是根据基础篇叙述禁止了进线程创建（方法详见基础篇最后部分的一）的模式下进行，利用冰刃可以删除文件，并且保证在此模式的前提条件下并不被删除，也不会被覆盖，但是当模式改变，就会被快速替换。猜想，测试到此发现，顽固病毒文件冰刃删除不了，但是它真的无能为力，我觉得不会，禁止进线程建立只是禁止了全部的进线程建立，那么我们可不可以用冰刃禁止一部分呢？等待我们的是进一步测试，如果成功，那么冰刃也可以删除顽固文件了。

第三部分 冰刃的运行原理

在这一部分，我主要讲的是为什么冰刃可以检查隐藏进程、可以那么强大。我们现在知道，有很多免费软件都可以进行进程、端口、注册表的检查，但是为什么冰刃的功能会比其他软件好呢？下面就看看以下回答吧。

第一，绝大多数所谓的进程工具都是利用Windows的Toolhlp32或者psapi再或者ZwQuerySystemInformation系统调用来编写的，随便一个ApiHook就可以轻松的干掉它们了，更不用说那些内核级别的后门了。此外还有极少数工具利用内核线程调度结构来查询进程，这种方案需要硬编码，这不仅因不同版本的系统而各异，而且打个补丁也可能需要升级程序，并且现在还有人提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前比较特殊的，并且充分考虑到内核后面可能的隐藏手段，可以查到目前大部分隐藏进程。

第二，绝大多数工具查找进程路径名也通过Toolhlp32和psapi，前者会调用RtlDebug函数向目标注入远线程，后者会调用api读取目标进程内存，其本质上都是对PEB的枚举，因此，通过修改PEB就可以轻易让这些工具失灵。而IceSword的核心态方案采用全路径展示，运行时剪切到的其他路径也会显示出来。

第三，进程dll模块与前一种情况一样，利用PEB的其他工具会被轻易欺骗，而IceSword不会弄错，如果系统不支持，这时候会采用枚举PEB。

第四，IceSword的进程杀除功能强大且方便，可轻易将选中的多个进程一并杀除，其中包括系统进程（除idle进程、System进程、csrss进程），此时系统可能会出现蓝屏、重启等状况。

注：以上内容参考《计算机病毒分析与防范大全》278页

根据以上叙述，我们可以看出，一般病毒不会轻易结束掉冰刃的进程，但是某些病毒为了保护自己，根据进程名称结束了冰刃，这时只要修改冰刃主程序（IceSword.exe）的名称就可以了。

根据某期《黑客防线》的介绍，好像有一种方法可以对付冰刃，彻底结束冰刃。

以上只是简单说明了以下冰刃的原理，它的显示进程的算法与其他软件不同，所以可以很好的结束大部分进程。这个也是为什么第一次运行冰刃需要管理员帐户的原因之一。

冰刃在启动的时候会加载很复杂的东西，其中包括一些dll文件和系统驱动文件，这些也必须需要管理员账户，并且开启某个特定的服务才能启动。所以冰刃第一次在普通用户组或者安全模式下是无法启动的，显示如图二的提示框。

第四部分 冰刃对DLL文件的处理

没有找到类似病毒，我在测试病毒的时候如果有雷同就可以对这一部分进行更新。

第五部分 菜单高级应用

在基础篇中，我讲了如何应用菜单的设置，禁止进程或者线程的建立，我们现在看看其他菜单项目的应用。在文件下拉菜单中，有设置、重启并监视、创建进程规则、创建线程规则等几个项目

计算机病毒，木马的查杀及其原理？

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

病毒是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。

病毒 (n.)：以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体病毒按严重性分类（从 Ebola 病毒到普通的流感病毒）一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中，包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统资源站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧？？)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处，在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他病毒很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，总的说来，杀病毒软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意采取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和无马后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的病毒库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统中特定事件的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的事件消息。

(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防病毒的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意病毒和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。