本文目录一览：

• 1、请问我被同一黑客持续攻击怎么办？
• 2、为什么黑客能从IP地址进入电脑盗取号码?
• 3、黑客帝国的剧情
• 4、什么是黑客？

请问我被同一黑客持续攻击怎么办？

未必是同一个黑客~！

虚拟内存你有可能设置得太小了,因为就算黑客入侵加上一个浏览器也不应该会出现内存不够用的状况

判断黑客入侵你可以去看看防火墙的监控记录

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

因为防火墙有拦截数据的功能，所以如果我们利用该功能将通往135端口的接收和发送数据全部拦截下来，就可以阻止他人连接我们的135端口了~

我们以天网防火墙为例子，因为用的人多，操作也简单，一看就明白了~立刻行动吧！

a.打开天网防火墙，可以见到如图所示的界面，单击“自定义规则”，我们要自己来增加一个规则，

所以再单击“增加规则”。

b.现在可以看到一个增加IP规则的对话框。

规则的名称和说明没有限制，喜欢就好~不过为了方便查看，我们就叫“拦截135端口”

数据包方向：接收或发送（同时阻止通过135端口接收和发送数据）

对方IP地址：任何地址

数据包协议类型：TCP （因为135端口是一种TCP协议端口）

本地端口：从135到135（定义了要拦截的端口只为135端口）

对方端口：从0到0 （端口为0时为对方的任何端口）

TCP标志：SYN

当满足上面条件时：拦截

好了，一个IP规则制作完成~确定！

c：把我们刚刚制作好的规则放到同类规则的最顶端

使用向上箭头直到不能再向上，并选上勾，然后保存（这一步忘记就白辛苦了|||）

其它端口的关闭设置方法类似，如要开放端口，把‘拦截’改为‘通行’就可以了。

方法2 自定义安全策略

如果我们手头暂时没有防火墙工具的话，那么可以利用Windows服务器自身的IP安全策略功能，来自定义一个拦截135端口的安全策略。

a.打开控制面板，找到管理工具里面的本地安全设置。

b.看到界面，我们选择左边的IP安全策略，在本地机器。

然后在右边空白处单击右键，选择创建IP安全策略。出现了一个设置向导。点击下一步

名称也是看自己喜欢了，我们还是叫拦截135端口~下一步

去掉激活默认响应规则的勾，下一步

点击完成，我们就创建好了，

接下来设置我们用这个规则来干什么，我们是拦截135端口所以添加一个IP安全规则，单击添加（不需要向导所以去掉添加向导的勾）

在IP筛选器列表中，我们添加一个新的。单击添加...

在这个对话框中名称还是自定义，去掉添加向导的勾，然后单击添加...

准备开始设置规则了：）

在寻址标签中，设置：

源地址：任何IP地址

目标地址：我的IP地址

在协议标签中，设置：

选择协议类型：TCP

设置IP协议端口:

从任意端口，到此端口：135

确定后可以看到筛选器中多出了一条。关闭后在IP筛选器列表中选择我们刚刚建立的拦截135端口。

我们建立好了可是电脑还不知道我们要怎么使用这个规则，不要紧，只要在筛选器操作标签中添加一个操作就完成了~

单击添加...只用在安全措施种选择阻止就ok了（可以在描述中设置名称）

同样选上这个操作。确定后我们就完成了99%！

由于windows默认IP安全策略中的项目是没有激活的，所以我们要指派一下，点击指派。完成99.9%

重新启动！100%

其它的端口设置类似，多试试看~

PS:如果没有IP安全策略可以在控制台中新建

在运行中输入：mmc回车

然后在控制台按钮中选择添加删除管理单元

然后单击添加...

在其中选择：IP安全策略，再添加即可，这时的操作就和上面一样了。

方法 3 筛选TCP端口

我们还可以利用Windows系统的筛选TCP端口功能，将来自于135网络端口的数据包，全部过滤掉。

先打开“Internet协议(TCP/IP)”属性设置对话框

可以在控制面板中的网络连接找到本地连接，打开，点击属性。

选择TCP/IP协议，再单击属性

在右下脚找到高级，单击进入后找到选项标签，选择其中的TCP/IP筛选，进入属性

选中启用TCP/IP筛选选项，同时在TCP端口处，选中只允许，并单击添加按钮，填入常用的21，23，80，110端口，最后单击确定按钮，这样的话其余端口就会被自动排除了。

以后如果要添加或者删除都可以同样操作。

何关闭3389的端口要想玩马,首先是不能让电脑中马或即使有马也让它起不了作用--今天浅谈如何关3389端口防止别人浸入你的电脑

第一步：

开始---运行

输入services.msc

找到Terminal Services关掉

这里我已经关掉了~你们自己关吧~

第二步

开始---运行

输入regedit打开注册表

[HKEY_LOCAL_MACHINE\System\control\Terminalserver\wds\rdpwd\tds\tcp分支,选中名为portnumber的键值,将其3389改为其他（如1234）看我操作这里control有2个分别为controlSET001 和controlSET002我一个一个来 先进controlSET001在来controlSET002

下面我们在看currentcontrolset

[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations\RDP-Tcp\PortNumber分支里应该有一个或者很多类似的子键,一样的改他的值3389为其他（如1234）

好了`~这样就把你电脑上的3389端口完全关闭了~~

如何关闭端口防止病毒与黑客入侵

如何关闭端口防止病毒与黑客入侵

注:关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp.

第一步，控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名;再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口;在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”;点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框;最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

为什么黑客能从IP地址进入电脑盗取号码?

木马入侵的工作原理

在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明，因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

（一）配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等。

（二）传播木马

1、传播方式：木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

2、伪装方式：鉴于木马的危害性,很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。主要有以下6个方面：

（1）修改图标：当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢？但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT， ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。

（2）捆绑文件：这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE，COM一类的文件)。

（3）出错显示：有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

（4）定制端口：很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。

（5）自我销毁： 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

（6）木马更名：安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

（三）运行木马： 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方：

第一、注册表：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

第四、Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

第五*.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

第六、注册表：打开HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值。举个例子，国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

第七、捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

第八、启动菜单：在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

①1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。

②1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

③4000端口：这是OICQ的通讯端口。

④6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

（四）信息泄露：一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

（五）建立连接： 一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，假设B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

（六）远程控制：木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，这是多么吓人的事。

tt

四、黑客是如何骗取你执行木马的

如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈“马”色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易“招惹”它，因而中标的机会也就相对减少了。对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件

首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为什么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是.exe，而木马程序的扩展名基本上又必定是.exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了。

还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。修改文件图标的方法如下：

1）比如到 下载一个名为IconForge 的软件，再进行安装。

2）执行程序，按下File Open

3） 在File Type 选择exe 类

4）在File Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

5）然后按下File Save 便可以了。

如此这般最后得出的，便是看似jpg 或其他图片格式的木马了，很多人就会不经意间执行了它。

2、合并程序欺骗

通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后只需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的：

以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：

（1）合拼后的文件体积过大

（2）只能合拼两个执行文件

正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。

首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。

最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的隐蔽性是不言而喻的。

3、以Z-file 伪装加密程序

Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将 此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马，甚至病毒！当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行 ，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。

黑客帝国的剧情

《黑客帝国》(The Matrix)

剧情简介：

在不久的将来，一名年轻的网络黑客（基奴李维斯）发现看似正常的现实世界实际上是由一个名为“矩阵”的计算机人工智能系统控制的，人们就象他放牧的动物一样。李维斯便在网络上查找关于“矩阵”的一切。后来在一名神秘女郎（嘉丽安莫斯）的引导下见到了黑客组织的首领（劳伦斯费许本），三人一起走上了抗争“矩阵”的征途。

“尼奥，你曾经作过这样的梦吗，你如此肯定的东西是真的吗？你是否能从那样的梦中醒来？你能分辨出梦境与现实世界的区别吗？”

尼奥不顾一切地想追寻“矩阵”的真相－他在梦中总是听到关于它的耳语，这是一种神秘的不可知的东西，他能够肯定地感觉到它不祥地控制着他。

“矩阵是什么？”尼奥不知道，但是他相信默菲，一个传说中的人物，一个被描绘成非常危险的人能够给他答案。

“没有人能够说明白'矩阵'是什么，你只有亲自去看。”

尼奥面对着另外一个问题：他就是它吗？当然，虽然不知道为什么，尼奥的答案就是“不是”。默菲的朋友塞弗同意他的观点。而其他人则不那么肯定。

另外，还有人保护“矩阵”，由冷酷的史密斯带领，他们掌握着令人震惊的秘密。

尼奥、默菲和特莱妮必须用他们的生命对抗强大的敌人来追寻答案、寻找自我。

他们每一步都是危机四伏......

剧情攻略:

电影从真实世界开始的,人类城市正在遭受巨大的毁灭性打击,在尘土飞扬中出现了一条黑线,黑色的线慢慢变近,然后出现另外一条,然后是第三条线,这三条线穿过电子章鱼,穿过人类成长的地方,穿过了那些正在拼命挖地的大型机器,最后停在一个很大的看起来象外星人呆的城市。

但这都是一个梦,尼奥在醒来,发现自己在一个地铁的躺椅上。火车通过的隆隆声唤醒了他。他看到火车进站,一个看起来很脏很龌龊的流浪汉模样的人下了车,他让尼奥上车了,火车离开了车站。这个流浪汉告诉尼奥,他在这里很安全。

他告诉尼奥,那个法国人,是很早以前的一个程序,他被设计出来学习人类的罪恶感,罪恶感也是机器认为第一代matrix彻底失败的原因。设计师给了人类完美的世界,但在这个世界里,人类用他们天生的寻求自由的精神来抵制和破坏这个完美的世界。法国人想用消灭一切寻求自由的行为的方法来解决完美和自由意愿之间的不协调性。设计师就设计了另外一个程序来找出一个不需要消除人类自由意愿的解决方案。这个程序在研究了人类的历史后发现,自由意愿一直都是人类的一种假相,人类从来没有真正自由过...

《黑客帝国Ⅱ重装上阵》(The Matrix Reloaded)

【剧情篇】

上回说到NEO同学终于意识到自己的能力和使命，在中弹“复活”的同时，他也变成了无所不能“救世主”。结尾的“飞升”象征着人类超级英雄的诞生：NEO将带领锡安基地的人民，打响对机器世界的反击战，并将以胜利者的姿态结束这场战斗，还人类以自由之身。他的使命会实现吗？矩阵会那么甘心被摧毁吗？

实际上，整个《重装上阵》是NEO探寻自己使命背后真相的过程，他要为自己的行动寻找一个可以接受的理由。在上集打败密探史密斯、救出墨菲斯之后，NEO随同亲密爱人翠尼蒂和其他战友一起，乘坐Nebuchadnezzar号飞船返回地球上最后一个人类据点——锡安基地。在那里，他们和其他自由战士们聚集到了一起，其中包括墨菲斯的甜蜜冤家——奈奥比美眉。另外，基地的政治家们也上场了。

就在这时，矩阵系统决定“先下手为强”，派遣了为数250000的电子乌贼大军，开始进攻锡安基地，积弱的基地防守力量根本不足以对抗如此强大的机甲兵团，看来人类最后的香火也齑齑可危；当然，墨菲斯他们的飞船上有各种各样的资料，自然少不了中国那几本名为《左传》《史记》之类古籍的电子版本，NEO他们一下便想到了“围魏救赵”的良招，决定再次潜入矩阵，从内部破坏它，最后达到消灭机甲兵团的目的。同时，NEO也想再和“先知”谈一谈，以便更多地了解自己的神圣使命。

可是，“矩阵取经”的道路注定是凶险多端的：在寻找矩阵系统内唯一知道系统弱点的“制钥者”的过程中，NEO、墨菲斯和翠尼蒂遇到了前所未有的困难：敌人的能力升级了，数量更是增多了，NEO的超能力受到致命的挑战，墨菲斯和翠尼蒂对NEO的信心也受到无情事实的打击。究竟NEO他们能不能完成任务后从矩阵内部全身而退？锡安基地的命运如何？

到时自有分晓，嘿嘿……

【人物篇】

《黑客帝国》第一集固然看得大家拍案叫绝，其实出场人物极其有限，也就那么十来个人，包括那三个密探。到了第二、第三集可就不同了，角色数量暴增。也难怪嘛，NEO他们回到了人类基地，而矩阵系统也升级到XP了（预计到第三集会升级到Longhorn系统），因而，两个阵营内都有新人出现。这些家伙都是什么底细呢？

慢着，为了避免“喜新厌旧”的罪名，让偶还是来简要介绍一下旧人物的新动向。第一集中除了那个牺牲的、那个叛变的、和那个接线员，其他船员都会在第二集出现。那死掉的两个船员就不用说了，但Tank这个纯种人类不能在续集中出现，着实有些可惜，据说是因为挡期的原因。NEO和翠尼蒂这对璧人，自从在第一集末尾捅破那层矜持的纸，勇敢了表露真情之后，本集中更是如乾材烈火般如胶似漆到不可开交，害得墨菲斯得了严重的红眼病，直到他回到基地见到了小别胜新婚的奈奥比才痊愈。

第一集最大的反角，密探史密斯先生这次又以崭新的面目重新上市；其实，在第一集中他的言行就表明他已经部分感染了人类的感情和性格，这种感情加上他自身强大的意志力，使他得以对抗MATRIX让他消失的命令，在奇异复活的同时也获得了随意复制的超能力，成为MATRIX系统内的一个自由体。现在他的唯一目标就只有NEO，而且这种意识并非为了MATRIX系统的安全，而是完全为了自我强烈的复仇意识。为了杀死NEO，他可以摧毁任何东西，包括MATRIX。

“先知”在第二集中将有举足轻重的地位，事实上，她的身份一直是《黑客帝国》最大的一个迷：她到底是个人，还是一个具有自我意识的程序？她隐藏在哪里，又是如何产生的？这些问题，都只有等观众们在两部续集中寻找答案了。

好，熟人介绍完毕，轮到新丁们出来溜溜了：

◎铁血娘子—奈奥比（Niobe）

我们已经知道，这位美眉是墨菲斯同学的欢喜冤家；大部分人不知道的是，她还是锡安基地唯一的女船长，她的那艘飞船名为“洛格斯”（Logos），是整个基地上体积最小，但速度最快的飞船。大家别看该美眉身材娇小玲珑一如她的飞船，她可是基地指挥官里最强悍的成员，性格倔强，脾气也不小，连墨菲斯都得让她三分；同时，与墨菲斯相比，她对NEO并没有那么大的信心；她只相信自己，相信战斗才能改变一切。的确，她在战斗方面非常在行，个人搏击能力也属一流，难怪被选作担任《进入矩阵》（Enter the Matrix）游戏的主角了。

扮演这这一铁血娘子的，就是威尔史密斯同学的老婆——杰达·平克特·史密斯。诸位可能还不太熟悉这个名字，她就是艾迪墨菲的《肥佬教授1》里面那个漂亮黑美眉，也是去年《拳王阿里》中拳王的几位老婆之一。面对奈奥比这一极富挑战力的角色，杰达勇敢地演绎出了独特的风采，用她自己的话说，就是把她本人固执的一面发挥得淋漓尽致（相信她的老公对此深有体会，嘿嘿）。据说，威尔本人也是《黑客帝国》的超级影迷，他曾向老婆吹枕边风，要她向沃卓斯基兄弟代为求情，看能不能在续集中扮演个密探什么的，毕竟，他还是有不少穿黑衣、戴墨镜的经验的。奈何导演硬是不给面子，估计是考虑到要是这哥们把《黑超特警》的罗嗦劲带进MATRIX里，那整部戏的味道就变了。

◎战斗三人组—洛克（Lock）、ZEE、林克（Link）

洛克和墨菲斯一样，是另一艘指挥船的船长。目前尚不清楚他有何值得一提的故事；

ZEE是洛克的船员，和洛克是一对；

林克则是继坦克（Tank）之后担任墨菲斯的Nebuchadnezzar号飞船的新接线员。

虽然没有进一步的信息，但从这三人的身份来看，无疑是墨菲斯的并肩战友。从三人的造型来看，也没有哪一位象第一集的塞菲（Cypher）一样有叛变的可能。有鉴于整个故事还得以NEO、墨菲斯、翠尼蒂三人为重，因此这三人的戏份估计都比较少。

唯一有点八卦的是ZEE这个角色，她本来是由美国新锐女RB歌手阿莉亚（Aaliyah）扮演的，无奈后者在2001年8月25日的一起飞机失事中不幸遇难，那时她已经拍了十几个镜头了。这令《黑客帝国》的制片人乔西佛比较伤心，因为是他从《致命罗密欧》开始把阿莉亚捧上影坛的。

◎东方高手—守护天使（Seraph）

编辑美眉三令五申地要偶不要透露过多剧情，所以，这里偶只能按捺住急性子，告诉大家，这个守护天使是续集中某位关键人物的保镖，在电影中将有一段和NEO的对打，功夫指数十万！那么，该人物是正是邪呢？嘿嘿，你以为我会告诉你么？

本来，这一角色是沃卓斯基兄弟特别为李连杰量身订做的，指望由真正的东方“功夫皇帝”来出演这一战斗力级别和NEO不相上下的神秘人物。可惜双方在片酬上谈不拢，李当时要价1300万美元，而片方只能给出200万，因为差额太大，李放弃了这一角色。后来，片方又接触过东方女侠杨紫琼，不知怎的，也没有谈成。因此，这个机会最后落到了即使在亚洲也并不是很有名的倪星头上。该同志又名邹兆龙，出身于台湾，五岁习武，十二岁开始做替身，十八岁便主演了第一部电影。从台湾军队服役完毕后，他到香港电影圈发展，曾先后出演了《倚天屠龙记之魔教教主》、《中南海保镖》、《给爸爸的信》（又名《父子武状元》）、《白面包青天》等影片。有趣的是，在那几部和李连杰演的影片中，他的角色都是李的敌人，看来真是不是冤家不聚头啊。至于倪星同学在好来坞的前途，那就得看个人造化了；如果他在本片中给人印象深刻，有制片人出头把他包装成新一代功夫明星也说不定，毕竟，他还年轻。

◎邪恶宗师—梅罗纹奇（Merovingian）+致命诱惑—佩瑟芬（Persephone）

梅罗纹奇是MATRIX系统内的又一个超级神秘人物，他把自己象“先知”那样隐藏在系统中，同时他也拥有改写系统程序的能力。但是，他并不是站在NEO这边。他住在矩阵系统内的一座城堡里，沉迷于一切奢华的东西。然而，他唯一缺少的便是感情；俗话说，得不到的才是最好的，他也最热衷于沉迷在感情的虚像里。

佩瑟芬是这样一位Dracula公爵似人物的妻子。熟悉希腊神话的同志们都知道，佩瑟芬乃希腊神话中的“丰饶之神”，是主神宙斯和女神底米特之女，后来该仙女在玩耍的时候不小心被冥王哈第斯绑架，半推半就地做了后者的王后。电影中的佩瑟芬极其性感迷人，虽然她本身没有感情，但是只要她接触了某人，就会立刻感知对方的内心世界。

可以说，梅罗纹奇和佩瑟芬就象矩阵里的吸血鬼夫妇，优雅而致命。在整部续集中，他们都和NEO他们纠缠不清，而这两人之间也是彼此勾心斗角。这一对角色的加入，大大地增加了续集故事情节的复杂程度，他们与主人公的关系，也将极大地影响NEO完成他天赋的使命。

饰演梅罗纹奇的，是法国着名演员兰伯特·威尔森。无论是在大银幕，还是在舞台，他都有闪亮的表现，曾五次被提名法国电影恺撒奖（法国的“奥斯卡”）。最令人吃惊的是，该同学具有极其多样化的艺术细胞，他有着美妙的歌喉，出过数张唱片，个人音乐会更是开出了法国，开到了加拿大、日本，还有香港；同时，他还是位很有水准的音乐评论家。片中那位集优雅与邪恶于一体的梅罗纹奇，由这样一位多才多艺的同志出演真是再合适不过了。他在片中是什么样子呢？那可是属于高度机密，至今仍未曝光。至于扮演佩瑟芬的莫尼卡·贝鲁琪，是大家都比较熟悉的意大利美女，这里也就不再罗嗦了。

◎关键人物—制钥者

制钥者也是象“先知”一样“隐居”在矩阵内部的一个神秘人。在他的房间里有着成千上万把钥匙，其中有一把掌握着整个矩阵的口令。得到它，NEO他们就能成功地破坏整个矩阵了。当然矩阵为了这点要发飙，决不能让弱点掌握在别人手里。

扮演这位睿智的制钥者的是老舞台演员蓝道·杜克·金，有几十年的舞台经验，“触电”只是近几年的事，不过触到的都是中国观众比较熟悉的：周润发的两部《替代杀手》和《安娜与国王》。

◎至酷偶像—双子星病毒

如果要我说《黑客帝国》续集中最喜欢的角色，我会毫不犹豫地指出是这对病毒双子星，同时预计他们将继基努·里维斯之后，成为黑客迷的新一代偶像。没办法，他们太酷了。

当初沃卓斯基兄弟在设计这一对角色时，就是要让他们成为令少女尖叫的带有后现代风格的超级邪神。这对银发蛇辫，身着银色风衣、夹克，脚蹬白蟒皮靴的孪生兄弟，其实也是矩阵系统内的一对自由病毒，他们可以不受矩阵控制地自由来去，更可怕的是，他们可以随意隐形和还原。和一般电影中 “无形有质” 的隐形功能不同的是，他们能在瞬间做到“无形无质”，然后又随意变回来，是真正意义上的自由体。他们的武器更是酷到极点，那是一把总长不超过手掌心的折迭刀，简直是高深莫测。有这样一对邪神存在，NEO他们在矩阵当中的活动变得更加险象环生。

扮演这一对偶像人物的，就是英伦空手道黑带级高手阿德云·雷蒙特和尼尔·雷蒙特兄弟。两兄弟是看着香港功夫片长大的，自16岁起开始练习空手道，至今已有15年的功力。空手道之外，他们还是健美运动爱好者，身材保持得一级棒。不要说女生们，连我都要开始流口水了！

恩，看来《黑客帝国》中有名有姓的新角色都提到了……慢着，似乎还有两个漏网之鱼。一个是“建筑师”（Architect），他似乎是整个矩阵系统的建造者，是MATRIX的无冕之王；另一个是“鬼魅”（Ghost），目前对他所知的仅仅是这个名字。很有可能，这两个家伙才是关系到MATRIX最后谜底的关键，因此被列为最高机密，在各种资讯上都查不到“建筑师”的扮演者，难道他是……？“鬼魅”的扮演者是Anthony Wong，从简历来看也是位舞台和电视剧经验比较丰富的演员。我开始还错误地把他认作了香港的黄秋生（英文名也是Anthony Wong），这也怪《黑客帝国》官方网站搞错了，误将老黄主演的《辣手神探》也囊括到这个年轻的Anthony Wong电影列表中。可见，任何权威都不要相信，“黑客”也有犯简单的搜索错误的时候。

【特技篇】

自从《黑客帝国》上映后，“子弹时间”特技似乎成了它的一块招牌，言《黑客帝国》必提“子弹时间”。而且，该特技后来也是被模仿得最多的银幕特技之一，无数的广告和电影、电视中都对它进行了模仿，其中比较有名的有《霹雳娇娃1》、《怪物史莱克》、《恐怖电影》等，除了《怪物史莱克》中学得比较有意思外，其他的多为东施效颦之作。

沃卓斯基兄弟和《黑客帝国》系列的特效总监约翰·盖特（John Gaeta）对那些粗制滥造的模仿很是不满，他们决心在续集中创造出绝对让人模仿不了的革命性电脑特技来。当初他们拍摄“子弹时间”镜头时，是以120架尼康照相机围绕着被拍摄对象，然后让这些相机的快门按照电脑预先编程好的顺序和时间间隔开始拍照，然后把各个角度拍得的照片全部扫描进电脑，由电脑对相邻两张照片之间的差异进行虚拟修补，这样就能获得360度镜头下拍摄对象的连贯、顺滑的动作，最后再由电脑将该连贯的动态图象与背景融合，才有了我们在电影中看到的令人拍案叫绝的新奇镜头。

到续集开拍时，一来这种特技已经被模仿得太滥了，沃卓斯基兄弟最不想做的事情便是炒冷饭，因此“逼迫”盖特必须创造出一个全新的特技来；二来，“子弹时间”本身只适合拍摄在一个有限空间里、少量对象物体的动作，当拍摄对象数量众多，而且涉及更复杂的镜头运动时，“子弹时间”就应付不来了。受这两方面原因的激励，盖特在沃卓斯基兄弟的授意下，联合全球六大顶尖视觉特效公司，共同完成了两部续集中多达2500个的特效镜头，是第一集412个特效镜头的六倍多，同时也完成了他本人和沃卓斯基的心愿：创造出了不能被模仿的视觉特效。

到底《黑客帝国》续集中的特效有何神妙，试拣一二说之：

◎革命性的突破—“虚拟拍摄”（Virtual Cinematography）

目前，地球人都知道，NEO将在《重装上阵》中和100名升级了的密探史密斯过招，这也是第二集中两大重头戏之一，其中蕴涵了复杂的镜头运动，如此多的人物，如果用“子弹时间”来勉强应付的话，将会是极其耗费人力物力的。沃卓斯基和盖特的解决办法是：乾脆抛弃“子弹时间”，在电影历史上第一次使用全面的“虚拟拍摄”技术。

所谓“虚拟拍摄”，在沃卓斯基兄弟的构想中，应当是使得导演所要求的拍摄动作，全部能在电脑里的虚拟场景中进行；拍摄所需的各种物件，包括场景、人物、灯光等，全部被整合进了电脑，然后，导演可以根据自己的意图，在计算机上“指挥”角色的表演和动作，从任意角度运动他的镜头，简而言之，就是拍摄出导演想拍摄的任何场景来。但是，所有那些输入到电脑里的数据又是完整无误地来源于真实世界，也就是说，输入电脑中的虚拟场景和虚拟人物必须是真实世界和演员的“全息”复制，等于是把一个真实的世界克隆到电脑里的虚幻世界，从而在物理意义上打通“虚拟”与“真实”的界限。

利用“虚拟拍摄”，导演能创造出在真实世界不可能完成的镜头，同时由于虚拟世界是真实世界的完美复制，观众根本无法挑剔表演、动作和场景的真实性。如果大家对特效制作稍有所知的话，就会立刻明白这一步迈得有多么大。从来电脑虚拟的世界只是拍摄真实世界的补充和修饰，即使是象《星球大战前传》那样号称每一个镜头都包含了视觉特效的电影，也无法使导演能完全在虚拟世界里执导一场和真实世界完全无异的表演。“虚拟拍摄”导演的自由发挥空间一下子扩张了N倍，剩下来的唯一限制，就是他们的想象力了。

正如前面所述的，“虚拟拍摄”的基础，在于“完全真实”地复制真实世界，如果虚拟世界中的人物和物件和真实演员与物体有差距，那“虚拟拍摄”就失去了存在的价值，而沦为象《最终幻想》一样尴尬的实验品了。简而言之，“虚拟拍摄”和普通电脑特技的区别，就象把一头羊画在稿纸上和利用生物科技克隆那头羊之间的差别一样。

以NEO大战100个密探史密斯的场景为例，为了达到“虚拟拍摄”的要求，这场名为“Burly Brawl”的群戏，首先要解决的便是取得交战角色的全息复制数据，说白了就是如何真实地创造“虚拟人”。100个史密斯的虚拟人形象是从扮演史密斯的雨果·维文和他的十二个替身演员提取数据的。

首先，那些替身进行了为时数月的训练，主要是模仿雨果维文的一言一行，包括他的各种神情和动作习惯，据说最后连雨果本人都受不了了，因为感觉整天面对12个“自我”，那种情形挺恐怖的。当替身们对雨果的模仿达到导演满意的阶段后，动作指导袁和平的小组和基努·里维斯加入了进来，开始动作戏的排练，在这过程中，用“动作捕捉器”（Motion-Capture）将所有NEO和100个“史密斯”该完成的动作全部输入电脑。单单这一工作就持续了整整四个月，创造了电影历史上使用“动作捕捉器”的新记录，事实上，这一记录也超越了所有大型三维游戏曾使用过的动作捕捉数目（电脑游戏是“动作捕捉器”最大的市场）。“动作捕捉器”的使用也使袁和平的动作设计更加得心应手，他可以设计出许多常人难以做到的动作，并能通过电脑修饰，使武术动作看起来更加有力而舒展。

在所有设计动作被记录、输入进电脑之后，就轮到“编辑”工作了。盖特领导的特效小组实实在在地由骨骼到肌肉再到肌肤地“再造”了虚拟NEO和虚拟史密斯的身体构架，然后再为他们覆盖上和照片一般清晰、真实的肌肤和衣服。在这一步步创造真实“虚拟人”的过程中，盖特的特效小组又发明了另一项超尖端的技术：“全息捕捉”（Universal Capture），简称U-Capture。他们使用5台SONY旗舰级超高精度HDW900型数码摄像机，呈半圆形对准每一个演员的脸部，当演员开始表演时，摄像机捕捉下演员脸部的每一个精细反应——从一根头发丝的摆动到每个皱纹的抽动方式（HDW900能精确到看见毛囊和毛细血管），综合5台机器的数据，就可以得到演员表演时脸部的三维精确数据，所有这些数据都没有被压缩、而是直接输入进大型电脑系统，每秒钟的数据流量就超过1G！特效小组再将这些真实的面部表情根据事先设计好的情节“贴”到相应的虚拟人身上。由于无论是虚拟人的身材、动作、表情，还是他们衣服在动作时的变化，都是直接从真实表演当中复制过来的，虚拟人也就和真实世界中的演员完全无异了。

最后，另外“复制”好的虚拟场景、道具，和一些影片需要的特殊效果被加了进来，完美地组合成和真实世界一样的虚拟世界。盖特他们称之为“虚拟制片厂”，这使得无限制地多样化镜头运用和剪辑成为可能。沃卓斯基正是利用“虚拟拍摄”这一革命性技术，在 Burly Brawl一战中，用以前不可能的角度拍摄出了几乎是不可能的镜头运动：例如他能指挥镜头自由地围绕NEO和100个史密斯，或者在他们中间任意穿插、寻找更合理的角度，可以让镜头顺滑地从超慢速过度到超高速。在最终的电影中，观众将看到镜头围绕打斗中心以超音速旋转拍摄最后以常规速度播放的镜头。可以说，“虚拟拍摄”解放了导演的无限想象力空间。

◎一切只为把握精度—“视觉预览”（Pre-Visualization）

《重装上阵》中的另一场重头戏，就是“将终结其他一切追车场面”（乔西佛）的高速公路追逐战。这场14分钟的追车戏，牵涉到超过300辆的各种类型的机动车，其中将有数十辆车会发生碰撞和爆炸，被爆炸气浪掀起来的车，又将制造更多的碰撞和爆炸，这当中翠尼蒂还要以高速摩托车载着“制钥者”在所有这些混乱中逆向行驶！简直是对特技编排的一次终极考验，因为所有场景都要首先进行实拍，一个数据推导不确切，就有可能导致特技人员的悲剧性伤亡。

《重装上阵》剧组决定采用“视觉预览”系统来编排这场电影历史上最复杂的追车戏。简而言之，“视觉预览”就是在电脑上模拟出一个实际场景来，然后在这个模型当中进行摄影机位、镜头角度的试验，找到最能表达导演意图的方式，最后用动画运行所有已经决定的流程，看看最后的结果会是怎样一种情况。

为了使这一惊心动魄的追车场景准确无误地进行，预先计划在正式摄影前一年左右就开始准备，设计的过程中电影的所有设计人员和工程师都参与了进来，他们要用三维模型来确定每一部高速运行的机动车的轨迹以及在碰撞和爆炸过程中的移动方向。最终，通过“视觉预览”系统，特效和特技小组将每一部车在此场景中所应发挥的速度精确到了每一英里/小时，同时也为每一位特技驾驶员制定出了详细操作流程，使得这场看似不可能编排的超级大追车得以完全按计划进行，同时又看不出编排的痕迹来。

同时，“视觉预览”也帮助沃卓斯基兄弟捕捉到了一些匪夷所思的效果。观众们将看到，在这场戏中，摄像机似乎经常置于在以前的追车场面中见所未见的地方。兄弟俩经常是头脑中突然冒出一些梦幻般的镜头模式，然后利用“视觉预览”来检验在屏幕上看起来具体是什么样子的，然后特技人员需要利用模拟的结果实际规划出真实场景中的拍摄方式。

就这样，一场令人肾上腺素飙升而又完全感觉不到“设计”痕迹的追车戏，被完美地编排出来了。

◎视觉的通感—“非常”镜头的处理

《黑客》迷们应当对第一集中翠尼蒂从坠落的直升机中逃生的场景记忆深刻，当飞机爆炸时，建筑物的玻璃墙面居然象水面一样出现了涟漪。这一违背常规物理学定律的镜头，正是《黑客帝国》特效组的首创。视效总监约翰·盖特认为，在象矩阵这样一个纯数字的世界里，故意的视觉扭曲看起来是很自然的。因此，他将在续集中创造更多这样类似的打破一般物理学的“疯狂“镜头。

其中之一——大家已经从预告片中看到了——那就是NEO起飞时脚下地面由内向外辐射的波纹，正是第一集中直升机爆炸特效的翻版。在续集中，另一种视觉的“通感”体现在对爆炸镜头的处理上。第一集中我们已经领教过电梯内炸弹爆炸时，熊熊大火在慢镜头中如滚滚洪水般波涛汹涌的“奇观”，这正反映了盖特独特的视觉理论：他要使《黑客帝国》系列中的火焰能象液体一样流动，而液体则让它们如轻烟般飘渺，通过合理地转移物质的物理特性，使司空见惯的爆炸场景产生如梦似幻般惊艳的效果。

事实上，视觉通感的做法是借鉴了日本动画的处理手法。无论是沃卓斯基兄弟，还是约翰·盖特，都声明他们是日本动漫的铁杆FANS。沃卓斯基兄弟更是从小泡在动漫书中长大的，日本动漫中对于一些镜头夸张而有趣的处理手法让他们惊奇不已：唯美的分镜头巧妙地捕捉了事物的瞬间形态，使得那一刻看起来那么不可思议又妖艳异常；能不能用常规镜头、在真人电影中做到那样的奇观呢？借助视觉特效，他们完美地做到了，拍出了最得日本动漫风格精髓的真人电影。

◎特效管理信息系统—Zion Maniframe

前面说到，由于《黑客帝国》续集包含的多达2500个特效镜头，以及革命性创新特效带来的庞大的工作量，视效总监约翰·盖特自己的特效公司Manix，已经不足以应付这些工作。毕竟，相对于特效界的巨无霸“工业光魔公司”（ILM），Manix还是个“中小企业”。为此，盖特联合了世界各地的五大特效公司，将部分特效任务承包给他们去做。

这些公司是：

法国的BUF公司，主要负责矩阵的绿色下坠字码效

什么是黑客？

黑客

一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域，例如电脑编程或电器工程。

黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。

黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。

但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。

黑客一词一般有以下四种意义：

一个对（某领域内的）编程语言有足够了解，可以不经长时间思考就能创造出有用的软件的人。

一个恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件(1)的黑客造成严重困扰，他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。

一个试图破解某系统或网络以提醒该系统所有者的系统安全漏洞。这群人往往被称做“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员，并在完全合法的情况下攻击某系统。

一个通过知识或猜测而对某段程序做出（往往是好的）修改，并改变（或增强）该程序用途的人。

“脚本小孩”则指那些完全没有或仅有一点点骇客技巧，而只是按照指示或运行某种骇客程序来达到破解目的的人

著名黑客

Richard Stallman--传统型大黑客，Stallman在1971年受聘成为美国麻省理工学院人工智能实验室程序员。

Ken Thompson和Dennis Ritchie--贝尔实验室的电脑科学操作组程序员。两人在1969年发明了Unix操作系统。

John Draper（以咔嚓船长，Captain Crunch闻名）--发明了用一个塑料哨子打免费电话

Mark Abene（以Phiber Optik而闻名）--鼓舞了全美无数青少年“学习”美国内部电话系统是如何运作的

Robert Morris--康奈尔大学毕业生，在1988年不小心散布了第一只互联网蠕虫。

Kevin Mitnick--第一位被列入fbi通缉犯名单的骇客。

Kevin Poulsen--Poulsen于1990年成功地控制了所有进入洛杉矶地区KIIS-FM电台的电话线而赢得了该电台主办的有奖听众游戏。

Vladimir Levin--这位数学家领导了俄罗斯骇客组织诈骗花旗银行向其分发1000万美元。

Steve Wozniak--苹果电脑创办人之一。

Tsotumu Shimomura--于1994年攻破了当时最着名黑客Steve Wozniak的银行帐户。

Linus Torvalds--他于1991年开发了着名的Linux内核，当时他是芬兰赫尔辛基大学电脑系学生。

Johan Helsingius--黑尔森尤斯于1996年关闭自己的小商店后开发出了世界上最流行的，被称为“penet.fi"的匿名回函程序，他的麻烦从此开始接踵而至。其中最悲惨的就是sceintology教堂抱怨一个penet.fi用户在网上张贴教堂的秘密后芬兰警方在1995年对他进行了搜查，后来他封存了这个回函程序。

Tsutomu Shimomura--能记起他是因为抓了米特尼克。

Eric Raymond--Eric Raymond就一直活跃在计算机界，从事各种各样的计算机系统开发工作。同时，Eric Raymond更热衷于自由软件的开发与推广，并撰写文章、发表演说，积极推动自由软件运动的发展，为自由软件作出了巨大贡献。他写的《大教堂和市集》等文章，是自由软件界的经典美文，网景公司就是在这篇文章的影响下决定开放他们的源代码，使浏览器成为了自由软件大家族中的重要一员

红客 —— 一个让人肃然起敬的名字！

红客可以说是中国黑客起的名字。英文“honker”是红客的译音。

红客，是一群为捍卫中国的主权而战的黑客们！

他们的精神是令人敬佩的！

破解者 —— 喜欢探索软件程序！

破解者 —— Cracker

破解者，他们的目标是一些需要注册的软件。他们通常利用Debug，找出内存中的密码。

蓝客 —— 特别喜欢蓝色的黑客们！

蓝客，也属于黑客群。

蓝客，是指一些利用或发掘系统漏洞，D.o.S（Denial Of Service）系统，或者令个人操作系统（Windows）蓝屏。

“蓝客”一词由中国蓝客联盟（）在2001年9月提出。当初的蓝客联盟（中国蓝客联盟）是一个非商业性的民间网络技术机构，联盟进行有组织有计划的计算机与网络安全技术方面的研究、交流、整理与推广工作，提倡自由、开放、平等、互助的原则。同时还是一个民间的爱国团体，蓝盟的行动将时刻紧密结合时政，蓝盟的一切言论和行动都建立在爱国和维护中国尊严、主权与领土完整的基础上，蓝盟的声音和行动是中华民族气节的体现。中国蓝客联盟（LUC）简称蓝盟，组建于2001年10月1日。2002年4月，公安部门受外交部压力开始调查此次事件，蓝盟核心人员在当月受到公安机关的传讯、调查，计算机被收缴送往上级公安厅取证、调查。后联盟被告知必须无条件无限期关闭网站，并永久停止使用“蓝客联盟”名号。

2002年6月2日，蓝盟在IRC频道召开“中国蓝客联盟告别会”，与会几百位网友了解、见证了蓝盟的组建及被迫关闭的内幕。

中国蓝客联盟只有一个，那便是2001年10月至2002年6月间的 cnlanker.net，那是我们美好的回忆，那是

曾经一起分享胜利的喜悦、共同度过那些灰暗的日子的唯一见证。可惜的是如今这个域名已不在国人手上。

从2002年6月开始，任何自称蓝客联盟或蓝盟的组织、网站均属于其他网友的自发的个人行为，与最初的蓝盟

毫无任何关系。

现在的 cnlanker.com 是最初组建蓝盟的一群人的回忆，蓝盟永远不会重建。

飞客 —— 电信网络的先行者！

飞客，经常利用程控交换机的漏洞，进入并研究电信网络。

虽然他们不出名，但对电信系统作出了很大的贡献！

一.什么是黑客

在力求当一个黑客前,我们要先了解什么是黑客

Hacker -- 黑客

热衷研究、撰写程序的专才，且必须具备乐于追根究底、穷究问题的特质。

在黑客圈中，hacker一词无疑是带有正面的意义，例如system hacker熟悉操作系统的设计与维护；password hacker精于找出使用者的密码，若是computer hacker则是通晓计算机，可让计算机乖乖听话的高手。

黑客基本上是一项业余嗜好，通常是出于自己的兴趣，而非为了赚钱或工作需要。

根据开放原始码计划创始人Eric Raymond对此字的解释，hacker与cracker是分属两个不同世界的族群，基本差异在于，hacker是有建设性的，而cracker则专门搞破坏。

hacker原意是指用斧头砍材的工人，最早被引进计算机圈则可追溯自1960年代。

加州柏克莱大学计算机教授Brian Harvey在考证此字时曾写到，当时在麻省理工学院中(MIT)的学生通常分成两派，一是tool，意指乖乖牌学生，成绩都拿甲等；另一则是所谓的hacker，也就是常逃课，上课爱睡觉，但晚上却又精力充沛喜欢搞课外活动的学生。

这跟计算机有什么关系？一开始并没有。不过当时hacker也有区分等级，就如同tool用成绩比高下一样。真正一流hacker并非整天不学无术，而是会热衷追求某种特殊嗜好，比如研究电话、铁道(模型或者真的)、科幻小说，无线电，或者是计算机。也因此后来才有所谓的computer hacker出现，意指计算机高手。

对一个黑客来说,学会入侵和破解是必要的,但最主要的还是编程,毕竟,使用工具是体现别人的思路,而程序是自己的想法.一句话--编程实现一切!

对于一个骇客来说,他们只追求入侵的快感,不在乎技术,他们不会编程,不知道入侵的具体细节.

"黑客"在人们脑中的形象就是一个蓬头乱发,戴着高度眼镜,驼着背弓着腰,成天趴在电脑面前的人.其实黑客和正常人一模一样,他们并无什么特殊之处.有些人也许很少上电脑,成天运动,工作,但他们的技术和精神已经达到的黑客的标准,有些人天天爬在电脑前,到处瞎混,但他们仍不是黑客.

人们总是认为黑客就是破坏者,其实从某种意义上来说,黑客也在为计算机技术的发展做出很大的贡献.如果没有高明的黑客,就没有资深的网管;如果没有完美的木马,就没有杰出的杀毒软件;没有了黑客,网络技术就很难发展下去.当然,网管其实也是黑客,如果他不知道别人怎么进攻,自己要怎么防守呢??

黑客一词在圈外或媒体上通常被定义为：专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么CRACKER就是恐怖分子.

现在,网络上出现了越来越多的Cracker,他们只会入侵,使用扫描器到处乱扫,用IP炸弹炸人家,毫无目的地入侵,破坏着,他们并无益于电脑技术的发展,反而有害于网络的安全和造成网络瘫痪,给人们带来巨大的经济和精神损失.

我们不能做Cracker,我们要力求当HACKER!!

二.HACKING的预备网络知识

1.什么是IP

IP就是一个地址,在外网没有一个IP是相同的,它就像身份证号码一样,给每台进入网络的电脑一个身份证号码.但是对于大部分用户来说,这个号码是不固定的,在你重新连接到INTERNET时,IP可能会被重新分配.不过有些机器申请了固定的IP,这样就便于其他电脑找到它,并提供服务.一般的IP的格式为: a.b.c.d (0 = a,b,c,d = 255)例如 218.242.161.231 , 212.13.123.52 ..... 由192.168开头的是局域网的IP,127.0.0.1是用来检测网络的自己的IP.就是说任何一台电脑来说,不管是否连接到INTERNET上,127.0.0.1对于自己来说都是自己.就是说,每台电脑都是由4位的256进制数组成的.

2.什么是网络协议,数据包

网络协议就是一套双方约定好的通信协议.就像对暗号一样,有特定的约定来达成连接.其中的"数据包就是一个一个

(1) 面向连接的TCP协议

TCP是面向连接的.“面向连接”就是在正式通信前必须要与对方建立起连接。比如你给别人打电话，必须等线路接通了、对方拿起话筒才能相互通话。TCP（Transmission Control

Protocol，传输控制协议）是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来，其中的过程非常复杂，我们这里只做简单、形象的介绍，你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程：主机A向主机B发出连接请求数据包：“我想给你发数据，可以吗？”，这是第一次对话；主机B向主机A发送同意连接和要求同步（同步就是两台主机一个在发送，一个在接收，协调工作）的数据包：“可以，你什么时候发？”，这是第二次对话；主机A再发出一个数据包确认主机B的要求同步：“我现在就发，你接着吧！”，这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步，经过三次“对话”之后，主机A才向主机B正式发送数据。TCP协议能为应用程序提供可靠的通信连接，使一台计算机发出的字节流无差错地发往网络上的其他计算机，对可靠性要求高的数据通信系统往往使用TCP协议传输数据。

(2) 面向非连接的UDP协议

“面向非连接”就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。这与现在风行的手机短信非常相似：你在发短信的时候，只需要输入对方手机号就OK了。UDP（User Data Protocol，用户数据报协议）是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去！UDP协议是面向非连接的协议，没有建立连接的过程。正因为UDP协议没有连接的过程，所以它的通信效果高；但也正因为如此，它的可靠性不如TCP协议高。QQ就使用UDP发消息，因此有时会出现收不到消息的情况。

附表：tcp协议和udp协议的差别

|---------------------------------|

| 属性\协议 |TCP |UDP |

|------------+---------+----------|

|是否连接 |面向连接 |面向非连接|

|------------+---------+----------|

|传输可靠性 |可靠 |不可靠 |

|------------+---------+----------|

|应用场合 |大量数据 |少量数据 |

|------------+---------+----------|

|速度 |慢 |快 |

|---------------------------------|

(3)什么是端口(PORT)

PORT,意思为港口,但在电脑里叫端口.但是端口不是形象的,而是抽象的.电脑上有很多的端口(65535个),但是它们大部分都不开,每个网络连接都要用一个端口,就象把用一跟线把两个电脑连起来,插座就是端口.有些端口有他们特定的用途,例如网页服务器要开80端口,FTP服务器要开21端口

常用端口

21--ftp 下载

23--telnet 远程登陆,入侵后打开给自己留后门

25-smtp 尽管重要，但似乎没什么可利用的

53--domain 同上

79--finger 可知道用户信息了,但是现在很少了

80--http HTTP服务器

110--pop 收信的

139(445)--netbios 共享,远程登陆,很有价值,但是有经验的人不开

135--RPC 远程溢出的大洞的端口

3389--win2000超级终端

我们在入侵成功后就要为自己运行木马,打开一个端口,为自己以后回来留后门.

(4)什么是服务

服务就是SERVICE,例如要做HTTP服务器的就要安装World Wide Web Publishing服务.服务,是为他人提供服务的程序,这个程序会在开机时自动加载,并打开端口等待对方连接并向对方提供服务.我们可以在入侵对方机器后,启动或安装一些服务(SUCH AS 远程桌面,TELNET...),这些服务都是MICROSOFT的,所以不用担心被杀毒的发现.在开了一些远程管理的服务后,我们就可以很方便地回到被侵入过的主机了.

常见的服务列表:

名称 默认端口 98可装 2000Pro 2000SERVER

FTP 提供下载服务 21 x x o

SSH LINUX远程登陆 22 x x x

TELNET WINDOWS远程命令行管理 23 x o o

Simple Mail 邮件服务器 25 x x o

Finger 可以知道用户信息,现在很少了 79 x x x

WWW HTTP 网页服务器 80 x x o

pop2 一种邮件服务 109 x x o

pop3 同上 110 x x o

RpcDcom 最大的溢出漏洞的所在 135 x o默认 o默认

NetBios 共享,远程登陆,很有利用价值 139 o(无价值) o默认 o默认

REMOTE SERVICE 图形界面的远程登陆,最有价值 3389 x x o(强烈推荐)

(5)常用的工具

HACKER用的工具,大致可分这几种:

[1]扫描器

在攻击一个目标前要先了解对方开了什么端口,在扫肉鸡时要知道那些肉鸡开了端口可以被入侵.扫描器就是帮助你寻找攻击对象或了解攻击对象存在什么漏洞,开了什么端口.常用的扫描器有SUPERSCAN,X-SCAN,IP TOOLS....强烈推荐SUPERSCAN和X-SCAN.如果你在扫开端口的机器时,用SUPERSCAN,因为它快;在扫漏洞时,用X-SCAN,因为它功能全!!

[2]溢出工具

溢出就是把比一个寄存器能存放的东西还多的东西放到一个寄存器里,然后就造成溢出,使系统运行准备好了的SHELL CODE.

溢出的VB例子:

dim a as integer

a=111111111111111

在找到一些有溢出漏洞的机器后,就用溢出工具来对它进行溢出,然后直接拿到SHELL或帐号.

[3]后门程序

后门的服务端,安装在肉鸡上,开机自动等待对方控制.以前的后门都是一个标准的SOCKET在某个端口监听,但是这样很容易被发现,于是便出现了ICMP后门.但是现在的主流还是用TCP的后门.常用的后门有:冰河,TELNET(是WINDOWS的远程管理服务,用OPENTELNET可以远程开启TELNET服务!),DJXYXS.EXE(用来开SERVER的3389服务)

[4]连接工具

其实就是后门客户端.WINDOWS自带了很多,例如3389登陆器的MSTSC.EXE,TELNET客户端TELNET.EXE.......强烈推荐NC,它把许多网络功能汇集到了一起!

[5]破解密码程序

就是用很多的字符串来猜测密码.当猜不到时,就只好死算,A不行换B,B不行换C,C不行换D.......总之很浪费时间,密码长点1年都破不出来,不推荐

[6]进程程序

用来管理进程的,有PSECEC.EXE(远程开别人SHELL的,像TELNET一样,不过对方不需开),PSKILL.EXE(远程,本地杀进程),PSLIST.EXE(远程,本地查看进程).PS系列的3个程序是十分有用的,本人强烈推荐!!它不仅仅能够帮助你管理远程的肉鸡,而且在杀病毒时十分有用,它能杀掉WINDOWS TASK MANAGER杀不掉的进程.

(6)黑前准备

[1]首先,你要有一台能跑的电脑(这不是废话吗),

[2]是要有操作系统(最好是一个WINDOWS 2000 SERVER,一个LINUX,没LINUX也可以,2000PRO也可以,不过2000SERVER可以给自己练习,强烈推荐SERVER)

[3]有网络,最好是宽带,不是的话要有快的肉鸡才行.

[3]安装一个防火墙,推荐天网2.5.1

[4]注册一个QQ,有邮箱,注册一个空间(注册地址,支持FTP,WWW)

[5]别急,把前面的文章再看一便(别K我)

三.学习使用DOS基础命令

使用DOS是黑客最最基本的技能,每个人都要会熟练的使用DOS,使用2000的DOS,不用任何工具就可以完成一次入侵,而且大部分的工具都是在DOS窗口的环境下运行的,所以大家一定要学好!!

(1)如何启动DOS

这里说到的DOS,是XP,2000自带的DOS,98正因为对网络的支持很差,所以我们不能入侵98,也不能用98来入侵.所以用98的朋友请把98换成2000或者XP,NT,2003.

DOS在2000里就是CMD.EXE,98里是COMMAND.EXE(2000里也有COMMAND.EXE,不过这个DOS是不支持中文的).启动方法:开始,运行,CMD (或者COMMAND),确定.然后跳出来以下画面:

C:\documents and Settings\Administratorcmd

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

C:\documents and Settings\Administrator

==================================================================================================

《黒客有什么可怕 设个陷阱逮住他》

如今网上黑客横行，稍不留神就可能被黑客光顾，避如前段时间我们空间商的服务器就被入侵了，数据都被删光了，所以要想在网上生存，做好安全措施是必不可少的。一般我们都只重视对机器进行安全设置，而往往忽略了被入侵后的信息收集问题，今天我就介绍三种让黑客留下痕迹的方法，希望能对大家有所帮助。

一、利用“木马”进行记录

1.木马简介

这里要用到的是一个很特殊的dll木马，它可以把通过终端登陆的用户名、密码，以及域信息记录到指定文件中。不要以为这些信息没什么用哦！有时候就得靠这些零散的信息来找入侵的人。

下载地址：;;down=1

在下载的压缩包内，有三个文件：

SysGina32.dll--这个就是可以记录用户名和密码的东东了。

Gina.exe--这是安装DLL木马用的程序，有了它后安装起来就很方便了。

使用方法.txt--这个很熟悉吧！中文帮助文件哦！有什么不懂的可以查查。

2.安装木马

先把SysGina32.dll和Gina.exe放在同一目录下，并将Gina.exe改名为svchost.exe(你也可以改成其它名字，为的是不让黑客注意到)，然后打开CMD，切换到保存这两个文件的文件夹，输入命令：svchost.exe -install，当出现“All Done，Gina setup success”信息时，安装就成功了。

注意：

a.该木马已被杀毒软件查杀，所以安装时请关闭杀毒软件(不是关闭防火墙哦！)，而且以后重启时杀毒软件不能一起启动，以后杀一次毒重新装一次该木马。不过如果你能让该木马不被杀毒软件的话，那就没这么麻烦了。

b.为了不让黑客发现我们设的陷阱，最好将Gina.exe文件改名，而且要改的艺术一点，比如上面我把它改成了“svchost.exe”，这样就很难发现了，如果你改成了其它名字，安装时命令就要换成“文件名.exe -install”。

c.SysGina32.dll和Gina.exe这两个文件不一定要复制到系统安装目录的system32下，不过最好不要太引人注意，如果被黑客发现，那就可能适得其反了(木马也会记下你的密码的)。

d.如果出现的信息是“Found Exist Gina”，这说明你机器已经装过该木马了，此时键入“Y”覆盖即可。

3.查看“踪迹”

经过以上设置后，如果有人通过终端服务登录你的机器，那么他的用户名和密码就会被记录到“C:＼WINNT＼system32＼GinaPwd.txt”这个文件中，打开这文件就可以看到入侵者的踪迹了。由于该木马也会记录你的密码，所以每次进入机器时，请先打开GinaPwd.txt这文件，把你的用户名和密码删掉，顺便查一下有没有其它人登录过。

4.删除木马

如果你的机器不幸被人中了该木马，那么请按如下方法删除：

先下载该木马，在CMD下输入命令：gina.exe -remove，当出现“ Gina Dll was removed success”时(如图3)，就表示删除成功了，接着重启机器即可。

注意：如果你把gina.exe改名了，命令也要做相应改变：文件名.exe -remove。

二、写个批处理记录黑客行踪

1.认识批处理

对于批处理文件，你可以把它理解成批量完成你指定命令的文件，它的扩展名为 .bat 或 .cmd，只要在文本文件中写入一些命令，并把它保存为.bat 或 .cmd格式，然后双击该文件，系统就会按文本文件中的命令逐条执行，这样可以节省你许多的时间。

2.编写批处理文件

打开记事本，然后输入如下命令：

@echo off

date /t d:＼3389.txt

attrib +s +h d:＼3389.bat

attrib +s +h d:＼3389.txt

time /t d:＼3389.txt

netstat -an |find "ESTABLISHED" |find ":3389" d:＼3389.txt

然后把文件保存为d:＼3389.bat，这里我解释一下命令的意思，date和time是用于获取系统时间的，这样可以让你知道黑客在某天的某个时刻入侵。“attrib +s +h d:＼3389.bat”和“attrib +s +h d:＼3389.txt”这两个命令是用来隐藏3389.bat和3389.txt这两个文件的，因为在登录时，由于会启动d:＼3389.bat这个文件，所以会有一个CMD窗口一闪而过，有经验的黑客应该能判断出这窗口是记录用的，所以他可能会到处找这个记录文件，用了以上两个命令后，即使他用系统自带的搜索功能以3389为关键字进行搜索，也找不到上面3389.bat和3389.txt这两个文件，哈哈！很棒吧！至于“netstat -an |find "ESTABLISHED" |find ":3389" d:＼3389.txt”这个命令则是记录通过终端的连结状况的，明白了吧！

接下来我们要让系统启动时自动运行d:＼3389.bat这文件，我用的方法是修改注册表，依次展开：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon，找到“Userinit”这个键值，这个键值默认为c:＼WINNT＼system32＼userinit.exe，不知你注意到没有，在最后有一个逗号，我们要利用的就是这逗号，比如我上面写的3389.bat文件路径为d:＼3389.bat，那么我只要在逗号后面加上“d:＼3389.bat”即可，这样启动时3389.bat这文件就会运行，选这个键值的原因是因为它隐蔽，如果是加在Run键值下的话是很容易被发现的。最后提醒一点，键值末尾的逗号别忘了加上去哦！

4.查看记录

前面我们用了attrib命令把3389.bat和3389.txt这两个文件隐藏起来，下面我们来让它们重新显示。

打开CMD，切换到保存这两个文件的路径，这里是切换到“d:＼”目录，输入命令：attrib -s -h d:＼3389.bat和attrib -s -h d:＼3389.txt，这时再到d盘看看，是不是出现了？打开文件即可查看登录情况，从图中我们可以看出，10.51.5.36这IP连结到了我的3389端口(我的IP是10.51.5.35)。

三、记录黑客动作

有了以上两道防线，我们就能知道黑客的用户名、密码、以及入侵时的IP了，不过这样好像还不够，要是能知道黑客都干了些什么就更好了，下面我们再设置一个陷阱，这里要用到的工具是“计算机系统日志”。

下载地址：

该软件的特色就是可以在后台记录所有运行过的程序和窗口名称，并且有具体的时期，以及登录的用户名，很恐怖哦！下面咱们来设陷阱吧！

1.记录日志

双击压缩包内的主程序，点击“软件试用”进入主界面，在“日志文件保存路径”处点击“浏览”选择保存路径并进行命名，这里保存在c:＼winnt＼log.txt。然后钩选“日志记录随计算机自动启动”。

注意：

a.为了防止黑客找到记录日志的文件，你可以用上面提到的命令：attrib +s +h c:＼winnt＼log.txt进行隐藏。

b.最好不要将这个记录文件和上面的3389.txt放一个目录下，这样万一被发现其中一个，不至于使另一个也一同被发现。

c.软件在“任务管理器”的进程中显示名称为“syslog”，而且未注册版本会在20分钟后自动停止记录，所以只能用来对付菜鸟黑客啦！而且还得先花点“银子”，哈哈！

接下来在“程序密码保护”处输入一个复杂点的密码，点击“开始日志”。这时软件会提醒你隐藏后的热键为“Ctrl+Q”，请记住这个热键，以后要唤出软件时就得靠它了。

2.查看动作

想知道这样设置后记录下来的东西是什么样吗？那就快来看看吧。怎么样？对这种记录结果你还满意吗？