电脑桌面上的1个文件；好看的卡通电脑桌面

最近，一个名为“1”的文件总是出现在我的桌面上，没有任何联系，有时删除后会重新启动。我用的是VISTA系统。贡品是木马吗？是什么样的木马？怎么杀？用最新版本的金山毒霸找不到。不是木马攻略。当我在潜意识里提到“木马”时，我立刻想到了魏蜀吴时期诸葛亮发现的木牛流马。刚开始的时候，我想不通它是怎么和病毒扯上关系的。说到底，原来是借用了古希腊一名士兵躲在特洛伊木马里潜入敌方城市的故事，从而一举占领了敌方城市，因为特洛伊病毒入侵远程主机的方式与它的围攻在战略上是一致的。通过这样的解释，我相信大部分小伙伴对木马入侵主机方式的理解：就是潜入你的桌面系统，通过各种隐藏方式在系统启动时自动在后台执行，在你上网时利用服务器/客户端通信手段控制你的桌面，从而窃取你的密码，访问你的硬盘资源，修改你的文件或注册表，偷看你的邮件等等。一旦你的桌面被它控制，通常会显示蓝屏崩溃；光盘自己乱蹦乱跳；鼠标按键功能反转或失效或文件被删除；有时崩溃，有时从头开始；当你不执行任何操作时，你在拼命地读写硬盘；系统莫名其妙地搜索软驱；运行没有大步，但系统速度越来越慢，系统资源占用很大；使用Ctrl Alt Del转移任务列表，我们发现有很多同名的步骤在运行，而且可能会随着时间的增加而增加。但是，你要知道，即使你发现你的机器感染了木马病毒，你也不必那么害怕，因为木马病毒在目的上与一般病毒有很大的不同。即使木马运行，也绝对会对你的机器造成伤害。但是肯定有一些缺点。你的互联网密码可能已经进入了别人的收件箱，所以黑客可以窃取你的互联网账户并上网！木马步伐也是病毒步伐的一种，但它更具体地被称为黑客步伐，因为它入侵的目的是为发布这些木马步伐的人服务，也就是所谓的黑客。本文将从木马的一些特点、木马入侵的一些常见技术和切根方法、如何避免木马入侵以及几种常见木马的切根四个方面进行全面的阐述。木马是一种病毒。同时，木马也有很多不同的种类，不同的人和不同时期的发展有所区别。例如back rifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、不对称、冰川等。都属于木马病毒类型。基于流行的木马，它们都有以下基本特征：第一，隐蔽性是其首要特征。和所有其他病毒一样，木马也是一种病毒，它必须隐藏在你的系统中，它会尽一切可能不让你发现它。很多人分不清木马和远程控制软件的区别，因为我前面说过，木马会通过木马停留在目标机器上，然后通过远程控制功能控制目标机器。其实他们最大的区别就在于这一点。比如局域网间通信常用软件PCAnywhere，想必大家都很熟悉，大家都知道它是一款远程通信软件。PCanwhere在服务器端运行，当客户端和服务器端连接成功时，客户端机器上会出现一个醒目的提示标志。而类木马软件的服务器端在运行时应用各种手段隐藏自己，不可能给出任何提示。这些黑客早就想到了各方面可能的迹象，并将其杀死。例如，熟悉的特洛伊木马会修改注册表和ini文件，以便机器在下次启动后仍然可以加载特洛伊木马程序。这不是一个自然的启动步骤，而是取决于其他步骤。 一些把服务器和正常步调绑定成一个步调的软件，叫做exe-binder绑定程序，在使用绑定程序的时候会让人入侵系统。即使是个别的木马，也可以把自己的exe文件和服务器上的图片文件绑定，当你看图片的时候，木马也会入侵你的系统。它的隐蔽性主要体现在以下两个方面：a、它会在你的系统启动时自动运行，但不会在“任务栏”生成图标，这很容易理解，否则你肯定会发现它的眼睛着火了。我们知道，要想在任务栏隐藏图标，只需要在开发木马时，将“Form”的“Visible”属性设置为“False”，将“ShowintaskBar”属性设置为“Flase”；b、木马步骤自动隐藏在任务管理器中，通过“系统服务”的方式欺骗操作系统。2.它有自动操作。这是一个在系统启动时自动运行的步骤，因此它必须潜入您的启动配置文件，如win.ini、system.ini、winstart.bat和启动组。第三，木马步伐具有欺骗性。要达到它长期隐藏的目的，就要利用系统中已有的文件，防止你发现它。它经常使用常见的文件名或扩展名，如“dll/win/sys/explorer”，或者模仿一些不易区分的文件名，如字母“L”和数字“1”，字母“O”和数字“0”。其他特洛伊木马经常将自己设置为ZIP文件图标，以隐藏自己。当你不小心打开它时，它会立即运行。等等。编译木马步伐的人还在不断学习和探索。总之，他们越来越隐蔽，越来越专业，所以有人把木马的步伐称为“骗财产的人的步伐”。4.自动恢复功能。如今，许多木马中的功能模块不再由单个文件组成，而是有多个备份，可以相互恢复。5.能够自动打开线外端口潜入人们桌面的木马，其目的不仅仅是为了破坏你的系统，更是为了获取你系统中的有用信息，所以在你上网的时候需要与远程客户进行沟通，这样木马就可以利用服务器/客户端的通信手段将信息告诉黑客，让黑客控制你的机器或者实施进一步的入侵企图。你知道你的台式电脑有多少个外部“门”吗？我不知道。我告诉你不要害怕。按照TCP/IP协议，每台台式电脑可以有256乘256个门，也就是从0到65535的“门”，但常用的只有少数。如果你想有这样的门，你不能进去。当然，有些门我们还是可以关上的，我会在防范木马的措施中讲到。不及物动词功能的特殊性通常，木马的功能非常特殊。除了普通的文件操作外，一些木马还具有在缓存中搜索密码、设置密码、扫描目标机器人的IP地址、记录键盘、操作远程注册表、锁定鼠标等功能。上面提到的远程控制软件的功能肯定是不可用的。毕竟远程控制软件是用来控制远程机器，方便自己操作的，不是用来黑对方机器的。7.黑客组织往往是开放的。在过去，我从未发现过任何公开的病毒组织(也许我是无知的)。大部分病毒都是个人出于好奇(当然也有专门做这个职业的专业人士)，想试试自己的病毒发展水平。但是，他或她从来不敢公开，因为一旦发现他们可能被判入狱或罚款，这样的例子就不再是新闻了。如果以前真的有专门研发病毒的病毒组织，那绝对应该属于“地下”。 现在专门开发木马的组织比比皆是，不仅存在，还在网上公开招人，似乎已经合法化了。正因如此，黑客不断升级和涌现，黑手段也越来越精彩。不知道为什么，据说原因是“为了自卫和爱国”。木马入侵的常见技术和切根方法虽然木马的步伐千变万化，但正如一位木马组织负责人所说，大多数木马都没有什么特殊功能，入侵的方法也几乎一样。他们只是重复了之前特洛伊人的步伐，只是换了名字。现在他们应该注重效率。据说他们应该停止重复开发和浪费资源。当然，我们之前只能讲一些常见的入侵技术，因为我们毕竟不是木马的开发者，不能有远见。一、在win.ini文件中加载通常win.ini文件的[windwos]部分有以下加载项：run=load=，这两项一般为空，如图1所示。图1如果你发现你的系统中这两个项目加载了任何可疑的步骤，你应该非常小心，然后你可以根据它们提供的源文件路径和函数进一步检查。我们知道，这两个差异用于在系统启动时自动运行和加载配速。如果特洛伊木马程序被加载到这两个子项目中，那么您的系统可以在启动时自动运行或加载。当然，也有可能你的系统需要加载某个步骤，但你要知道这是木马使用它的好机会。它经常在已加载的现有步骤文件名后添加自己的文件名或参数，并且该文件名经常被您的常用文件(如command.exe和sys.com)所掩盖。2.加载到System.ini文件中我们知道在系统信息文件system.ini中还有一个启动加载项，就是[BOOT]子项中的“Shell”项，如图2所示。图2这里木马最常见的伎俩就是把本该是“探索者”的东西改成自己的步调名称，伪装成和原来几乎一样。只需将“Explorer”的字母“L”改为数字“1”，或将“O”改为数字“0”。如果你不密切关注这些变化，它们很难被发现。这是我们之前说过的。当然，有些木马不会这么做，而是直接把“探索者”改成别的东西，因为他知道还有很多伙伴不知道这一定是“探索者”，或者是给“探索者”加了什么东西，而加的那些东西一定是木马。三、修改注册表如果时不时研究注册表的伙伴一定知道，我们也可以在注册表中设置一些启动和加载项。当然，编译木马步伐的高手也不会放过这个机会，他们知道注册表更安全，因为能读注册表的人更少。其实只要是“run/run-/run once/run once ex/run services/run services-/run services once”等。是木马步伐加载的入口，比如【HKEY _ local _ machine/software/Microsoft/Windows/current version/run或/RunOnce】，如图3所示；图3 [HKEY _当前_用户/软件/微软/windows/当前版本/运行或运行-或运行一次或运行一次或运行服务或运行服务一次]，如图4所示。图4:只要按照指定的源文件路径一路检查，研究它在系统中的作用，就不难找到这些键值的作用。不过也要注意木马的贴骗，最擅长伪装自己！同时，仔细检查是否有近似netspy.exe、空格、exe或这些键值中的其他可疑文件名，如果有就立即删除。 4.修改文件，打开联系人，并参与特洛伊木马。今天，他们发现上面的老招无效。为了更好地隐藏自己，他们使用的隐藏手段越来越好(但这也是保存一切的方法，你不觉得吗？)，他们用修改过的文件打开联系人来达到加载的目的。当您打开一个已被修改为打开联系人的文件时，特洛伊木马会开始运行。例如，冰川木马使用文本文件(。txt)，这是最常见但最不引人注意的文件模式。当有人打开文本文件时，它会自动加载冰川木马。修改联系人的方式是修改注册表，注册表主要选择文件模式中的“打开”、“编辑”、“打印”项。例如，冰川木马修改的对象如图5所示。在图5中，如果感染了冰川木马病毒，【HKEY _ class _ root/txt file/shell/open/command】中的键值不是“C3360/Windows”如果发现上面介绍的几种木马入侵方式，当然会立即删除，并立即断开与集合的连接，阻断黑客通信的途径，通过以上各种方式找到。如果是在注册表中找到的，就要利用注册表的搜索功能，为所有人找一篇文章，把木马的隐藏窝点全部铲除，这样才能彻底铲除。如果注册表已备份，最好在导入原始备份注册表之前完全删除注册表。切断木马前要小心。如果木马在运行，就不能删除它的步调。此时，您可以重新启动到DOS模式并删除它。有些特洛伊木马会自动检查注册表中的自启动条目。如果您在特洛伊木马挂机时删除该条目，它可以自动恢复。此时，您可以重新启动到DOS删除其步骤，然后进入Win9x删除其在注册表中的自启动条目。补充1:试试线上杀毒补充2:试试这个。说得好。*