畢業(yè)綜合實(shí)踐報(bào)告-計(jì)算機(jī)木馬病毒及防治(防治版)

GDGM-QR-03-077-B/1GuangdongCollegeofIndustry&Commerce畢業(yè)綜合實(shí)踐報(bào)告Graduationsynthesispracticereport題目：計(jì)算機(jī)木馬病毒及防治(inEnglish)ComputerTrojanvirusresearchandprevention系別：班級(jí)：學(xué)生姓名：學(xué)號(hào)：指導(dǎo)老師：完成日期：目錄TOC\o"1-3"\f\h\u一、計(jì)算機(jī)木馬病毒的概述及現(xiàn)狀 計(jì)算機(jī)木馬病毒及防治一、計(jì)算機(jī)木馬病毒的概述及現(xiàn)狀木馬的全稱(chēng)是“特洛伊木馬”（Trojanhorse），來(lái)源于希臘神話。古希臘圍攻特洛伊城多年無(wú)法攻下，于是有人獻(xiàn)出木馬計(jì)策，讓士兵藏匿于巨大的木馬中，然后佯作退兵，城中得知解圍的消息后，將“木馬”作為戰(zhàn)利品拖入城內(nèi)，匿于木馬中的將士出來(lái)開(kāi)啟城門(mén)，與城外部隊(duì)里應(yīng)外合攻下特洛伊城，后世稱(chēng)這只大木馬為“特洛伊木馬”。網(wǎng)絡(luò)世界的特洛伊木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤(pán)和DoS攻擊等特殊功能的后門(mén)程序。它與控制主機(jī)之間建立起連接，使得控制者能夠通過(guò)網(wǎng)絡(luò)控制受害系統(tǒng)，通信遵照TCP/IP協(xié)議，最大的特征在于隱秘性，混入對(duì)方的主機(jī)里面，但是卻沒(méi)有被對(duì)方發(fā)現(xiàn)。就象一個(gè)潛入敵方的間諜，為其他人的攻擊打開(kāi)后門(mén)，這與戰(zhàn)爭(zhēng)中的木馬戰(zhàn)術(shù)十分相似，因而得名木馬程序。實(shí)際上計(jì)算機(jī)網(wǎng)絡(luò)木馬不但可以竊取、破壞被植入主機(jī)的信息，而且可以通過(guò)控制主機(jī)來(lái)攻擊網(wǎng)絡(luò)中的其它主機(jī)。（1）（一）計(jì)算機(jī)木馬病毒的概念木馬病毒，是一種新型的計(jì)算機(jī)網(wǎng)絡(luò)病毒程序，是一種基于遠(yuǎn)程控制的黑客工具。“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，有很強(qiáng)的隱蔽性。木馬病毒通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶(hù)端，即控制端，另一個(gè)是服務(wù)端，即被控制端。與一般的病毒不同，它不會(huì)自我繁殖，也并不"刻意"地去感染其他文件，它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi)，使黑客可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。隨著病毒編寫(xiě)技術(shù)的發(fā)展，木馬病毒嚴(yán)重危害著現(xiàn)代網(wǎng)絡(luò)的安全運(yùn)行。（二）木馬病毒的原理特洛伊木馬不會(huì)自動(dòng)運(yùn)行，它是暗含在某些用戶(hù)感興趣的文檔中，用戶(hù)下載時(shí)附帶的。當(dāng)用戶(hù)運(yùn)行文檔程序時(shí)，特洛伊木馬才會(huì)運(yùn)行，信息或文檔才會(huì)被破壞和遺失。一個(gè)完整的特洛伊木馬套裝程序含了兩部分：服務(wù)端（服務(wù)器部分）和客戶(hù)端（控制器部分）。服務(wù)端植入對(duì)方電腦，而黑客正是利用客戶(hù)端進(jìn)入運(yùn)行了服務(wù)端的電腦。運(yùn)行了木馬程序的服務(wù)端以后，會(huì)暗中打開(kāi)一個(gè)或幾個(gè)端口，向指定地點(diǎn)發(fā)送數(shù)據(jù)（如網(wǎng)絡(luò)游戲的密碼，即時(shí)通信軟件密碼和用戶(hù)上網(wǎng)密碼等），甚至可以利用這些打開(kāi)的端口執(zhí)行入侵操作。如圖：1、配置、傳播木馬一般來(lái)說(shuō)一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)偽裝和信息反饋兩方面的功能。

傳播方式：一種是通過(guò)E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。

2、運(yùn)行木馬服務(wù)端用戶(hù)運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下)，然后在注冊(cè)表、啟動(dòng)組、非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。木馬被激活后，進(jìn)入內(nèi)存，并開(kāi)啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。3、信息反饋木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號(hào)，ICO號(hào)等等。4、建立連接一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端建立連接值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來(lái)說(shuō)控制端都是先通過(guò)信息反饋獲得服務(wù)端的IP地址，由于撥號(hào)上網(wǎng)的IP是動(dòng)態(tài)的，即用戶(hù)每次上網(wǎng)的IP都是不同的。5、遠(yuǎn)程控制木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道，控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。（2）（三）木馬病毒的特征據(jù)不完全統(tǒng)計(jì)，目前世界上可能有著上數(shù)十萬(wàn)種木馬程序。雖然這些程序使用不同的程序語(yǔ)言進(jìn)行編制，在不同的平臺(tái)環(huán)境下運(yùn)行，發(fā)揮著不同的作用，但是它們有著許多共同的特征。1、隱蔽性這一點(diǎn)與病毒特征是很相似的，木馬類(lèi)軟件的程序在被控主機(jī)系統(tǒng)上運(yùn)行時(shí)，會(huì)使用各種方法來(lái)隱藏自己。它的隱蔽性主要體現(xiàn)在6個(gè)方面：（1）不產(chǎn)生圖標(biāo)、（2）文件隱藏、（3）在專(zhuān)用文件夾中隱藏、（4）自動(dòng)在任務(wù)管理其中隱形、（5）無(wú)聲無(wú)息的啟動(dòng)、（6）偽裝成驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù)。

2、自動(dòng)運(yùn)行性

木馬不可能等用戶(hù)來(lái)點(diǎn)擊運(yùn)行，也不能只執(zhí)行一次，它是一個(gè)當(dāng)你系統(tǒng)啟動(dòng)時(shí)即自動(dòng)運(yùn)行的程序，所以它必需通過(guò)修改系統(tǒng)配置文件，如：win.ini、system.ini、注冊(cè)表等，在目標(biāo)主機(jī)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行或加載。3、欺騙性。木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防用戶(hù)發(fā)現(xiàn)，它經(jīng)常使用的是常見(jiàn)的文件名或擴(kuò)展名，如dll\win\sys\exPlorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字母“l(fā)”與數(shù)字“1”；字母“o”與數(shù)字“0”，有的木馬就直接使用系統(tǒng)文件中已有的文件名，只不過(guò)它保存在不同路徑之中。這些手段那些編制木馬程序的人還在不斷地研究、發(fā)掘，總之是越來(lái)越隱蔽，越來(lái)越專(zhuān)業(yè)。

4、自動(dòng)恢復(fù)性?，F(xiàn)在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。系統(tǒng)一旦被植入木馬，只刪除某一個(gè)木馬文件來(lái)進(jìn)行清除是無(wú)法清除干凈的。

5、功能的特殊性

通常的木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的IP地址、進(jìn)行鍵盤(pán)記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能。（3）（四）木馬病毒的危害木馬是近幾年比較流行的危害程度較嚴(yán)重的惡意軟件，常被用作網(wǎng)絡(luò)系統(tǒng)入侵的重要工具和手段。木馬程序不僅可能侵害到個(gè)人乃至某些公司的利益和權(quán)力，更可能危及整個(gè)社會(huì)和國(guó)家的利益和安全。如果公安部用于采集處理人們身份證信息的計(jì)算機(jī)被安裝了木馬，那么這些信息就可能被木馬以有線或無(wú)線的方式通過(guò)網(wǎng)絡(luò)泄露出去，后果不堪設(shè)想。木馬是受控的，它能分清敵我，所以與分不清敵我的其它病毒和攻擊技術(shù)相比，具有更大的危險(xiǎn)性和破壞性。2015年金山病毒報(bào)告監(jiān)測(cè)顯示，木馬攻擊占當(dāng)前網(wǎng)絡(luò)病毒的70%以上，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)危害最嚴(yán)重的網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)上各種“種馬”技術(shù)加劇了木馬的流行和發(fā)展，由于木馬控制了被植入者的計(jì)算機(jī)，它幾乎可以在被植入主機(jī)上為所欲為，破壞程度非常巨大，可以竊取賬號(hào)密碼、刪除文件、格式化磁盤(pán)，甚至可以打開(kāi)攝像頭進(jìn)行偷窺等；木馬往往又被用做后門(mén)，植入被攻擊的系統(tǒng)，以便為入侵者再次訪問(wèn)系統(tǒng)提供方便；或者利用被入侵的系統(tǒng)，通過(guò)欺騙合法用戶(hù)的某種方式暗中“散發(fā)”木馬，以便進(jìn)一步擴(kuò)大入侵成果和入侵范圍，為進(jìn)行其它入侵活動(dòng)，如分布式拒絕服務(wù)攻擊等提供可能。木馬“投放”也有巨大的商業(yè)利益驅(qū)動(dòng)，簡(jiǎn)單的一個(gè)木馬程序就會(huì)帶來(lái)數(shù)十萬(wàn)的收入。（4）（五）計(jì)算機(jī)木馬病毒發(fā)展目前，木馬病毒結(jié)合了傳統(tǒng)病毒的破壞性，產(chǎn)生了更有危害性的混合型木馬病毒。有關(guān)報(bào)告顯示：截止2012年上半年，所截獲的新增病毒總計(jì)有132474種，而木馬病毒占總數(shù)的64.1%。其中，盜號(hào)木馬占總木馬數(shù)的70%，從數(shù)據(jù)上可以看出，木馬數(shù)量的成倍增長(zhǎng)，變種稱(chēng)出不窮，使得計(jì)算機(jī)用戶(hù)的處境更加危險(xiǎn)。至今木馬程序已經(jīng)經(jīng)歷了六代的改進(jìn)：

第一代，是最原始的木馬程序。出現(xiàn)在網(wǎng)絡(luò)發(fā)展的早期，是以竊取網(wǎng)絡(luò)密碼為主要任務(wù)，通過(guò)電子郵件發(fā)送信息，具備了木馬最基本的功能。這種木馬通過(guò)偽裝成一個(gè)合法的程序誘騙用戶(hù)上當(dāng)。世界上第一個(gè)計(jì)算機(jī)木馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的

2.72版本（而實(shí)際上編寫(xiě)PC-Write的Quicksoft公司從未發(fā)行過(guò)2.72版本），一旦用戶(hù)信以為真運(yùn)行該木馬程序，硬盤(pán)可能被格式化。第一代木馬還不具有傳染性，在隱藏和通信方面也均無(wú)特別之處。

第二代，在技術(shù)上有了很大的進(jìn)步，它使用標(biāo)準(zhǔn)的C/S架構(gòu)，提供遠(yuǎn)程文件管理、屏幕監(jiān)視等功能，在隱藏、自啟動(dòng)和操縱服務(wù)器等技術(shù)上也有很大的發(fā)展。由于植入木馬的服務(wù)端程序會(huì)打開(kāi)連接端口等候客戶(hù)端連接，因此比較容易被用戶(hù)發(fā)現(xiàn)。冰河是第二代木馬的典型代表之一。

第三代，主要改進(jìn)在網(wǎng)絡(luò)連接方式和數(shù)據(jù)傳遞技術(shù)方面，不打開(kāi)連接端口進(jìn)行偵聽(tīng)，而是使用ICMP通信協(xié)議進(jìn)行通信或使用TCP端口反彈技術(shù)讓服務(wù)器端主動(dòng)連接客戶(hù)端，以突破防火墻的攔截，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺識(shí)別的難度。如網(wǎng)絡(luò)神偷(Netthief)、灰鴿子木馬等。

第四代在進(jìn)程隱藏方面有了很大改動(dòng)，采用了內(nèi)核插入式的嵌入方式，讓木馬服務(wù)器運(yùn)行時(shí)沒(méi)有進(jìn)程，網(wǎng)絡(luò)操作插入到系統(tǒng)進(jìn)程或者應(yīng)用進(jìn)程中完成。這方面發(fā)展的最高境界是rootkit技術(shù)，嵌入木馬通過(guò)替換系統(tǒng)程序、DLL、甚至是驅(qū)動(dòng)程序，替換之后還能夠提供原來(lái)程序正常的服務(wù)，同時(shí)還被遠(yuǎn)程控制，從而實(shí)現(xiàn)木馬的隱藏。前三代木馬，大多都有獨(dú)立的進(jìn)程，通過(guò)任務(wù)管理器等查看當(dāng)前運(yùn)行的進(jìn)程，很快找到木馬并刪除。但是第四代木馬不是單獨(dú)的進(jìn)程或者以注冊(cè)服務(wù)的形式出現(xiàn)，無(wú)法通過(guò)“任務(wù)管理器”查看到正在運(yùn)行的木馬甚至在WindowsNT/2000下，都達(dá)到了良好的隱藏效果。需要專(zhuān)門(mén)的工具才能發(fā)現(xiàn)以及專(zhuān)業(yè)的木馬查殺工具才能清除，這方面的典型木馬如蜜蜂大盜、廣外男生。

第五代，實(shí)現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶(hù)主動(dòng)激活。（7）二、計(jì)算機(jī)木馬病毒的偽裝方式鑒于木馬病毒的危害性，很多人對(duì)木馬知識(shí)還是有一定了解的，這對(duì)木馬的傳播起了一定的抑制作用，因此他們開(kāi)發(fā)了多種功能來(lái)偽裝木馬，以達(dá)到降低用戶(hù)警覺(jué)，欺騙用戶(hù)的目的。（一）修改圖標(biāo)當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí)，是否會(huì)認(rèn)為這是個(gè)文本文件呢?但是我不得不告訴你,這也有可能是個(gè)木馬程序，現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT,ZIP等各種文件的圖標(biāo)，這有相當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見(jiàn)，并且這種偽裝也不是無(wú)懈可擊的，所以不必整天提心吊膽，疑神疑鬼的。（二）捆綁文件這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶(hù)毫無(wú)察覺(jué)的情況下，偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件（即EXE,COM一類(lèi)的文件）。（三）出錯(cuò)顯示有一定木馬知識(shí)的人都知道，如果打開(kāi)一個(gè)文件，沒(méi)有任何反應(yīng)，這很可能就是個(gè)木馬程序，木馬的設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷，所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶(hù)打開(kāi)木馬程序時(shí)，會(huì)彈出一個(gè)錯(cuò)誤提示框，錯(cuò)誤內(nèi)容可自由定義，大多會(huì)定制成一些諸如“文件已破壞，無(wú)法打開(kāi)的！”之類(lèi)的信息，當(dāng)服務(wù)端用戶(hù)信以為真時(shí)，木馬卻悄悄侵入了系統(tǒng)。（四）定制端口很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來(lái)了方便，只要查一下特定的端口就知道感染了什么木馬，所以現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶(hù)可以在102465535之間任選一個(gè)端口作為木馬端口，這樣就給判斷所感染木馬類(lèi)型帶來(lái)了麻煩。（五）自我銷(xiāo)毀這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶(hù)打開(kāi)含有木馬的文件后，木馬會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中（C:WINDOWS或C:WINDOWSSYSTEM目錄下），一般來(lái)說(shuō)原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的（捆綁文件的木馬除外），那么只要在近來(lái)收到的信件和下載的軟件中找到原木馬文件，然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件，判斷一下哪個(gè)是木馬就行了。而木馬的自我銷(xiāo)毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷(xiāo)毀，這樣服務(wù)端用戶(hù)就很難找到木馬的來(lái)源，在沒(méi)有查殺木馬的工具幫助下，就很難刪除木馬了。（六）木馬更名安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章，按圖索驥在系統(tǒng)文件夾查找特定的文件，就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶(hù)自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類(lèi)型了。三、計(jì)算機(jī)木馬病毒的防治（一）如何查出木馬在使用目前常見(jiàn)的木馬查殺軟件及殺軟件的同時(shí)，系統(tǒng)自帶的一些基本命令也可以發(fā)現(xiàn)木馬病毒：1、檢測(cè)網(wǎng)絡(luò)連接如果你懷疑自己的計(jì)算機(jī)上被別人安裝了木馬，或者是中了病毒，但是手里沒(méi)有完善的工具來(lái)檢測(cè)是不是真有這樣的事情發(fā)生，那可以使用Windows自帶的網(wǎng)絡(luò)命令來(lái)看看誰(shuí)在連接你的計(jì)算機(jī)。

具體的命令格式是：netstat-an這個(gè)命令能看到所有和本地計(jì)算機(jī)建立連接的IP，它包含四個(gè)部分——proto（連接方式）、localaddress（本地連接地址）、foreignaddress（和本地建立連接的地址）、state（當(dāng)前端口狀態(tài)）。通過(guò)這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控計(jì)算機(jī)上的連接，從而達(dá)到控制計(jì)算機(jī)的目的。2、禁用不明服務(wù)很多朋友在某天系統(tǒng)重新啟動(dòng)后會(huì)發(fā)現(xiàn)計(jì)算機(jī)速度變慢了，不管怎么優(yōu)化都慢，用殺毒軟件也查不出問(wèn)題，這個(gè)時(shí)候很可能是別人通過(guò)入侵你的計(jì)算機(jī)后給你開(kāi)放了特別的某種服務(wù)，比如IIS信息服務(wù)等，這樣你的殺毒軟件是查不出來(lái)的。但是別急，可以通過(guò)“netstart”來(lái)查看系統(tǒng)中究竟有什么服務(wù)在開(kāi)啟，如果發(fā)現(xiàn)了不是自己開(kāi)放的服務(wù)，我們就可以有針對(duì)性地禁用這個(gè)服務(wù)了。

方法就是直接輸入“netstart”來(lái)查看服務(wù)，再用“netstopserver”來(lái)禁止服務(wù)。3、檢查系統(tǒng)賬戶(hù)很長(zhǎng)一段時(shí)間，惡意的攻擊者非常喜歡使用克隆賬號(hào)的方法來(lái)控制你的計(jì)算機(jī)。他們采用的方法就是激活一個(gè)系統(tǒng)中的默認(rèn)賬戶(hù)，但這個(gè)賬戶(hù)是不經(jīng)常用的，然后使用工具把這個(gè)賬戶(hù)提升到管理員權(quán)限，從表面上看來(lái)這個(gè)賬戶(hù)還是和原來(lái)一樣，但是這個(gè)克隆的賬戶(hù)卻是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過(guò)這個(gè)賬戶(hù)任意地控制你的計(jì)算機(jī)。為了避免這種情況，可以用很簡(jiǎn)單的方法對(duì)賬戶(hù)進(jìn)行檢測(cè)。

首先在命令行下輸入netuser，查看計(jì)算機(jī)上有些什么用戶(hù)，然后再使用“netuser用戶(hù)名”查看這個(gè)用戶(hù)是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不是！如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶(hù)是屬于administrators組的，那幾乎肯定你被入侵了，而且別人在你的計(jì)算機(jī)上克隆了賬戶(hù)。使用“netuser用戶(hù)名/del”來(lái)刪掉這個(gè)用戶(hù),聯(lián)網(wǎng)狀態(tài)下的客戶(hù)端。對(duì)于沒(méi)有聯(lián)網(wǎng)的客戶(hù)端，當(dāng)其聯(lián)網(wǎng)之后也會(huì)在第一時(shí)間內(nèi)收到更新信息將病毒特征庫(kù)更新到最新版本。不僅省去了用戶(hù)去手動(dòng)更新的煩瑣過(guò)程，也使用戶(hù)的計(jì)算機(jī)時(shí)刻處于最佳的保護(hù)環(huán)境之下。（5）4、對(duì)比系統(tǒng)服務(wù)項(xiàng)點(diǎn)擊“開(kāi)始，運(yùn)行”輸入“msconfig.exe"回車(chē)，打開(kāi)”系統(tǒng)配置實(shí)用程序，然后在“服務(wù)”選項(xiàng)卡中勾選“隱藏所有Microsoft服務(wù)”，這時(shí)列表中顯示的服務(wù)項(xiàng)都是非系統(tǒng)程序。

再點(diǎn)擊“開(kāi)始，運(yùn)行”，輸入Services.msc"回車(chē)，打開(kāi)“系統(tǒng)服務(wù)管理”，對(duì)比兩張表，在該“服務(wù)列表”中可以逐一找出剛才顯示的非系統(tǒng)服務(wù)項(xiàng)。

在“系統(tǒng)服務(wù)”管理界面中，找到那些服務(wù)后，雙擊打開(kāi)，在“常規(guī)”選項(xiàng)卡中的可執(zhí)行文件路徑中可以看到服務(wù)的可執(zhí)行文件位置，一般正常安裝的程序，比如殺毒，MSN，防火墻，等，都會(huì)建立自己的系統(tǒng)服務(wù)，不在系統(tǒng)目錄下，如果有第三方服務(wù)指向的路徑是在系統(tǒng)目錄下，那么他就是“木馬”。選中它，選擇表中的“禁止”，重新啟動(dòng)計(jì)算機(jī)即可。（8）

要點(diǎn)：有一個(gè)表的左側(cè)：有被選中的服務(wù)程序說(shuō)明，如果沒(méi)用，它就是木馬。（二）如何刪除木馬病毒1、禁用系統(tǒng)還原如果您運(yùn)行的是WindowsMe或WindowsXP，建議您暫時(shí)關(guān)閉“系統(tǒng)還原”。此功能默認(rèn)情況下是啟用的，一旦計(jì)算機(jī)中的文件被破壞，Windows可使用該功能將其還原。如果病毒、蠕蟲(chóng)或特洛伊木馬感染了計(jì)算機(jī)，則系統(tǒng)還原功能會(huì)在該計(jì)算機(jī)上備份病毒、蠕蟲(chóng)或特洛伊木馬。

Windows禁止包括防病毒程序在內(nèi)的外部程序修改系統(tǒng)還原。因此，防病毒程序或工具無(wú)法刪除SystemRestore文件夾中的威脅。這樣，系統(tǒng)還原就可能將受感染文件還原到計(jì)算機(jī)上，即使您已經(jīng)清除了所有其他位置的受感染文件。（9）2、安全模式或VGA模式關(guān)閉計(jì)算機(jī)，等待至少30秒鐘后重新啟動(dòng)到安全模式或者VGA模式。掃描和刪除受感染文件啟動(dòng)防病毒程序，并確保已將其配置為掃描所有文件。運(yùn)行完整的系統(tǒng)掃描。如果檢測(cè)到任何文件被Download.Trojan感染，請(qǐng)單擊“刪除”。如有必要，清除InternetExplorer歷史和文件。如果該程序是在TemporaryInternetFiles文件夾中的壓縮文件內(nèi)檢測(cè)到的，請(qǐng)執(zhí)行以下步驟：

啟動(dòng)InternetExplorer,單擊“工具”中“Internet選項(xiàng)”,單擊“常規(guī)”選項(xiàng)卡“Internet臨時(shí)文件”，單擊“刪除文件”，然后在出現(xiàn)提示后單擊“確定”。在“歷史”部分，單擊“清除歷史”，然后在出現(xiàn)提示后單擊“是”。（10）（三）如何防范木馬病毒1、截?cái)鄠魅驹词紫龋鳛槠胀ㄓ脩?hù)，殺毒防護(hù)軟件是必不可少的。在用戶(hù)首次安裝完系統(tǒng)之后、首次聯(lián)網(wǎng)之前就應(yīng)該將殺毒防護(hù)軟件安裝好，記得開(kāi)啟防護(hù)監(jiān)控。緊接著應(yīng)該進(jìn)行一次全盤(pán)的掃描，確保未聯(lián)網(wǎng)前系統(tǒng)是無(wú)毒的。其次，瀏覽網(wǎng)頁(yè)或者下載軟件時(shí)要特別謹(jǐn)慎，往往木馬就是捆綁在不明網(wǎng)頁(yè)和不明程序上的。用戶(hù)應(yīng)該做到不瀏覽不健康不正規(guī)的網(wǎng)站，尤其不能點(diǎn)擊網(wǎng)站上浮動(dòng)的色情廣告。另外，常用軟件要去正規(guī)下載站去下載安裝。再次，用戶(hù)使用電腦方面也要注意，在插入陌生的U盤(pán)時(shí)應(yīng)該先對(duì)U盤(pán)進(jìn)行病毒查殺。打開(kāi)U盤(pán)最好不用雙擊方式，應(yīng)該用右鍵選擇“打開(kāi)”或者“資源管理器”的方法打開(kāi)。因?yàn)殡p擊打開(kāi)盤(pán)符會(huì)觸發(fā)Autorun啟發(fā)方式的木馬病毒。2、加強(qiáng)計(jì)算機(jī)防護(hù)及時(shí)安裝殺毒軟件和更新病毒庫(kù)，可避免因在不可靠的網(wǎng)站尋找破解等信息時(shí)候中毒或錯(cuò)將惡意軟件當(dāng)作破解補(bǔ)丁下載?，F(xiàn)在的病毒最?lèi)?ài)做的事情就是利用系統(tǒng)漏洞攻擊你的電腦，及時(shí)安裝補(bǔ)丁程序,檢查注冊(cè)表和內(nèi)存中可疑進(jìn)程。禁止自動(dòng)啟動(dòng)可以用比如360安全衛(wèi)士、金山衛(wèi)士等軟件中的功能來(lái)實(shí)現(xiàn)，禁止不必要的開(kāi)機(jī)自啟程序。3、善用賬號(hào)保護(hù)工具善于利用其它外部的賬號(hào)工具也可以幫助更好的保障安全。比如超級(jí)密碼、手機(jī)短信驗(yàn)證、硬件Ukey、手機(jī)令牌軟件等。手機(jī)令牌軟件屬于手機(jī)客戶(hù)端軟件，采用OTP技術(shù)，基于時(shí)間同步的方式，每隔60秒鐘變化一次密碼，用戶(hù)登陸的時(shí)候須輸入賬戶(hù)名、靜態(tài)密碼、動(dòng)態(tài)密碼三塊，這樣即使靜態(tài)密碼泄露或者被盜，盜號(hào)者在沒(méi)有動(dòng)態(tài)密碼的前提下，也不可能登陸賬號(hào)。這種軟件是通過(guò)一定的算法達(dá)到時(shí)間同步，所以過(guò)程中無(wú)需使用流量。另外多用軟鍵盤(pán)，針對(duì)木馬病毒記錄鍵盤(pán)的特征，對(duì)于非常重要的賬號(hào)密碼，如網(wǎng)上銀行，阿里旺旺，股票賬號(hào)等等，建議使用軟鍵盤(pán)輸入賬號(hào)密碼，雖然麻煩但是能大大增加安全性。四、幾款免費(fèi)的木馬專(zhuān)殺工具計(jì)算機(jī)木馬病毒也可以使用專(zhuān)用的專(zhuān)業(yè)分析軟件進(jìn)行查殺和分析，免費(fèi)木馬專(zhuān)殺工具如：冰刃、Windows清理助手、惡意軟件清理助手、Atool軟件、Windows惡意軟件刪除工具(mrt.exe)等。（一）冰刃冰刃(Icesword)是專(zhuān)業(yè)查殺木馬工具中較好的工具之一，冰刃提供了可以完全刪除任何文件的功能。

冰刃的文件操作有些類(lèi)似于資源管理器，不同之處在于其具備反隱藏、反保護(hù)的功能，能夠直接顯示被隱藏的文件，并刪除所有的文件。可以容易做到刪除任意的注冊(cè)表項(xiàng)和顯示所有的注冊(cè)表項(xiàng)。冰刃程序可以刪除除idle進(jìn)程、System進(jìn)程、csrss進(jìn)程以外的所有進(jìn)程，一個(gè)木馬或病毒采用多線程保護(hù)技術(shù)創(chuàng)建進(jìn)程，IceSword可以發(fā)現(xiàn)是什么線程又創(chuàng)建了這個(gè)線程，把它們一并殺除。（二）Windows清理助手Windows清理助手（ARSwp）發(fā)布于2006年10月，運(yùn)行于Windows2000以上平臺(tái)，是一款用戶(hù)擁有完全控制權(quán)的Windows清理工具。實(shí)現(xiàn)的功能主要是全面掃描系統(tǒng)，幫助用戶(hù)清理Windows無(wú)法清理或清理不干凈的軟件、IE信息和程序。清理助手根據(jù)腳本文件掃描系統(tǒng)，將符合腳本文件所屬特征的文件和注冊(cè)表信息在用戶(hù)自主選擇的情況下進(jìn)行刪除。（三）惡意軟件清理助手下載得到壓縮包并解壓到任意目錄，不需安裝，直接雙擊“RogueCleaner.exe”即可啟動(dòng)程序，惡意軟件清理助手的使用很簡(jiǎn)單，單擊“開(kāi)始檢測(cè)”按鈕開(kāi)始檢測(cè)系統(tǒng)，檢測(cè)完畢后再通過(guò)“開(kāi)始清理”按鈕即可進(jìn)行清理。其特點(diǎn)是它的清理功能非常徹底，它甚至能將其它軟件清理過(guò)的流氓軟件的殘留信息全部列舉出來(lái)；如果掃描的可疑文件比較多，可以通過(guò)百度查詢(xún)相關(guān)可疑文件的信息然后刪除。（四）Atool軟件它是木馬專(zhuān)殺廠商提供的一款免費(fèi)的、向高級(jí)用戶(hù)群體設(shè)計(jì)的專(zhuān)業(yè)系統(tǒng)安全檢測(cè)及輔助處置工具，其界面類(lèi)似于冰刃。其優(yōu)點(diǎn)是除了冰刃提供的功能外，還提供其它的一些如插件管理，SPI修復(fù)等功能，軟件經(jīng)常更新，提供新的功能，而冰刃更新速度較慢。（五）Windows惡意軟件刪除工具(mrt.exe)是Microsoft所提供的的一個(gè)免費(fèi)的，刪除惡意軟件使用工具，并由Microsoft定期公布其更新版本。該工具可以檢查運(yùn)行當(dāng)前流行的各種Windows版本是否受到惡意軟件的感染，幫助刪除所有找到的感染病毒。該工具一般在后臺(tái)自動(dòng)運(yùn)行，當(dāng)檢測(cè)到惡意軟軟件時(shí)，當(dāng)下次以計(jì)算機(jī)管理員身份登錄到計(jì)算機(jī)時(shí)，將會(huì)出現(xiàn)一個(gè)氣球以通知檢測(cè)結(jié)果，當(dāng)然也可以自己?jiǎn)?dòng)進(jìn)行全面掃描，啟動(dòng)方式為運(yùn)行命令mrt.exe。五、結(jié)束語(yǔ)計(jì)算機(jī)木馬病毒的防治,單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái),提高人們的防范意識(shí),才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。網(wǎng)絡(luò)管理應(yīng)該積極主動(dòng),從硬件設(shè)備和軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度,對(duì)網(wǎng)絡(luò)系統(tǒng)的管理員及用戶(hù)加強(qiáng)法制教育和職業(yè)道德教育,規(guī)范工作程序和操作規(guī)程,建立“防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治”的最佳安全模式?？傊?計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別,造成的危害也越來(lái)越嚴(yán)重,我們需要高度重視病毒的發(fā)展趨勢(shì),加強(qiáng)計(jì)算機(jī)病毒防范知識(shí)的普及和應(yīng)用,加強(qiáng)安全防范意識(shí)和技術(shù),加強(qiáng)計(jì)算機(jī)病毒知識(shí)的研究,在技術(shù)上更先進(jìn),功能上更全面,構(gòu)建較完善的病毒防范體系,確保體系的有效性和先進(jìn)性。參考文獻(xiàn)（1）張友生，米安然，計(jì)算機(jī)病毒與木馬程序剖析[M]，北京:北京科海電子出版社，2009.（2）張小磊，計(jì)算機(jī)病毒診斷與防治[M]，北京:中國(guó)環(huán)境科學(xué)出版社，2008.（3）DavidHarley[美]，RobertSlade[美]，UrsE.Gattiker[美]，計(jì)算機(jī)病毒揭秘[M]，北京:人民郵電出版社，2005.9.（4）王葉，黑客攻防大全[M]，北京:機(jī)械工業(yè)出版社,2015.（5）張爭(zhēng)平,審校，新編windowsAPI參考大全[M]，北京:電子工業(yè)出版社，2008.3.（6）楊云偉，VisualBasic實(shí)驗(yàn)教程[M]，武漢大學(xué)出版社，2010.（7）恒盛杰，資訊，黑客攻防從入門(mén)到精通，北京:機(jī)械工業(yè)出版社，2013.（8）郝強(qiáng)，趙中華，WindowsXP注冊(cè)表大全[M]，北京:電子工業(yè)出版社，2010.4.（9）崔彥鋒，許小榮，VB網(wǎng)絡(luò)與遠(yuǎn)程控制實(shí)例編程[M]，北京:北京希望電子出版社，2009.（10）黑鷹基地，VB木馬-VIP教程[M]，網(wǎng)絡(luò)資料，2011-05-03.指導(dǎo)教師評(píng)語(yǔ)：初評(píng)成績(jī)：指導(dǎo)教師簽名：年月日畢業(yè)綜合實(shí)踐（設(shè)計(jì)）評(píng)審小組意見(jiàn)：終評(píng)成績(jī)：組長(zhǎng)簽章：年月日備注基于C8051F單片機(jī)直流電動(dòng)機(jī)反饋控制系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的嵌入式Web服務(wù)器的研究MOTOROLA單片機(jī)MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對(duì)良率的影響研究基于模糊控制的電阻釬焊單片機(jī)溫度控制系統(tǒng)的研制基于MCS-51系列單片機(jī)的通用控制模塊的研究基于單片機(jī)實(shí)現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機(jī)控制的二級(jí)倒立擺系統(tǒng)的研究基于增強(qiáng)型51系列單片機(jī)的TCP/IP協(xié)議棧的實(shí)現(xiàn)基于單片機(jī)的蓄電池自動(dòng)監(jiān)測(cè)系統(tǒng)基于32位嵌入式單片機(jī)系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機(jī)的作物營(yíng)養(yǎng)診斷專(zhuān)家系統(tǒng)的研究基于單片機(jī)的交流伺服電機(jī)運(yùn)動(dòng)控制系統(tǒng)研究與開(kāi)發(fā)基于單片機(jī)的泵管內(nèi)壁硬度測(cè)試儀的研制基于單片機(jī)的自動(dòng)找平控制系統(tǒng)研究基于C8051F040單片機(jī)的嵌入式系統(tǒng)開(kāi)發(fā)基于單片機(jī)的液壓動(dòng)力系統(tǒng)狀態(tài)監(jiān)測(cè)儀開(kāi)發(fā)模糊Smith智能控制方法的研究及其單片機(jī)實(shí)現(xiàn)一種基于單片機(jī)的軸快流CO〈,2〉激光器的手持控制面板的研制基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究基于CYGNAL單片機(jī)的在線間歇式濁度儀的研制基于單片機(jī)的噴油泵試驗(yàn)臺(tái)控制器的研制基于單片機(jī)的軟起動(dòng)器的研究和設(shè)計(jì)基于單片機(jī)控制的高速快走絲電火花線切割機(jī)床短循環(huán)走絲方式研究基于單片機(jī)的機(jī)電產(chǎn)品控制系統(tǒng)開(kāi)發(fā)基于PIC單片機(jī)的智能手機(jī)充電器基于單片機(jī)的實(shí)時(shí)內(nèi)核設(shè)計(jì)及其應(yīng)用研究基于單片機(jī)的遠(yuǎn)程抄表系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的煙氣二氧化硫濃度檢測(cè)儀的研制基于微型光譜儀的單片機(jī)系統(tǒng)單片機(jī)系統(tǒng)軟件構(gòu)件開(kāi)發(fā)的技術(shù)研究基于單片機(jī)的液體點(diǎn)滴速度自動(dòng)檢測(cè)儀的研制基于單片機(jī)系統(tǒng)的多功能溫度測(cè)量?jī)x的研制基于PIC單片機(jī)的電能采集終端的設(shè)計(jì)和應(yīng)用基于單片機(jī)的光纖光柵解調(diào)儀的研制氣壓式線性摩擦焊機(jī)單片機(jī)控制系統(tǒng)的研制基于單片機(jī)的數(shù)字磁通門(mén)傳感器基于單片機(jī)的旋轉(zhuǎn)變壓器-數(shù)字轉(zhuǎn)換器的研究基于單片機(jī)的光纖Bragg光柵解調(diào)系統(tǒng)的研究單片機(jī)控制的便攜式多功能乳腺治療儀的研制基于C8051F020單片機(jī)的多生理信號(hào)檢測(cè)儀基于單片機(jī)的電機(jī)運(yùn)動(dòng)控制系統(tǒng)設(shè)計(jì)Pico專(zhuān)用單片機(jī)核的可測(cè)性設(shè)計(jì)研究基于MCS-51單片機(jī)的熱量計(jì)基于雙單片機(jī)的智能遙測(cè)微型氣象站MCS-51單片機(jī)構(gòu)建機(jī)器人的實(shí)踐研究基于單片機(jī)的輪軌力檢測(cè)基于單片機(jī)的GPS定位儀的研究與實(shí)現(xiàn)基于單片機(jī)的電液伺服控制系統(tǒng)用于單片機(jī)系統(tǒng)的MMC卡文件系統(tǒng)研制基于單片機(jī)的時(shí)控和計(jì)數(shù)系統(tǒng)性能優(yōu)化的研究基于單片機(jī)和CPLD的粗光柵位移測(cè)量系統(tǒng)研究單片機(jī)控制的后備式方波UPS提升高職學(xué)生單片機(jī)應(yīng)用能力的探究基于單片機(jī)控制的自動(dòng)低頻減載裝置研究基于單片機(jī)控制的水下焊接電源的研究基于單片機(jī)的多通道數(shù)據(jù)采集系統(tǒng)基于uPSD3234單片機(jī)的氚表面污染測(cè)量?jī)x的研制基于單片機(jī)的紅外測(cè)油儀的研究96系列單片機(jī)仿真器研究與設(shè)計(jì)基于單片機(jī)的單晶金剛石刀具刃磨設(shè)備的數(shù)控改造基于單片機(jī)的溫度智能控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)基于MSP430單片機(jī)的電梯門(mén)機(jī)控制器的研制基于單片機(jī)的氣體測(cè)漏儀的研究基于三菱M16C/6N系列單片機(jī)的CAN/USB協(xié)議轉(zhuǎn)換器基于單片機(jī)和DSP的變壓器油色譜在線監(jiān)測(cè)技術(shù)研究基于單片機(jī)的膛壁溫度報(bào)警系統(tǒng)設(shè)計(jì)基于AVR單片機(jī)的低壓無(wú)功補(bǔ)償控制器的設(shè)計(jì)基于單片機(jī)船舶電力推進(jìn)電機(jī)監(jiān)測(cè)系統(tǒng)基于單片機(jī)網(wǎng)絡(luò)的振動(dòng)信號(hào)的采集系統(tǒng)基于單片機(jī)的大容量數(shù)據(jù)存儲(chǔ)技術(shù)的應(yīng)用研究基于單片機(jī)的疊圖機(jī)研究與教學(xué)方法實(shí)踐基于單片機(jī)嵌入式Web服務(wù)器技術(shù)的研究及實(shí)現(xiàn)基于AT89S52單片機(jī)的通用數(shù)據(jù)采集系統(tǒng)基于單片機(jī)的多道脈沖幅度分析儀研究機(jī)器人旋轉(zhuǎn)電弧傳感角焊縫跟蹤單片機(jī)控制系統(tǒng)基于單片機(jī)的控制系統(tǒng)在PLC虛擬教學(xué)實(shí)驗(yàn)中的應(yīng)用研究基于單片機(jī)系統(tǒng)的網(wǎng)絡(luò)通信研究與應(yīng)用基于PIC16F877單片機(jī)的莫爾斯碼自動(dòng)譯碼系統(tǒng)設(shè)計(jì)與研究基于單片機(jī)的模糊控制器在工業(yè)電阻爐上的應(yīng)用研究基于雙單片機(jī)沖床數(shù)控系統(tǒng)的研究與開(kāi)發(fā)基于Cygnal單片機(jī)的μC/OS-Ⅱ的研究基于單片機(jī)的一體化智能差示掃描量熱儀系統(tǒng)研究基于TCP/IP協(xié)議的單片機(jī)與Internet互聯(lián)的研究與實(shí)現(xiàn)變頻調(diào)速液壓電梯單片機(jī)控制器的研究基于單片機(jī)γ-免疫