当前位置：首页 > 联系黑客 > 正文内容

钩子黑客（钩子黑客软件下载）

hacker2年前 (2022-07-15)联系黑客90

本文目录一览：

1、成了肉鸡该怎么办.?
2、Torntv是木马病毒么?
3、怎样设置win7的本地安全策略来防止黑客攻击
4、安装消息钩子是什么意思
5、钩子问题.
6、什么是钩子程序？c/c++如何实现？

成了肉鸡该怎么办.?

禁鸡！检查隐藏的“肉鸡”——4招查出隐藏在电脑中的木马

天涯 (2007年5月14日第19期)

木马在互联网上肆虐，我们一不小心就会成为黑客手中的肉鸡。到时自己的电脑成为被黑客控制的傀儡，而且自己的个人隐私也完全暴露。拒绝黑客控制，我的电脑我做主。在五一节后这一黑客大肆捕获肉鸡的时段开始了，我们针对木马特点，用4招自检避免成为黑客肉鸡。

小知识：肉鸡实际上就是中了黑客的木马，或者被安装了后门程序的电脑。黑客可以像计算机管理员一样对肉鸡进行所有操作。现在许多人把有WEBSHELL权限的远程主机也叫做肉鸡。

第一招：系统进程辨真伪

当前流行的木马，为了更好地对自身加以隐藏，使用了很多方法进行自身隐蔽，其中最常见的就是进程隐藏。这种方法不仅让人很难通过常见的检查手法查找到，如果用户操作不当的话还可能将系统进程删除，造成系统不稳定甚至崩溃。常见的这类木马程序包括灰鸽子、守望者、上兴木马等。

自检方法

黑客为了对木马进行更好的伪装，常常将木马名称设置得和系统进程名称十分相似。通常系统进程都是有System用户加载的，如果我们发现某个“系统进程”是由当前用户加载的，那么这个“系统进程”一定有问题。

另外我们也可以从系统进程的路径来进行分辨，比如正常的系统进程svchost.exe应该在“c:\Windows\system32”目录下，如果用户发现它的路径在其他目录下就表明该进程有问题。

除此以外，现在的木马很注意对自身服务端程序的保护，我们通过“任务管理器”很可能查看不到木马的服务端进程，因为木马程序通过线程插入等技术对服务端程序进行了隐藏。

在这里树树建议大家使用IceSword（下载地址：）对进程进行管理。它除了可以查看各种隐藏的木马后门进程，还可以非常方便地终止采用多线程保护技术的木马进程。

进入IceSword点击“文件→设置”命令，去掉对话框中的“不显示状态为Deleting的进程”选项。点击程序主界面工具栏中的“进程”按钮，在右边进程列表中就可以查看到当前系统中所有的进程，隐藏的进程会以红色醒目地标记出（图1）。

图1

另外，如果发现多个IE进程、Explore进程或者Lsass进程，那么我们就要留意了。因为很多木马都会伪装成这几个进程访问网络。

应对方法

在IceSword的进程列表中选择隐藏的木马程序，点击鼠标右键中的“强行结束”命令即可结束这个进程。然后点击IceSword的“文件”按钮，通过程序模拟的资源管理器命令，找到并删除木马程序的文件即可。]

第二招：启动项中细分析

一些木马程序通过系统的相关启动项目，使得相关木马文件也可以随机启动，这类木马程序包括TinyRAT、Evilotus、守望者等。

检方法

运行安全工具SysCheck（下载地址：），点击“服务管理”按钮后即可显示出当前系统中的服务信息，如果被标注为红色的就是增加的非系统服务。通过“仅显示非微软”选项就可以屏蔽系统自带的服务，这样恶意程序添加的服务项就可以立刻现形。

点击“修改时间”或“创建时间”选项，就可以让用户马上查看到新建的系统服务（图2）。从图中我们可以看到一个被标注为红色、名称为Windows Media Player的系统服务，该服务所指向的是一个不明程序路径。因此可以确定该服务就是木马程序的启动服务。

图2

通过安全工具SysCheck的“活动文件”项目，可以显示出包括启动项等信息在内的、容易被恶意程序改写的系统注册表键值。比如现在某些恶意程序，通过修改系统的“load”项进行启动，或者修改系统的BITS服务进行启动。由于SysCheck程序只是关注改写了的键值，所以在不同的系统上显示的内容并不一样。

应对方法

进入SysCheck点击鼠标右键中的“中止服务”选项，中止该木马程序的启动服务，接着点击“删除服务”命令删除指定的服务键值。然后点击“文件浏览”按钮，由于SysCheck采用了反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹，这样就方便了我们进行隐藏文件的删除工作。按照木马服务所指的文件路径，找到文件后点击鼠标右键中的“删除”按钮即可。

第三招：系统钩子有善恶

木马程序之所以能成功地获取用户账号信息，就是通过钩子函数对键盘以及鼠标的所有操作进行监控，在辨别程序类型后盗取相应的账号信息。也就是说，只要拥有键盘记录功能的木马程序，就肯定会有系统钩子存在。

自检方法

通过游戏木马检测大师（下载地址：）的“钩子列表”功能，可以显示系统已经安装的各种钩子，这样可以显示出当前网络中流行的主流木马。

点击“钩子列表”标签进行钩子信息的查看，并且不时点击鼠标右键中的“刷新”命令对系统钩子进行刷新。因为木马程序只有在键盘记录的时候才会启用钩子，如果大家中了木马，那么很快就会在列表中有所发现了。在本例中一个名为WH_JOURNALRECORD可疑的钩子被程序以显著颜色标记出来（图3）。

图3

这个钩子是用来监视和记录输入事件的，黑客可以使用这个钩子记录连续的鼠标和键盘事件。在此时，我们就应该引起重视，不要再使用QQ等需要输入密码的程序。

应对方法

清除方法比较简单，只要记录下动用系统钩子的进程PID，通过PID值找到该木马程序的进程后结束该进程，再输入“Regedit”打开注册表编辑器，并点击“编辑”菜单中的“查找”命令，在此窗口搜索该木马程序进程的相关消息，将找到的所有信息全部删除。

重新启动计算机，只要在安全模式下删除系统目录中的木马文件信息即可。当然也可以通过前面几种方式进行相互检测，这样可以更加有效地清除系统中的木马程序。

第四招：数据包里藏乾坤

现在，越来越多的木马程序利用了Rootkit技术。Rootkit是一种集合了系统间谍程序、病毒以及木马等特性的一种恶意程序，它利用操作系统的模块化技术，作为系统内核的一部分进行运行，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。

自检方法

同样我们还是使用游戏木马检测大师这款程序，利用它的“发信检测”功能来判断自己的系统中是否被安装了木马程序。在使用该功能以前，首先需要判断系统的网卡是否工作正常。

我们关闭其他一切会扰乱网络数据捕捉的程序，然后去除“只捕获smtp发信端口（25）和Web发信端口（80）”选项，点击“开始”按钮就可以进行数据包的捕捉。如果这时捕捉到有数据包发出，就证明自己的系统中存在木马程序。

根据木马程序连接方式的不同，捕捉到的数据信息也不尽相同，但是捕捉到客户端程序的IP地址还是没有问题的（图4）。用过嗅探器的朋友都知道，我们可以通过设置过滤病毒特征数据包来发现蠕虫病毒，当然这种方法需要一定的相关知识，这里就不再叙述了。

图4

应对方法

对于这种利用Rootkit技术的木马程序，可以直接通过一些Rootkit检测工具进行查看。比如检测工具Rootkit Detector（下载地址：），它通过程序内置的MD5数据库，来比较所检测到的Windows 2000/XP/2003 系统全部服务和进程的MD5校验值，这样就可以检测出系统下的Rootkit程序。

在命令提示符窗口运行命令：rd.exe，程序会自动对当前系统进行检测。程序首先会统计出系统中服务的数目、当前的进程，以及被隐藏的进程，并且将系统当前的进程用列表显示出来，然后进入安全模式进行删除即可。

常见木马以及病毒专杀工具

在这里，我们向大家提供能速杀流行木马以及病毒的专杀工具。我们可以根据需要，搭配使用这些专杀工具，让自己的电脑更加安全。

灰鸽子专杀工具

瑞星：

熊猫烧香专杀工具

金山：

麦英病毒专杀工具

江民：

威金病毒专杀工具

江民：

-------------------------------------------------------------------------------------------------------------------

当心PC变成“肉鸡”——巧用WinRAR来抓鸡

湖南王强 (2007年9月10日第36期)

所属主题：抓鸡系列

杀伤力值：★★

操作难度：较低

适合读者：普通读者

WinRAR已经成为用户电脑中必装的软件，可你想过黑客会利用它来抓鸡吗？这是真的，只需一个小小的WinRAR漏洞利用程序，就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一，我们应该如何防范呢？下面我们就来揭开谜底。

小知识：抓鸡是黑客常用术语，意思是指主动通过某些程序（如木马程序或远程控制程序的客户端）或技术手段控制用户的PC机，被控制的PC机称之为肉鸡。

为什么要用WinRAR漏洞抓鸡

网络上流传有很多可执行文件捆绑工具，这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序，并且可以进行简单的伪装，但是其原理却决定了其不可能成为完美的捆绑工具，目前主流的杀毒软件都可以轻易地将它清除掉。

而用WinRAR漏洞捆绑木马来抓鸡就很有优势，因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的（大部分捆绑程序检测工具用的就是这个原理），但是这条不适合这个漏洞。

小提示：该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误，而若将一个经处理后文件改为长文件名并附加成LHA文件，再调用相应参数生成新的压缩包后，被WinRAR打开的时候就会导致本地缓冲溢出。

当用户点击压缩包时会出现错误提示（图1），这时木马程序就已经悄悄运行了，肉鸡就到手了。所以如果我们用这个漏洞来抓鸡，成功率是十分高的，比原始的3389端口抓鸡的成功率高多了。

图1

如何用WinRAR漏洞抓鸡

Step1：将WinRAR的利用程序放到任意目录中，例如C盘根目录。

Step2：单击菜单中“开始→运行”命令，输入“cmd”运行“命令提示符”。将光标切换到“c：”，输入“rar.exe”查看利用程序的使用方法。其使用方法为：“rar [选项] ”。

其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置，可以不输入，有需要的话可以添加相应的“选项”。

Step3：将配置好的木马服务端程序也放到C盘根目录，并命名为123.exe。在“命令提示符”中输入命令：“rar 123.exe”，如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了（图2）。

图2

Step4：最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人，当对方运行这个WinRAR文件时，将会出现错误，但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡（图3）。

图3

不过要充分利用这个漏洞，光靠触发漏洞是不够的，木马的配置也很重要，例如要设置运行后删除自身，安装服务端时不出现提示等，这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示，是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀，例如加壳处理和修改特征码等，否则被杀毒软件检测出来岂不前功尽弃。

小提示：运行漏洞利用工具时请先关闭杀毒软件，因为杀毒软件会把它当作黑客工具给清除掉。

防范技巧

1.不要运行陌生人发过来的文件。这是老生常谈的问题了，只不过以前只针对可执行文件，现在连WinRAR也不能轻易运行了。

2.识别恶意的WinRAR文件。在运行WinRAR文件之前，我们可以先对其进行检查，确定无危害后再运行，检查的方法为：右键单击WinRAR文件，在菜单中如果没有“用WinRAR打开 ”这一项，则说明压缩包有异常，不要轻易打开！

3.升级WinRAR到3.7以上的版本，新版本打开虽仍会提示出错，但木马程序不会运行。

攻防博弈

攻黑客：虽然很多人都有给系统打补丁的习惯，但会给应用软件升级的人少之又少，所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中，将大大增加抓到的肉鸡数量。抓鸡的方法多种多样，我们还可以用135端口来抓安全意识不强的鸡。

防编辑：系统软件的漏洞可以通过自动更新来解决，而工具软件的漏洞只能通过经常关注一些专业媒体的提醒，定期升级程序来解决。同时养成良好安全习惯，不接收不下载来路不明的压缩文件才是最好的防范方法！至于135端口抓鸡，只要我们关闭了端口，调高了防火墙的安全等级就不用惧怕。

-----------------------------------------------------------------------------------------------------------------------

小心端口招蜂引蝶——防范用135端口抓鸡的黑手

万立夫 (2007年9月17日第37期)

新学期到了，许多学生都要配机，新电脑的安全防卫做好了吗？能不能拒绝成为黑客的肉鸡？令人遗憾的是，很多新手都不知道或者忽视了对敏感端口的屏蔽。例如135端口，一旦黑客利用135端口进入你的电脑，就能成功地控制你的机子。我们应该如何防范通过135端口入侵呢？下面我们就为大家来揭开谜底。

小知识：每台互联网中的计算机系统，都会同时打开多个网络端口，端口就像出入房间的门一样。因为房间的门用于方便人们的进出，而端口则为不同的网路服务提供数据交换。正如房间的门可以放进小偷一样，网络端口也可以招来很多不速之客。

一、为什么135端口会被利用来抓鸡

如今，大多数黑客都使用网页木马来捕捉肉鸡，为什么还有一些黑客老惦记着135端口呢？主要原因有两个：

一个原因是135端口是WMI服务默认打开的端口。由于WMI服务是Windows系统提供的服务，因此利用它入侵不但不会引起用户注意还很方便，只需要一个脚本代码就可以对远程系统进行管理。WMI服务默认打开的是135端口，因此WMI入侵也被称之为135端口入侵。

另外一个原因是135端口开放的机子实在不少，这种现象可能是由于每年新增加的电脑用户的安全意识不强或者不知道怎么关闭造成的。令人担忧的是，连3389这样危险的端口也可以在网络上搜出不少。

小知识：WMI服务是“Microsoft Windows 管理规范”服务的简称，可以方便用户对计算机进行远程管理，在很多方面和系统服务远程桌面十分相似。只不过远程桌面是图形化操作，而WMI服务是利用命令行操作而已。

WMI服务需要“Windows Management Instrumentation”服务提供支持。而这个服务是默认启动的，而且是系统重要服务，这样就为入侵提供了便利。正是由于它可以进行远程控制操作，因此系统的安全性也就随之下降，因此被称之为永远敝开的后门程序。

二、黑客是怎么利用135端口抓鸡的

Step1：黑客入侵的第一步就是扫描网络中开启了135端口的远程系统。扫描使用的工具有很多，这里使用的工具是常见的《S扫描器》（下载地址：），因为它的扫描速度非常快。单击开始菜单中的“运行”命令，输入“cmd”打开命令提示符窗口，然后输入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（图1）。

图1

前面和后面的IP地址表示扫描的开始和结束地址，后面的135表示扫描的端口，100表示扫描的线程数，数值越大表示速度越快。需要特别说明的是，很多Windows系统默认限制线程为10，我们需要利用修改工具改调这个限制才行。

小提示：例如我们打开《比特精灵》的安装目录，运行其中的BetterSP2.exe，在弹出窗口的“更改限制为”选项中设置为256，最后点击“应用”按钮并且重新启动系统即可。

Step2：从已经打开135端口的电脑中筛选可以入侵的目标。首先打开S扫描器目录中的IP地址文件Result.txt，对文本文件中多于的信息进行删除，只保留和IP地址相关的内容。接着运行破解工具NTScan（下载地址：），它可以对远程系统进行破解（图2）。

图2

在NTScan窗口中的“主机文件”中设置IP地址文件，选中WMI扫描类型，然后在“扫描端口”中设置为135。最后点击“开始”按钮就可以进行破解操作，破解成功的主机地址都保存在NTScan.txt中。

Step3：现在利用Recton这款工具来上传我们的木马程序（下载地址：）。点击窗口中的“种植”标签，在NTScan.txt中寻找一个地址，接着将它添加到“远程主机设置”选项中。然后选择“Http下载”选项，并在“文件目录”设置木马程序的网页链接地址，最后点击“开始执行”按钮即可（图3）。

图3

这样木马程序就利用135端口上传到远程主机，并且在系统后台已经悄悄地运行了。这种方式不需要远程用户参予，因此它的隐蔽性和成功率都非常高，并且适何肉鸡的批量捕捉，但是上传的木马程序一定要经过免杀处理才行。

小提示：运行黑客工具的时候需要先关闭杀毒软件，因为杀毒软件会把它们当作病毒给清除掉。

三、防范技巧

1.利用网络防火墙屏蔽系统中的135端口，这样就让黑客入侵从第一步开始就失败。除此以外，像139、445、3389这些端口也是我们要屏蔽的端品。

2.增强当前系统中管理员的账号密码的强度，比如密码至少设置6位以上，并且其中包括数字、大小写字母等。这样黑客工具就不能轻易地破解我们的账号密码，这样即使是扫描到我们的135端口也无济于事。

3.安装最新版本的杀毒软件，并且将病毒库更新到最新，这个已经是老生常谈的问题。如果有可能的话，用户最好使用带有主动防御功能的杀毒软件。

攻防博弈

攻黑客：利用135端口的确可以捕捉到大量肉鸡，不过要花费比较多的时间。随着操作系统的不断更新，以及人们对135端口进行防范的加强，这种方法已经逐渐菜鸟化，真正的高手不屑一顾。黑客抓鸡的方法有很多，比如我们还可以利用迅雷进行捆绑木马的传播，这是个较流行的抓鸡方法。

防编辑：既然黑客利用135端口入侵，我们只要将相关功能进行禁止，或加以限制就可以了。另外，对于黑客使用迅雷进行捆绑木马的传播，除了在下载的过程中利用迅雷的安全功能进行检测以外，还可以利用《网页木马拦截器》这款工具。无论是网页木马还是捆绑木马，只要运行就会被拦截并且提示用户注意。

----------------------------------------------------------------------------------------------------------------

Ps：以上内容引自电脑报

（不必恐慌，积极应对解决才是上策）

Torntv是木马病毒么?

木马病毒是不是与

病毒非常不同的主要破坏数据，硬件和软件的销毁目的

木马程序窃取数据为主，数据木马篡改后的目的

可能会失去进入账户，各种密码和用户名，你的电脑的遥控器，开启外围设备的远程控制您的机器

“木马”程序是目前比较流行的病毒文件，和一般的病毒，它不自我复制，它不是“刻意”去感染其他文件，它伪装本身吸引用户下载执行强加一种木马是一个门户网站，提供开放式播种机的电脑可以使任何类型的设施损毁，被窃按品种这些文件，甚至远程控制谁是计算机类型。 “木马”与计算机网络经常使用远程控制软件有些类似，但由于远程控制软件是控制的“善意”，因此通常不具有隐蔽，“特洛伊木马”是完全相反，木马要实现。遥控器的“盗窃”，如果没有很强的隐蔽性的话，它是“没有价值”。

一个完整的“木马”程序由两部分组成：“控制”中的“服务器”和植入物是由计算机被种植在所谓的“黑客”的“服务器”部分是使用“控制人”到“服务器”的计算机的运行。木马运行“服务器”后，谁是样的电脑都必须打开一个或多个端口，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私将不能保证！

病毒是附着于一段计算机代码，可以在计算机之间进行传输的程序或文件。而被感染的计算机，而它的传播。病毒可能会损坏您的软件，硬件和文件。

病毒（名词）：为了澄清自我复制的代码编写的目的。病毒附着到宿主程序，然后试图在计算机之间传播。否则可能会损坏硬件，软件和信息。

分类按严重性和人类病毒（从普通流感病毒埃博拉病毒）一样，计算机病毒有轻重之分，轻仅产生一些干扰，重型设备完全摧毁。值得庆幸的是，在没有人员操作的，真正的病毒不会传播。必须共享文件，并通过一个人发送电子邮件，以将它一起移动。

“木马”全称是“特洛伊木马（TrojanHorse）”，原指古希腊士兵藏在木马里的故事变成敌人占领了城市，因此敌人的城市。在Internet上，“特洛伊木马”指一些程序员（或居心不良的马夫），可在其（下载）从网络应用程序或游戏外挂，或网页，其中包含用户的计算机系统可以控制或下载通过邮件恶意程序窃取用户的信息可能会造成用户的系统被破坏，丢失，甚至导致系统崩溃信息。

一个木马功能

服务器模型/木马。它分为两部分，在客户端和服务器。其原理是一台主机的服务（服务器端），另一台主机接受服务（客户端），作为服务器的主机一般会打开一个默认的端口进行监控。如果你有一个客户端的连接请求，相应的程序会自动在服务器到客户端的请求到服务器的端口的承诺上运行。这个过程被称为进程。

一般找到一个后门木马，盗取密码的基础。统计数据显示，该木马病毒是现在这个比例已经超过了四分之一，而近年来，汹涌的大潮病毒，木马，病毒统治阶级，加大在未来数年。木马是一种特殊的病毒，如果你不小心把它当作一个软件，在电脑上的木马会“好心”，互联网之后，电脑是完全移交了“黑客”的控制权，他将可以通过跟踪键盘输入等，窃取密码，信用卡号码和其他机密信息，而且还可以在电脑监视，控制，查看，数据等操作上进行跟踪。

二，木马攻击特性

在使用电脑的过程中，如果你发现：电脑响应速度被改变，硬盘是不断阅读和写作，鼠标不听使唤，键盘是无效的，他们的一些窗口被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直闪烁，不运行大型程序，系统越来越慢，用了很多的系统资源，车站，或运行一个程序没有反映（此类程序一般都比较小，从十几元到几百KK有），或者当您关闭一个程序，有一个防火墙来检测发送的消息......这些异常说明：您的计算机木马病毒。

三，木马工程和手动查杀介绍

由于大多数的玩家都知道很多关于安全问题，所以不知道他们的计算机上的“木马”是怎样去除。所以，最重要的是要知道“木马”的工作原理，所以会很容易发现“木马”。我相信你看了这篇文章之后，你就会成为高手的查杀“木马”了。（如果你不能反客为主建议你用橡皮筋演奏竹楼玻璃，嘿嘿）

“木马”程序会想尽一切办法隐藏自己的主要方式有：隐藏自己在任务栏上，这是最只要的基本形式Visible属性为False。 SHOWINTASKBAR设置为False，程序运行时就不会出现在任务栏中。隐形在任务管理器：该程序被设置为“系统服务”可以很容易地伪装自己。

A，启动一组类（即，文件组到机器启动时运行）

当然，该木马会悄悄启动，你当然不希望每次用户启动点击“木马”图标来运行服务端，（没有人会这么愚蠢，对吧？）之后。 “木马”会在每次用户启动服务器时自动加载，应用程序会自动加载方式启动时，Windows系统中，“木马”会用上，如：启动组，win.ini中，的system.ini，注册表等等都是“木马”好地方躲起来。受win.ini和system.ini来加载木马。在Windows系统上，win.ini和system.ini这两个系统配置文件都存放在C：windows目录下，你可以用记事本打开。您可以win.ini文件窗口盛典“负载= file.exe程式，运行= file.exe的”语句来实现自动加载木马的目的。此外，根据在正常情况下的“Shell = Explorer.exe的”（图形化的Windows系统界面的命令解释器）在SYSTEM.INI的启动部分。下面具体谈谈“木马”是怎样自动加载的。

1，在win.ini文件中，在[WINDOWS]下面，“运行=”和“LOAD =”是可能加载路线“木马”程序必须仔细注意它们。在正常情况下，在他们身后没有等号，如果发现后面的路径和文件名不是你熟悉的启动文件，你的电脑可能会在“特洛伊木马”。当然，你也得看，因为很多“木马”，如“AOLTrojan木马”，它把自身伪装成COMMAND.EXE文件，如果不注意可能不会发现它不是真正的系统启动文件。

用c：windowswininit.ini文件。很多木马在这里做一些小动作，这种方法往往是在安装文件中使用，该文件将在安装后立即执行完成后，删除原始文件，同时一个干净的Windows安装，因此隐蔽很强大，例如，如果重命名节Wininit.ini的以下内容：NUL = C：windowspicture.exe，语句C：windowspicture.exe发送到NUL，这意味着原始文件pictrue.exe已被删除，所以它运行它尤其微妙。

2，在system.ini文件中，在[BOOT]下面有个“shell =文件名”。正确的文件名应该是“explorer.exe的”，如果不是“explorer.exe的”，但是个“shell = explorer.exe的程序名”，那么后面那个程序就是“木马”程序，您必须在“木马“。在“运行”中看到

的win.ini，system.ini文件中通过“开始”菜单。只需键入“msconfig”，在“运行”对话框中，点击就行了“确定”按钮。（这里要注意的是，如果你不是很了解电脑的，不输入此命令或删除里面的文件，否则一切后果和损失自己。画报，我不承担任何责任。）

3，下列文件必须不遗余力检查，木马也可能隐藏

C：\ WINDOWS \ WINSTART.BAT和C：\ WINDOWS \ winnint.ini，有自动执行。蝙蝠

B，注册表（Registry是注册表，人谁懂电脑看到一个）

1，从菜单中加载。如果该文件被自动加载，直接在Windows菜单自定义添加，通常在主菜单上的“开始 - 程序 - 启动”在那里的Win98的资源管理器是位置“C：windowsstartmenuprograms开始”的地方。通过这样的方式，这样，当它通常存储在以下四个位置的注册表中的文件被自动加载：

HKEY_CURRENT_USER \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \浏览器\ ShellFolders

BR / HKEY_CURRENT_USER \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \浏览器\用户！ hellFolders

HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \探险\ UserShellFolders

HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \探险\ ShellFolders

2，在最复杂的情况下，注册表，点击至：“HKEY-LOCAL-MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \运行”目录下，查看键值中有没有自己不熟悉的自动启动文件扩展名为EXE，这里切记：有的“木马”程序生成的类似文件系统本身的文件，要通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它注册表“HKEY-LOCAL-MACHINE \ SOFTWARE \ MICROSOFT \ C中的Windows \ CURRENTVERSION \运行“下的改变浏览器= Explorer项”：\ WINDOWS \ expiorer.exe“，”木马“只有”i“与”l“和真正的进程资源管理器之间的差异。当然，有很多地方在注册表中可以隐藏“木马”程序，如：“HKEY-CURRENT-USER \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \运行”，“HKEY-USERS \ **** \ SOFTWARE \ MICROSOFT \“目录下都有可能，最好的办法就是在”WINDOWS \ CURRENTVERSION \运行木马“程序的文件名HKEY-LOCAL-MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENTVERSION \运行”下找到“，然后在整个注册表中搜索。

3，同时在注册表中的HKEY_CLASSES_ROOT \ exefile \壳\开放\命令=

“1”，“*”的地方，如果其中的“1”被时，木马，所以每次启动启动一个木马，如著名的冰河木马可执行文件时会的Notepad.exe TXT文件被改变！它自己的启动文件，当它就会自动打开记事本开始冰木马每次，一直很微妙。

注册表，在“运行”对话框，查看键入“REGEDIT”。应该指出，系统注册表的操作一定要删除注册表备份，注册表操作，因为存在一定的风险，再加上比较隐蔽的木马隐藏，可能会有一些错误，如果你发现一个错误之前，你可以备份注册表文件导入到系统恢复。（子命令是同样危险的，比如一台电脑，请不要试着去了解。记住）

C，端口（端口，实际上，网络数据录入到电脑中，通过操作系统的）

1，最终，该木马有一个方式开始，它只是在一个特定的情况下启动。所以平时多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰川7636，Sub71243

那么如何打开机器，看看有什么端口？

输入在dos下面的命令：netstat-一个，就能看到他们的口，并用一般的网络端口是：21,23,25,53,80,110,139，如果你的端口有其他，你可要注意了，因为现在有很多木马可以设置端口本身。（以上的端口是以前木马，由于时间，现在很多新的安全关系木马端口我不知道，也不敢去尝试，因为技术更新太快，我跟不上。55555555555555）

2，由于运行通过网络连接实现正常的木马，所以如果你发现一个可疑的网络连接，可以推测，木马的存在，最简单的方法是使用内置的Netstat在Windows命令来查看。一般情况下，如果没有任何互联网操作，使用netstat命令来查看哪些信息MS-DOS窗口，那么你可以使用“netstat-a会”，“-a”选项在当前计算机显示所有监控状态的端口。如果有不明端口处于侦听状态，现在他们不进行网络服务进行任何操作，那么监听的端口很可能是木马。

3，为系统进程：

XP中/按“CTL + ALT + DEL”，进入任务管理器，你可以看到所有正在运行的系统进程， 11盘点活动，都可以找到木马进程。

在Win98下，在搜索过程也不是那么容易接近，但也有发现过程中的一些工具。通过查看系统进程这种方法来检测木马是很简单，但必须熟悉该系统，因为系统运行的是Windows本身是值得大家都不是很熟悉，正在运行的进程，所以这个时候一定要小心，木马可以仍然通过这种方法来检测。

4，查杀木马软件介绍

上述将被检测到，或手动删除该木马程序，但一般不是那么容易找到的木马，木马是隐藏的，哦。幸运的是，已经有很多的反木马软件。这里有几个软件，

1，瑞星杀毒软件。

2，天网防火墙个人版。根据该原则，反弹木马，即使你是在别人的马，但是因为防火墙分隔您的电脑和外面的世界，木马客户端无法连接。防火墙启动后，一旦发现可疑的网络连接或木马对计算机的控制，防火墙就会报警，而另一面显示的IP地址，接入端口等提示，你可以手动进行设置后，其他的都不会受到攻击。但是对于一些个别的机器，天网会影响机器的运行速度。

3，木马克星。目前我所知，只有查杀木马软件能够那种杀戮高达木马软件。正如其名称所暗示的，浑身无力宇宙无敌木马克星克北冥槌槌，也不是立法，特别是克各种木马。呵呵，不过也不是绝对的，因为如果“灰鸽子”可以屏蔽木马克星。（哦，我听说过，它没有尝试。“灰鸽子”是一种木马，和冰川差不多。）（木马克星现在大多未注册版本时，用木马克星检查，如果发现木马提示仅注册用户可以清除，这是一个小的只的手段，事实上，他的意思是，如果我们发现了木马，只有注册用户才可以理解，如果你真的发现木马，木马软件会告诉你什么样的具体位置和名字，我们使用其他软件和工具都不清楚就行了）

4。绿鹰PC万能精灵。他会监视你的电脑实时收看了“系统安全”的心理舒适。

随着这些类似的防护软件，你的电脑基本是安全的。但路铭记。最近，出现了一个转折点可以伪装的木马程序（不知道哪位高手搞的，是非常强大的），是基于机体产生多种排列组合，以及反病毒软件的木马只能查杀他们的母亲。然后，该木马不会被发现生成的，所以手工劳动来清除木马我们还是有一些办法。

其他查杀病毒软件是木马也相当成功非常有效的检查，但它并不完全清楚是理想的，因为根据在木马的时间正常情况下会在每次启动时自动加载计算机，杀病毒软件无法彻底清除木马文件，在一般情况下，杀病毒软件作为木马入侵防御更有效。

五木马防御

随着网络设备和网络游戏可以改变人民币的大潮的普及，木马传播的速度越来越快，和另一个新变种，虽然我们检测清除它，更要注意采取措施，以防止它，下面列出的木马几种预防方法。（每个人的意见，我借它）

1，不下载，接收，执行从未知

许多木马都是通过其他软件或文件，必将实现通信，一旦运行该软件或文档会被感染的束缚，因此需要特别注意在下载的时候，一般建议到相对高一些信誉良好的网站。在安装软件之前必须使用杀毒软件检查，特别推荐查杀木马的软件进行检查，以确定使用无毒，无马前。

2，不要打开电子邮件附件，不要点击可疑电子邮件的图片。（后面另一种描述信息的一个例子，大家注意看。）

3，资源管理器被配置为始终显示扩展名。在Windows Explorer配置为始终显示扩展名，一些文件扩展名的VBS，SHS，PIF文件大多是木马病毒签名文件，它应该引起注意，如果你遇到这些可疑的文件扩展名。

4，尽量少使用一个共享的文件夹。如果因为工作或其他原因必须设置为共享计算机，最好是打开一个单独的共享文本！文件夹中，所有需要的文件共享都放在共享文件夹中，不注重到系统目录设置为共享。

5，反木马运行的实时监控程序。木马守卫重要的一点是，运行反木马程序的实时监控上网的时候是最好的，PC软件，如通用向导，可以运行目前所有节目的实时显示和详细说明。此外，与一些专业的最新杀毒软件，个人防火墙等基本的监控可以放心。

6，定期升级系统。许多木马都是通过系统漏洞攻击，而这些漏洞的发现之后，微软将发布一个补丁在第一时间，有很多次的系统本身的防范木马后修补的最佳途径之一。

六个单独的例子木马传播（引进一个邮件类）

1，从网络上越来越多使用的软件或操作系统平台的攻击，一些恶意木马网页嵌入网页的HTML HTML JavaApplet等通过执行的小程序，javascript脚本语言程序的安全漏洞，ActiveX软件组件的技术支持程序交互，自动执行代码，强行用户操作系统的注册表和系统配置实用程序，实现非法控制系统资源，破坏数据，格式化硬盘，感染木马窃取用户数据和其他用途。

从当前网页

攻击分为两种类型：一种是通过编辑脚本来IE浏览器，另一种是直接破坏Windows系统。前者通常IE浏览器的标题栏，默认主页或直接到木马“种”在你的机器，等等;后者则直接锁定您的键盘，鼠标等输入设备，然后破坏系统。

（作者插言）：幸运的是，目前的千年窃取用户名和“木马”功能的密码仅仅是盗窃，并没有发展成破坏性的行为。号被盗否则，在硬盘被格式化的方式。第一次，以为永远不可能取回密码。我希望这种情况不会发生。（阿门我麋拖佛）

下面是问题，我们仔细阅读！

如果您收到电子邮件附件，似乎有这样一个文件（或看似有关文件，总之，是特别有吸引力的文件，但格式仍然是安全的。）：QQ靓号运行。 txt的，你肯定不会想到它是一个纯文本文件？我想告诉你，不一定！它的实际文件名可以运行QQ靓号。 TXT。 {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

在注册表

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}是一个HTML文件关联的意思。但是，当保存为一个文件名不会显示出来，您看到的是一个。 txt文件，这几乎是相同的QQ靓号运行。 Txt.html。然后打开文件直接为什么危险？如果你看看这个文件的内容如下：

你可能会认为它会调用记事本来运行，可是如果您双击它，结果它称为HTML在运行背景和自动启动页面加载木马文件。这样的同步显示对话框“是打开文件”想愚弄你。你可以自由地打开附件看txt的危险够大了吧？

欺骗原理：当您双击这个伪装成txt的，因为真正的文件扩展名，则{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是html文件，于是就。将在HTML文件的形式，这是一个先决条件，它运行起来运行。

在一些恶意木马程序将调用“WScript的”。

WScript的全名WindowsScriptingHost，它是Win98下新增加的功能是一个批次语言/自动执行工具 - 它所对应的程序“WScript.exe的”是一个脚本语言解释器，位于c：\ WINDOWS下，是它使得脚本可以被执行，作为同一批次的执行情况。在WindowsScriptingHost脚本环境，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量，创建快捷方式，加载程序，读写注册表等功能。

最近听到很多玩家反映，许多新郎“您的密码确认千年，”通过千年假装送玩家喜欢，“你的建议千禧数据保护的名称的方式，官方网站“等消息，骗取玩家的信任来运行木马点击邮件。我希望广大玩家在该消息的点击必须看到无论是从千年的官方网站的消息。如果是从什么其他邮箱网站或个人，应立即删除，记得删除向右走，不要采取任何机会。

七，关于“木马”防卫（纯属个人意见，不付责任）

防止木马在互联网上的家是一个很简单的事情，只不过装了很多的杀毒软件，并及时升级。（同样，只要新的木马传播速度快，然后很快成为各种杀毒软件的战利品，除非这个人特别定制个人木马）加天网防火墙（很多黑客和安全漏洞是使用密码进行远程控制，该防火墙可以防止密码和攻击）基本上可以解决问题，除非是自己的好奇心，或不小心打开了木马的一面，我认为这种情况是有一定的比例！

但是对于网吧，即使是最好的防御撤出是白色的。

据我所知，现在网上直逼00万美元的安全系数，是目前最强大的还应该安装一个“它的原创精神，”但是.....我个人认为有用的东西不是很大，这是为了保护用户的密码比它是一个软件保护系统网吧。现在的木马通常是通过邮件发送的密码，也就是说，只要你控制方木马后，在输入框中输入您的密码必须得到您的ID和密码（一般不超过三分钟）！对于网吧的朋友，通过复制的方法来进入被认为是最安全的，很多木马实际上是一个键盘记录工具，如果你在不知不觉中把你记录所有的键盘输入的情况下，再通过网络发送ID和密码！（呵呵那么可怕，但我现在知道与公安部和文化部已经禁止网吧安装了还原精灵，谁表示，为了保存历史等等。唉防御手段，以这样的一点也给禁了，哭哦）

总之，家庭互联网用户要记得更新自己的病毒库，经常检查电脑程序，立即查杀发现的过程是未知的，不浏览一些不知名的网站（我通常依赖于域来分析网站的可靠性，一般水平的域名将不会出现恶意代码和木马），但不给人们自由地接收文件和电子邮件发送！

互联网安全真的很难，什么人都有的，复杂的，甚至是老板花钱注册一个木马克星，呵呵。。。没用的，人谁不想做同样的坏事可以杀了他我个人认为，网吧除了复制并粘贴到输入框的ID密码，其他人已经辞职了

8，对醉汉弄大家用1.1G的描述

使用别人的软件，人们可以随时要求是公平的。前一段时间，酒鬼1.1G软件运行后，有人说，没有任何反映。当此刻关闭软件，一些防护型的软件注：本软件是监控本地的键盘！！

事实上，在玩耍hook.dll文件醉翁巷。在这里，我们谈论我的问题了“钩”。

什么是钩

在Windows系统中，钩子（Hook）是一种特殊的消息处理机制。消息钩子可以在多种发送到拦截目标窗口和处理事件消息的监视系统或过程。通过这种方式，我们可以在您的系统钩子的自定义监控系统的特定事件发生时，在完成特定的功能，比如截获键盘，鼠标输入，捕捉，日志监控等的安装。可见，利用钩子可以实现许多特殊而有用的功能。因此，对于高级程序员，主钩编程方法是必要的。

钩型

按用途分类的，主线程和系统钩子钩

（1）监视指定线程钩子事件消息的线程。

（2）对所有线程的系统钩子监视系统事件消息。因为系统会影响系统钩子的所有应用程序，所以钩子函数必须放在独立的动态链接库（DLL）。这是一个系统钩子和线程钩子很大的区别。

在hook.dll程序

醉翁巷是完成因为方案挂钩的特殊性上述功能，所以会有一些软件报告，发现他在记录键击，但没有报告说他是木马。（哦，做的确实很吓人，但即使其记录键击，没有他们不送太危险了）

九，大数目（即在大笔它的顶部）

我们知道了“木马”的作品，查杀“木马”就变得很容易，如果你找到“木马”存在，最安全和最有效的方法是立即断开网络连接的计算机上，通过网络以防止黑客攻击你。并根据实际情况再进行处理。

在这里，我们谈论我的机器防护设备：（一共有5个样品的）

XFILTER个人防火墙：这是防火墙没有杀毒功能，不仅可以监控所有的经过我个人的权限来连接网络。它会连接到任何网络通知和要求。安装该软件，如年“第一”运行后，它会提示你到C：\程序文件\ 1000Y \的Client.exe连接到网络，是否释放。这是为了防止这种情况。

瑞星杀毒软件：杀各种恶意病毒和木马主要致力于在2004年版的游戏保护。

还原精灵：记录当前硬盘和系统信息。硬盘和系统，无论什么样的行动后，可以恢复到原来的样子。例如，我们2003年11月1日，现在的C硬盘和系统备份保存，2003年12月1日因感染木马程序，系统还原，还原所有的东西11月1日之后将恢复，2003年是备份的方式。不管你在C盘进行操作，将改变回备份。该软件有一个缺点，它会影响机器的启动速度。但不影响机器的运作。最近有在游戏的新版本的一些朋友，有冲突。

木马克星：我不能多说了，网络游戏玩家必备的东西。

十六进制编译器：具体名字我就不说了，有兴趣的朋友可以轻松地查找就行了使用。主要是用于扫描和检测可疑程序的数量。

上述各软件都可以在各大门户网站和各大下载的专业网站，其中一个小女子不能提供的URL，以避免不必要的麻烦找到。

怎样设置win7的本地安全策略来防止黑客攻击

1、点击“开始”，在搜索框中输入“本地安全策略”，点击“本地安全策略”，就可以打开了。如图1所示

2、打开“本地安全策略”界面，点击“本地策略”——“安全选项”，找到“网络访问：可远程访问的注册表路径”和“网络访问：可远程访问的注册表路径和子路径”这两个选项。如图2所示

3、双击打开“网络访问：可远程访问的注册表路径”，删除“注册表路径”，点击“确定”。如图3所示

4、双击打开“网络访问：可远程访问的注册表路径和子路径”，删除“注册表路径”，点击“确定”。如图4所示

安装消息钩子是什么意思

安装一个钩子函数，用于在消息发送到目标窗口过程前将其截取。该类型可以是一个系统级别的钩子或者线程级别的钩子。也就是通过安装“消息钩子”,可以窃取网络游戏玩家的账号密码，发送到黑客指定的远程服务器或邮箱，导致用户无法正常运行游戏

钩子问题.

以前做过编程，但现在都忘个差不多了，给你查了一点，看能不能有帮助

HOOK编程与消息处理一2009-06-14 16:02阅读本文需要一定的C++基础和windows编程基础，另外对动态链接库原理和机制也要有一定了解。我尽量讲解得简单明了一些。

因为考试系统项目中要对系统中的键盘消息进行处理，而WEB页面中对系统热键、功能键不能进行有效处理，如（ALT+F4 ALT+TABLE等等），因此需要编写一个WIN32下的客户端程序，内嵌一个WebBrownser实现页面显示(或用CHtmlView对象实现，其实道理都是一样的），这样我可以在客户端程序框架中对键盘消息进行处理。

本文介绍的内容主要是利用动态链接库安装全局进程钩子，实现应用程序的主导控制，因此本文的范畴还是在COM相关领域中。#此前在首页部分显示#

关于Hook编程，以前我总是认为很神秘，因为黑客技术中经常用到HOOK，比如最常见的盗取密码。下面我们来一窥门径。

首先我们来简单了解一下窗口句柄和WINDOWS消息处理机制；

窗口是Windows应用程序中一个非常重要的元素，一个Windows应用程序至少要有一个窗口，称为主窗口。窗口是屏幕上的一块矩形区域，是Windows应用程序与用户进行交互的接口。在windows应用程序中，窗口是通过窗口句柄（HWND）来标识的。我们要对某个窗口进行操作，首先要得到这个窗口的句柄。句柄（HANDLE）是Windows程序中一个重要的概念，使用很频繁。在windows程序中有各种各样的资源（窗口、图标、光标等），系统在创那家这些资源时会为它们分配内存，并返回标识这些资源的标识号，即句柄（图标句柄HICON、光标句柄HCURSOR、画刷句柄HBRUSH）。

Windows程序设计是一种完全不同于DOS方式的程序设计方法。它是一种事件驱动方式的程序设计模式，主要是基于消息的。例如当用户在窗口中画图的时候，按下鼠标左键，操作系统会感知这一事件，并将这一事件包装成一个消息，投递到应用程序消息队列中，然后应用程序通过调用GetMessage函数从消息队列中取出消息，然后调用DispatchMessage函数将这条消息调度给操作系统，操作系统会调用在设计窗口类时指定的应用程序窗口过程（WindowProc）对这一消息进行处理。

在实际应用中，可能要对某个特殊消息进行屏蔽，如在我的考试项目中要对键盘消息进行屏蔽，而鼠标消息不与处理。我们可以给我们的程序安装一个HOOK过程（钩子过程）来实现这一功能。在程序中，我们可以过SetWindowsHookEx函数来安装一个钩子过程。该函数声明如下：

HHOOK SetWindowsHookEx(

int idHook, // type of hook to install

HOOKPROC lpfn, // address of hook procedure

HINSTANCE hMod, // handle to application instance

DWORD dwThreadId // identity of thread to install hook for

);

SetWindowsHookEx函数的作用是安装一个应用程序定义的钩子过程，并将其放到钩子链中。应用程序可以安装多个钩子过程，对我们感兴趣的多个消息进行检查。这样多个钩子过程就形成了钩子链，最后安装的钩子过程总是排在该链的前面。如果调用成功，SetWindowsHookEx函数返回值就是所安装的钩子过程的句柄，否则返回NULL。

各参数的含义各位读者可以看下MSDN，MSDN中的英文也是很好读懂的，各位不要害怕。

第一个参数idHook MSDN中给出的含义是Specifies the type of hook procedure to be installed. 中文意思就是指定将要安装的钩子过程的类型。在我的项目中因为要处理键盘消息，因此本文中我会将其设为WH_KEYBOARD。如果要处理鼠标消息可将其设为WH_MOUSE。

第二个参数lpfn 指向相应钩子过程。如果参数dwThreadId 为0，或者指定了一个其他进程创那家的线程的标识符，那么参数lpfn 必须指向一个位于某动态接库中的钩子过程。否则，参数lpfn 可以指向当前进程相关代码中定义的一个钩子过程。

第三个参数hMod 指定lpfn 指向的钩子过程所在DLL的句柄。如果参数dwThreadId 指定的线程由当前进程创建，并且相应的钩子过程定义于当前进程相关的代码中，那么必须将此参数设为NULL。

第四个参数dwThreadId 指定也钩子过程相关的线程标识。如果其值为0，那么安装的钩子过程将与桌面上运行的所有线程都相关。

关于进程内的钩子比较简单，大家参看MSDN中的MouseProc、CallNextHookEx以及上面的SetWindowsHookEx等函数的说明就可以实现。在这里我们要写一个应用全局钩子的应用程序，主要是我想在程序运行时对桌面运行的所有进程的键盘消息都进行屏蔽。好，我们现在建一个空的DLL工程名为HookTest,再建一个C++源文件HookTest.cpp，在源文件中写一个函数SetHook用以安装钩子过程，再写一个函数UnHook用以卸载钩子过程。代码如下：

LRESULT CALLBACK KeyboardProc(

int code, // hook code

WPARAM wParam, // virtual-key code

LPARAM lParam // keystroke-message information)

{

if(VK_F2==wParam)

{

SendMessage(hWnd,WM_CLOSE,0,0);

UnhookWindowsHookEx(hKeyboardHook);

}

return 1;

}