病毒和木马的区别

admin管理员组

文章数量:1531793

2024年7月11日发(作者：)

病毒和木马的区别

我们说到电脑中毒，一般都是病毒与木马。而病毒跟木马的目的都

是一样的，盗取信息，破坏系统等等。那么他们之间有着怎样的区别

呢？

病毒(Virus)和木马(Trojan Horse)都是恶意软件(Malware)的一个

子类。

病毒的主要特征是感染正常文件。

木马的主要特征是伪装成正常文件。

但现今单纯的病毒木马蠕虫(Worm)后门(Backdoor)等都很少了，

绝大部分恶意软件都是混合型的。

木马不传染,病毒传染，木马主要是盗取的密码及其他资料，而病

毒是不同程度不同范围的影响电脑的使用,木马的作用范围是所有使

用这台有木马的人在使用电脑时的资料,但是不会传染到其他机器,但

是病毒可以随着软盘， U盘,邮件等传输方式或者媒介传染到其他机

器.

严重不严重?我举个例子,你的机器中了木马,这个木马是盗取QQ

密码的,那么只要有人在这台机器上登陆了自己的QQ,密码就会被盗.

你觉得严重么?

电脑有了病毒,轻的话，就是影响你的电脑运行速度，或者是没完

没了给你报各种垃圾信息，这都是小事情,重的，让你开不了机,你觉

得严重么?

杀毒和杀木马要用不同的软件，比如金山毒霸,瑞星,诺顿,卡巴斯

基这些软件是针对病毒的，但注意随时更新病毒库,而他们对木马无

效.

杀木马的工具是专有的，比如金山的木马专杀，还有其他一些杀

木马的工具,你也可以去搜索，但是,木马和病毒不同,有的时候即使用

了这些软件也无法查杀一些木马，如果影响严重，只能重新做系统。

说到这里可能有的人还不知道他们具体是什么，而接下来我们详细的

看一下他们到底是一个什么东西吧。

病毒是什么?

计算机病毒(Computer Virus)是编制者在计算机程序中插入的破

坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一

组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、

表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→

发作期→发现期→消化期→消亡期。

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具

有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有

独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自

身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一

个用户时，它们就随同文件一起蔓延开来。

定义

计算机病毒(Computer Virus)在《中华人民共和国计算机信息系

统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插

入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复

制的一组计算机指令或者程序代码”。

计算机病毒与医学上的“病毒”不同，计算机病毒不是天然存在的，

是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程

序代码。它能潜伏在计算机的存储介质(或程序)里，条件满足时即被

激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形

式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所

谓的病毒就是人为造成的，对其他用户的危害性很大。

发展

第一份关于计算机病毒理论的学术工作( "病毒" 一词

当时并未使用)于 1949 年由约翰·冯·诺伊曼完成。以 "Theory

and Organization of Complicated Automata" 为题的一场在伊

利诺伊大学的演讲，后改以 "Theory of self-reproducing

automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机

程序如何复制其自身。

1980 年，Jürgen Kraus 于多特蒙德大学撰写他的学位论文

"Self-reproduction of programs"。论文中假设计算机程序

可以表现出如同病毒般的行为。

“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred

Cohen)1984年的论文《电脑病毒实验》。

1983 年 11月，在一次国际计算机安全学术会议上，美国学者

科恩第一次明确提出计算机病毒的概念，并进行了演示。

1986年年初，巴基斯坦兄弟编写了“大脑(Brain)”病毒，又被称为

“巴基斯坦”病毒。

1987年，第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟：巴

斯特(Basit)和阿姆捷特(Amjad)编写。计算机病毒主要是引导型病毒，

具有代表性的是“小球”和“石头”病毒。

1988年在财政部的计算机上发现的，中国最早的计算机病毒。

1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头

2”。

1990年，发展为复合型病毒，可感染COM和EXE文件。

1992年，利用DOS加载文件的优先顺序进行工作，具有代表性

的是“金蝉”病毒。

1995年，当生成器的生成结果为病毒时，就产生了这种复杂的“病

毒生成器” ，幽灵病毒流行中国。 典型病毒代表是“病毒制造机”

“VCL”。

1998年台湾大同工学院学生陈盈豪编制了CIH病毒。

2000年最具破坏力的10种病毒分别是：Kakworm，爱虫，

Apology-B， Marker ， Pretty ，Stages-A，Navidad，

Ska-Happy99 ，WM97/Thus ，XM97/Jin。

2003年，中国大陆地区发作最多的十个病毒，分别是：红色结束

符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职

信、尼姆达II、QQ木马、CIH。

2005年，1月到10月，金山反病毒监测中心共截获或监测到的

病毒达到50179个，其中木马、蠕虫、黑客病毒占其中的91%，以

盗取用户有价账号的木马病毒(如网银、QQ、网游)为主，病毒多达

2000多种。

2007年1月，病毒累计感染了中国80%的用户，其中78%以上

的病毒为木马、后门病毒。 熊猫烧香肆虐全球。

2010年，越南全国计算机数量已500万台，其中93%受过病毒

感染，感染电脑病毒共损失59000万亿越南盾。

科幻小说

而病毒一词广为人知是得力于科幻小说。一部是1970年代中期

大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》，描述

了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;另一部是约

翰·布鲁勒尔(John Brunner)1975年的小说《震荡波骑士

(ShakewaveRider)》，描述了一个叫做“磁带蠕虫”、在网络上删除数

据的程序。

病毒程序

1960年代初，美国麻省理工学院的一些青年研究人员，在做完工

作后，利用业务时间玩一种他们自己创造的计算机游戏。做法是某个

人编制一段小程序，然后输入到计算机中运行，并销毁对方的游戏程

序。而这也可能就是计算机病毒的雏形。

特征

繁殖性

计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，

它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序

为计算机病毒的首要条件。

破坏性

计算机中毒后，可能会导致正常的程序无法运行，把计算机内的

文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境

破坏。

传染性

计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复

制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也

可以是系统中的某一个部件。

潜伏性

计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能

力，侵入后的病毒潜伏到条件成熟才发作， 会使电脑变慢。

隐蔽性

计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，

隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。

可触发性

编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，

例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条

件满足，计算机病毒就会“发作”，使系统遭到破坏。

原理

病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由

工作的环境来定。病毒激活是将病毒放在内存， 并设置触发条件，

触发的条件是多样化的， 可以是时钟，系统的日期，用户标识符，

也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象

中，进行各种破坏活动等。

病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复

制一个自身副本到传染对象中去。

感染策略

为了能够复制其自身，病毒必须能够运行代码并能够对内存运行

写操作。基于这个原因，许多病毒都是将自己附着在合法的可执行文

件上。如果用户企图运行该可执行文件，那么病毒就有机会运行。病

毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即

查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应用程

序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型

病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并

伺机感染其它目标。[22]

非常驻型病毒

非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索

模块负责查找可被感染的文件，一旦搜索到该文件，搜索模块就会启

动复制模块进行感染。[23]

常驻型病毒

常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制

模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行

时会将复制模块加载内存，并确保当操作系统运行特定动作时，该复

制模块会被调用。例如，复制模块会在操作系统运行其它文件时被调

用。在这个例子中，所有可以被运行的文件均会被感染。常驻型病毒

有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽

可能多的文件。例如，一个快速感染者可以感染所有被访问到的文件。

这会对杀毒软件造成特别的问题。当运行全系统防护时，杀毒软件需

要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有

快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描文件的

同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得

快速感染者容易被侦测到，这是因为其行为会使得系统性能降低，进

而增加被杀毒软件侦测到的风险。相反的，慢速感染者被设计成偶而

才对目标进行感染，如此一来就可避免被侦测到的机会。例如，有些

慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者

此种试图避免被侦测到的作法似乎并不成功。[24]

分类

破坏性

良性病毒、恶性病毒、极恶性病毒、灾难性病毒。

传染方式

引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓

延到硬盘，并能感染到硬盘中的"主引导记录"。

文件型病毒是文件感染者，也称为“寄生病毒”。它运行在计算机

存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。

混合型病毒具有引导区型病毒和文件型病毒两者的特点。

宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上

的宏代码。宏病毒影响对文档的各种操作。

连接方式

源码型病毒攻击高级语言编写的源程序，在源程序编译之前插入

其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少

见，亦难以编写。

入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此

这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，

清除起来也较困难。

操作系统型病毒可用其自身部分加入或替代操作系统的部分功

能。因其直接感染操作系统，这类病毒的危害性也较大。

外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正

常程序加了个外壳。大部份的文件型病毒都属于这一类。[25]

计算机病毒种类繁多而且复杂，按照不同的方式以及计算机病毒

的特点及特性，可以有多种不同的分类方法。同时，根据不同的分类

方法，同一种计算机病毒也可以属于不同的计算机病毒种类。

按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面

的属性进行分类。

根据病毒存在的媒体划分：

网络病毒——通过计算机网络传播感染网络中的可执行文件。

文件病毒——感染计算机中的文件(如：COM，EXE，DOC等)。

引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区

(MBR)。

还有这三种情况的混合型，例如：多型病毒(文件和引导型)感染

文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们

使用非常规的办法侵入系统，同时使用了加密和变形算法。

根据病毒传染渠道划分：

驻留型病毒——这种病毒感染计算机后，把自身的内存驻留部分

放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中

去，它处于激活状态，一直到关机或重新启动

非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内

存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，

这类病毒也被划分为非驻留型病毒。

根据破坏能力划分：

无害型——除了传染时减少磁盘的可用空间外，对系统没有其它

影响。

无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及

同类影响。

危险型——这类病毒在计算机系统操作中造成严重的错误。

非常危险型——这类病毒删除程序、破坏数据、清除系统内存区

和操作系统中重要的信息。

根据算法划分：

伴随型病毒——这类病毒并不改变文件本身，它们根据算法产生

EXE文件的伴随体，具有同样的名字和不同的扩展名(COM)，例如：

的伴随体是XCOPY-COM。病毒把自身写入COM文

件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，

再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒——通过计算机网络传播，不改变文件和资料信息，

利用网络从一台机器的内存传播到其它机器的内存，计算机将自身的

病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它

资源。

寄生型病毒——除了伴随和“蠕虫”型，其它病毒均可称为寄生型

病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传

播，按其算法不同还可细分为以下几类。

练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一

些病毒在调试阶段。

诡秘型病毒，它们一般不直接修改DOS中断和扇区数据，而是

通过设备技术和文件缓冲区等对DOS内部进行修改，不易看到资源，

使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒(又称幽灵病毒)，这一类病毒使用一个复杂的算法，使

自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混

有无关指令的解码算法和被变化过的病毒体组成。

木马是什么?

木马(Trojan),也称木马病毒，是指通过特定的程序(木马程序)来控

制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一

个是被控制端。木马这个名字来源于古希腊传说(荷马史诗中木马计

的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木

马，也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件，

与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文

件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被

种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远

程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

详细含义

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但

由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;“木马”则

完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐

蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序(木马程序)来控制另一台计算机。木

马通常有

两个可执行程序：一个是客户端，即控制端;另一个是服务端，即

被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是

利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”

以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用

这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了! 木

马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的

服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作

权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改

注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤

其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很

难在中毒后发觉。

原理

一个完整的特洛伊木马套装程序含了两部分：服务端(服务器部分)

和客户端(控制器部分)。植入对方电脑的是服务端，而黑客正是利用

客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会

产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地

点发送数据(如网络游戏的密码，即时通信软件密码和用户上网密码

等)，黑客甚至可以利用这些打开的端口进入电脑系统。

特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者

安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划

(或者至少无害)对一不怀疑的用户来说，但是实际上有害当它被运

行。特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，

用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，

信息或文档才会被破坏和遗失。特洛伊木马和后门不一样，后门指隐

藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系

统而设置的。

特洛伊木马有两种，universal的和transitive的，universal就是

可以控制的，而transitive是不能控制，刻死的操作。

特征

特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量

十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以

发觉的，运行时很难阻止它的行动，运行后，立刻自动登录在系统引

导区，之后每次在Windows加载时自动运行，或立刻自动变更文件

名，甚至隐形，或马上自动复制到其他文件夹中，运行连用户本身都

无法运行的动作。

发展

木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，

或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已

经经历了六代的改进：

第一代，是最原始的木马程序。主要是简单的密码窃取，通过电

子邮件发送信息等，具备了木马最基本的功能。

第二代，在技术上有了很大的进步，冰河是中国木马的典型代表

之一。

第三代，主要改进在数据传递技术方面，出现了ICMP等类型的

木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度。

第四代， 在进程隐藏方面有了很大改动，采用了内核插入式的嵌

入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，

实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好

的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

第五代，驱动级木马。驱动级木马多数都使用了大量的Rootkit

技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀

毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒

防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。

第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏

虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗

取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。

PassCopy和暗黑蜘蛛侠是这类木马的代表。

种类

网游木马

随着网络在线游戏的普及和升温，中国拥有规模庞大的网游玩家。

网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模

糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛

滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API

函数等方法获取

用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远

程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流

行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往

往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木

马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

网银木马

网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用

户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游

木马，但它的危害更加直接，受害用户的损失更加惨重。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交

易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。2013

年，安全软件电脑管家截获网银木马最新变种“弼马温”，弼马温病毒

能够毫无痕迹的修改支付界面，使用户根本无法察觉。通过不良网站

提供假QVOD下载地址进行广泛传播，当用户下载这一挂马播放器

文件安装后就会中木马，该病毒运行后即开始监视用户网络交易，屏

蔽余额支付和快捷支付，强制用户使用网银，并借机篡改订单，盗取

财产。

随着中国网上交易的普及，受到外来网银木马威胁的用户也在不

断增加。

下载类

这种木马程序的体积一般很小，其功能是从网络上下载其他病毒

程序或安装广告软件。由于体积很小，下载类木马更容易传播，传播

速度也更快。通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、

“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户中毒后会

把后门主程序下载到本机运行。

代理类

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理

服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行

黑客活动，达到隐藏自己的目的。

FTP木马

FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端

口)，使每一个人都可以用一个FTP客户端程序来不用密码连接到受

控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的

机密文件。新FTP木马还加上了密码功能，这样，只有攻击者本人

才知道正确的密码，从而进入对方计算机。

通讯软件类

国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈

圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3

种：

a、发送消息型

通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收

到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消

息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文

本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生

2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网

址，其主要功能是盗取传奇游戏的帐号和密码。

b、盗号型

主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游

木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，

在各种通讯软件内向好友发送不良信息、广告推销等语句，或将帐号

卖掉赚取利润。

c、传播自身型

2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之

后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，

“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行

传播，感染用户数量极大，在江民公司统计的2005年上半年十大病

毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ

蠕虫是以前发送消息类QQ木马的进化，采用的基本技术都是搜寻到

聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。

只不过发送文件的操作比发送消息复杂很多。

网页点击类

网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可

以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额

的广告推广费用。此类病毒的技术简单，一般只是向服务器发送

HTTP GET请求。

查杀

首先找到感染文件，其手动方法是结束相关进程然后删除文件。

但是目前互联网上出现了各种杀毒软件及专杀，我们可以借助这些安

全工具进行查杀。

木马和病毒都是一种人为的程序，都属于电脑病毒，为什么木马

要单独提出来说呢?大家都知道以前的电脑病毒的作用，其实完全就

是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是

有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，

或为了炫耀自己的技术. "木马"不一样，木马的作用是赤

裸裸的偷监视别人和盗窃别人密码，数据等，如盗窃管理员密码-子

网密码搞破坏，或者好玩，偷窃上网密码用于别处，游戏帐号，股票

帐号，甚至网上银行帐户等等.达到偷窥别人隐私和得到经济利益为

目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使

用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷

窃和监视别人电脑的侵入性程序，这就是网上大量木马泛滥成灾的原

因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，

所以木马虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离

出来.独立的称之为"木马"程序。

一般来说一种杀毒软件程序，它的木马专杀程序能够查杀某某木

马的话，那么它自己的普通杀毒程序也当然能够杀掉这种木马，因为

在木马泛滥的今天，为木马单独设计一个专门的木马查杀工具，那是

能提高该杀毒软件的产品档次的，对其声誉也大大的有益，实际上一

般的普通杀毒软件里都包含了对木马的查杀功能.如果大家说某某杀

毒软件没有木马专杀的程序，那这家杀毒软件厂商自己也好像有点过

意不去，即使它的普通杀毒软件里当然的有杀除木马的功能。并且，

在互联网上公开的病毒，一般杀毒厂商都会更新病毒库，便以查杀。

还有一点就是，把查杀木马程序单独剥离出来，可以提高查杀效

率,很多杀毒软件里的木马专杀程序只对木马进行查杀，不去检查普

通病毒库里的病毒代码，也就是说当用户运行木马专杀程序的时候，

程序只调用木马代码库里的数据，而不调用病毒代码库里的数据，大

大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的，因

为有太多太多的病毒.每个文件要经过几万条木马代码的检验，然后

再加上已知的差不多有近10万个病毒代码的检验，那速度岂不是很

慢了.省去普通病毒代码检验，是不是就提高了效率，提高了速度呢?

也就是说好多杀毒软件自带的木马专杀程序只查杀木马而一般不去

查杀病毒，但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!

如何查出：

在使用常见的木马查杀软件及杀软件的同时，系统自带的一些基

本命令也可以发现木马病毒：

一、检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，

但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以

使用Windows自带的网络命令来看看谁在连接你的计算机。

具体的命令格式是：netstat -an这个命令能看到所有和本地计算

机建立连接的IP，它包含四个部分——proto(连接方式)、local

address(本地连接地址)、foreign address(和本地建立连接的地址)、

state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监

控计算机上的连接，从而达到控制计算机的目的。

二、禁用不明服务

很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管

怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通

过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务

等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”

来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服

务，我们就可以有针对性地禁用这个服务了。

方法就是直接输入“net start”来查看服务，再用“net stop server”

来禁止服务。

三、轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控

制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但

这个账户是不经常用的，然后使用工具把这个账户提升到管理员权

限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却

是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控

制你的计算机。

为了避免这种情况，可以用很简单的方法对账户进行检测。

首先在命令行下输入net user，查看计算机上有些什么用户，然

后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除

了Administrator是administrators组的，其他都不是!如果你发现一

个系统内置的用户是属于administrators组的，那几乎肯定你被入侵

了，而且别人在你的计算机上克隆了账户。快使用“net user用户名

/del”来删掉这个用户吧!

联网状态下的客户端。对于没有联网的客户端，当其联网之后也

会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省

去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的

保护环境之下。

四、对比系统服务项

1、点击“开始，运行”输入“"回车，打开”系统

配置实用程序，然后 在“服务”选项卡中勾选“隐藏所有Microsoft服

务”，这时列表中显示的服务项都是非系统程序。

2、再点击“开始，运行”，输入"回车，打开“系

统服务管理”，对比两张表，在该“服务列表”中可以逐一找出刚才显示

的非系统服务项。

3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常

规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，

一般正常安装的程序，比如杀毒，MSN，防火墙，等，都会建立自

己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在

系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新

启动计算机即可。

4、要点：有一个表的左侧：有被选中的服务程序说明，如果没用，

它就是木马。

危害

1、盗取我们的网游账号，威胁我们的虚拟财产的安全

木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即

将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏

装备和游戏币而获利。

2、盗取我们的网银信息，威胁我们的真实财产的安全

木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给

黑客，直接导致我们的经济损失。

3、利用即时通讯软件盗取我们的身份，传播木马病毒等不良信息

中了此类木马病毒后，可能导致我们的经济损失。在中了木马后

电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如

恶作剧等。

4、给我们的电脑打开后门，使我们的电脑可能被黑客控制

如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦

为肉鸡，成为黑客手中的工具。

防御

木马查杀(查杀软件很多，有些病毒软件都能杀木马)

防火墙(分硬件和软件)家里面的就用软件好了，如果是公司或其

他地方就硬件和软件一起用。

基本能防御大部分木马，但是的软件都不是万能的，还要学点专

业知识，有了这些，你的电脑就安全多了。高手也很多，只要你不随

便访问来历不明的网站，使用来历不明的软件(很多盗版或破解软件

都带木马，这个看你自己经验去区分)，还要及时更新系统漏洞，如

果你都做到了，木马，病毒。就不容易进入你的电脑了。

删除

1、禁用系统还原

如果您运行的是 Windows Me 或 Windows XP，建议您暂时关

闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被

破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊

木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫

或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因

此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。

这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清

除了所有其他位置的受感染文件。

此外，病毒扫描可能还会检测到 System Restore 文件夹中的威

胁，即使您已将该威胁删除。

注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设

置。

2、安全模式或VGA 模式

关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者

VGA 模式

Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。

所有 Windows 32-bit 作系统，除了Windows NT，可以被重启到安

全模式。更多信息请参阅文档 如何以安全模式启动计算机。

Windows NT 4 用户：将计算机重启到 VGA 模式。

扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫

描所有文件。运行完整的系统扫描。如果检测到任何文件被

感染，请单击“删除”。如有必要，清除 Internet

Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文

件夹中的压缩文件内检测到的，请执行以下步骤：

启动 Internet Explorer。单击“工具”>;“Internet 选项”。单击“常

规”选项卡“Internet临时文件”部分中，单击“删除文件”，然后在出现

提示后单击“确定”。在“历史”部分，单击“清除历史”，然后在出现提示

后单击“是”。

藏身之地

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性

和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。下面

就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招。

1、集成到程序中

其实木马也是一个服务器――客户端程序，它为了不让用户能轻易

地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木

马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，

这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会

被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每

一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作

系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正

好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马

很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。

不过，这种方式不是很隐蔽，容易被发现，所以在和

中加载木马程序的并不多见，但也不能因此而掉以轻心。

3、潜伏在中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没

有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马

也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因

此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏

在中是木马感觉比较惬意的地方。大家不妨打开来看

看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情

况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c：

windowsfile. Exeload=c：。这时你就要小心了，这

个很可能是木马。

4、伪装在普通文件中

这个方法出现的比较晚，不过很流行，对于不熟练的windows操

作者，很容易上当。具体方法是把可执行文件伪装成图片或文本——

在程序中把图标改成Windows的默认图片图标，再把文件名改为

*.，由于Win98默认设置是“不显示已知的文件后缀名”，文件

将会显示为*.jpg，不注意的人一点这个图标就中木马了(如果你在程

序中嵌一张图片就更完美了)。

5、内置到注册表中

上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自

动运行，真是快哉!然而好景不长，人类很快就把它的马脚揪了出来，

并对它进行了严厉的惩罚!但是它还心有不甘，总结了失败教训后，

认为上面的藏身之处很容易找，注册表!的确注册表由于比较复杂，

木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁

大眼睛仔细看了，别放过木马：

HKEY_LOCAL_MACHINESoftwareMicrosof

WindowsCurrentVersion 下所有以“run”开头的键值;

HKEY_CURRENT_USERSoftwareMicrosof

WindowsCurrentVersion 下所有以“run”开头的键值;

tSoftwareMicrosoftWindowsCurrentVersion

下所有以“run”开头的键值。

6、在驱动程序中藏身

木马真是无处不在呀!什么地方有空子，它就往哪里钻!这不，

Windows安装目录下的也是木马喜欢隐蔽的地方。还是

小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的

[boot]字段中，是不是有这样的内容，那就是shell=

，如果确实有这样的内容，那你就不幸了，因为这里的

就是木马服务端程序!另外，在中的[386Enh]字段，要注

意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利

用。再有，在中的[mic]、[drivers]、[drivers32]这三个字

段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好

场所，你该知道也要注意这里。

7、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系

统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶

跑(哎，这木马脸皮也真是太厚)，因此按照这个逻辑，启动组也是木

马可以藏身的好地方，因为这里的确是自动加载运行的好场所。假设

启动组对应的文件夹为：

C:windowsstartmenuprogramsstartup

在注册表中的位置：

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersio

ExplorerShellFoldersStartup=

windowsstartmenuprogramsstartup”

要注意经常检查启动组。

8、在中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都

喜欢待。这不，也是一个能自动被Windows加载运行的

文件，它多数情况下为应用程序及Windows自动生成，在执行了

Win. com并加载了多数驱动程序之后开始执行(这一点可通过启动时

按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于

的功能可以由代替完成，因此木马完全可

以像在中那样被加载运行，危险由此而来。

“C：

9、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的

特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这

同名文件，这样就可以达到启动木马的目的了。

10、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的

结果不言而喻：开门揖盗!奉劝不要随便点击网页上的链接，除非你

了解它，信任它。

危害网站

恶意程序破坏网站

页面中的木马主要指的就是利用网站建设的安全漏洞来窃取网站

机密的工具。其通过执行嵌入在网页HTML超文本标记语言内的

Java Applet小应用程序，JavaScript脚本语言程序，ActiveX软件部

件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系

统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户

文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。

这种非法恶意程序能够得以被自动执行，在于它完全不受用户的控

制。一旦浏览含有该病毒的网页，即可以在你不知不觉的情况下马上

中招，给用户的系统带来一般性的、轻度性的、严重恶性等不同程度

的破坏。

下载存在漏洞

网站建设中一旦被发现有木马的痕迹，主要原因就是在其它站点

下载所致，目前国内的大多数中小网站都是从网络上下载的免费系统

建成的，这些系统在设计的时候存在或多或少的安全漏洞，如动网和

动易以前都存在过上传漏洞，导致骇客可以上传木马至网站，轻易获

得管理权限。同时Win2003本身也存在设计缺陷，如前段时间出现

的新漏洞：“IIS6 目录检查漏洞”。

伪装方式

鉴于木马病毒的危害性，很多人对木马知识还是有一定了解的，

这对木马的传播起了一定的抑制作用，这 是木马设计者所不愿见到

的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺

骗用户的目的。

修改图标

当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文

本文件呢?但是我不得不告 诉你,这也有可能是个木马程序， 已经有

木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件

的图标，这有相当大的迷 惑性，但是提供这种功能的木马还不多见，

并且这种 伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑

鬼的。

捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行

时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑

的文件一般是可执行文件(即EXE,COM一类的文件)。

出错显示

有一定木马知识的人都知道，如果打开一个文件，没有任何反应，

这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以

已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马

程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由 定

义，大多会定制成 一些诸如“文件已破坏，无法打开的!”之类的信息，

当服务端用户信以 为真时，木马却悄悄侵入了系统。

定制端口

很多老式的木马端口都是固定的，这给判断是否感染了木马带来

了方便，只要查一下特定的 端口就 知道感染了什么木马，所以很多

新式的木马都加入了定制端口的功能，控制端用户可 以在

1024---65535之间任选一个端口作为木马端口(一般不选1024以下

的端口)，这样就给判断 所感染木马类型带 来了麻烦。

自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打

开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件

夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说 原

木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的

木马除外)，那么中了木马 的朋友只要在收到的信件和下载的软件中

找到原木马文件，然后根据原木马的大小去系统 文件夹找相同大小

的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安

装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木

马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根

据一些查杀木马的文章，按 图索骥在系统文件夹查找特定的文件，

就可以断定中了什么木马。所以有很多木马都允许控 制端用户自由

定制安装后的木马文件名，这样很难判断所感染的木马类型了。

[病毒和木马的区别]

本文标签： 木马病毒文件用户程序