木马程序的基本特征有哪些?_心理学上木马程序

怎样才能学会心理学?

警告：心理学不是这样的，不要企图控制别人! 催眠术要经过很长时间的专业学习. 一般我们说的心理学是用来治疗人心理的伤痛的. 哲学是位于神学， 科学和心理学之间的一门学科. 其实每种学科都是互相关联着的. 心理学属于社会科学， 所以你学一辈子也是不可以说学"会"的. 会， 可以， 的意思就是我可以用我的心理学技术去帮助别人. 警惕npl学习， 那些很可能是邪教企图操纵你的， 就像你学计算机， 你想用木马程序， 就很可能自己被人把计算机给控制住. 任何高级的知识都有学习这样知识的特定代价. 催眠术不是说学就可以学的. 你给一个精神病患者施术那就是杀人行为. 你甚至不了解自己， 那么你很可能被你学的那些所谓技术伤害的. 人不可以贪婪.

怎么样制作木马？

网络时代可不太平，谁没有遭遇过病毒或木马？从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是网友经常懈逅的对象。怎么避免这些“艳遇”是广大用户孜孜以求的目标，不过，“道高一尺，魔高一丈”，“防”永远是落后的，主动消灭它们才是积极主动的。

要消灭它们，首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及木马的入侵招数的文章很多，但都不太全面，编者偶然间发现了一篇作者不详，但内容颇为全面的文章，特意整理出来，希望对大家有所帮助。

一、修改批处理

很古老的方法，但仍有人使用。一般通过修改下列三个文件来作案：

Autoexec.bat(自动批处理，在引导系统时执行)

Winstart.bat(在启动GUI图形界面环境时执行)

Dosstart.bat(在进入MS-DOS方式时执行)

例如：编辑C:\\windows\\Dosstart.bat，加入：start Notepad，当你进入“MS-DOS方式”时，就可以看到记事本被启动了。

二、修改系统配置

常使用的方法，通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的，涉及范围有：

在Win.ini文件中：

[windows]

load=程序名

run=程序名

在System.ini文件中：

[boot]

shell=Explorer.exe

其中修改System.ini中Shell值的情况要多一些，病毒木马通过修改这里使自己成为Shell，然后加载Explorer.exe，从而达到控制用户电脑的目的。

三、借助自动运行功能

这是黑客最新研发成果，之前该方法不过被发烧的朋友用来修改硬盘的图标而已，如今它被赋予了新的意义，黑客甚至声称这是Windows的新BUG。

Windows的自动运行功能确实很烂，早年许多朋友因为自动运行的光盘中带有CIH病毒而中招，现在不少软件可以方便地禁止光盘的自动运行，但硬盘呢？其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容：

[autorun]

open=Notepad.exe

保存后进入“我的电脑”，按F5键刷新一下，然后双击D盘盘符，怎么样？记事本打开了，而D盘却没有打开。

当然，以上只是一个简单的实例，黑客做得要精密很多，他们会把程序改名为“.exe”(不是空格，而是中文的全角空格，这样在Autorun.inf中只会看到“open=”而被忽略，此种行径在修改系统配置时也常使用，如“run=”；为了更好地隐藏自己，其程序运行后，还会替你打开硬盘，让你难以查觉。

由此可以推想，如果你打开了D盘的共享，黑客就可以将木马和一个Autorun.inf存入该分区，当Windows自动刷新时，你也就“中奖”了，因此，大家千万不要共享任何根目录，当然更不能共享系统分区（一般为C:）。

四、通过注册表中的Run来启动

很老套的方法，但80%的黑客仍在使用，通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值，可以比较容易地实现程序的加载，黑客尤其方便在带”Once”的主键中作手脚，因此带“Once”的主键中的键值，在程序运行后将被删除，因此当用户使用注册表修改程序查看时，不会发现异样。另外，还有这样的程序：在启动时删除Run中的键值，而在退出时（或关闭系统时）又添加键值，达到隐蔽自己的目的。(这种方法的缺点是：害怕恶意关机或停电，呵呵！)

五、通过文件关联启动

很受黑客喜爱的方式，通过EXE文件的关联(主键为：exefile)，让系统在执行任何程序之前都运行木马，真的好毒！通常修改的还有txtfile(文本文件的关联，谁不用用记事本呢？)、regfile(注册表文件关联，一般用来防止用户恢复注册表，例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表，用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序，阻碍用户修复。

六、通过API HOOK启动

这种方法较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能（特别提示：木马可不一定是EXE，还可以是DLL、VXD），这样既方便又隐蔽（不上网时根本不运行）。中此绝毒的虫子，只有两种选择：Ghost或重装系统，幸好此毒廖廖无几，实属万虫之幸！

API的英文全称为：Application Programming Interface，也就是应用程序编程接口。在Windows程序设计领域发展初期，Windows程序员所能使用的编程工具唯有API函数，这些函数是Windows提供给应用程序与操作系统的接口，他们犹如“积木块”一样，可以搭建出各种界面丰富，功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石，在它的下面是Windows的操作系统核心，而它的上面则是所有华丽的Windows应用程序。

七、通过VXD启动

此法也是高手专用版，通过把木马写成VXD形式加载，直接控制系统底层，极为罕见。它们一般在注册表[HKEY_ LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VxD]主键中启动，很难发觉，解决方法最好也是用Ghost恢复或重新干净安装。

八、通过浏览网页启动

通过此种途径有两种方法：

利用MIME漏洞：这是2001年黑客中最流行的手法，因为它简单有效，加上宽带网的流行，令用户防不胜防，想一想，仅仅是鼠标变一下“沙漏”，木马就安装妥当，Internet真是太“方便”了！不过今年有所减少，一方面许多人都改用IE6.0；另一方面，大部分个人主页空间都不允许上传.eml文件了。

MIME被称为多用途Internet邮件扩展（Multipurpose Internet Mail Extensions），是一种技术规范，原用于电子邮件，现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的，在它出现前，邮件内容如果包含声音和动画，就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准，而接收方必须经过解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法，这与原来的邮件是大大不同的。而现在MIME已经成为了HTTP协议标准的一个部分。

九、利用Java applet

划时代的Java更高效、更方便——不过是悄悄地修改你的注册表，让你千百次地访问黄(黑)色网站，让你关不了机，让你……，还可以让你中木马。这种方法其实很简单，先利用HTML把木马下载到你的缓存中，然后修改注册表，指向其程序。

十、利用系统自动运行的程序

这一条主要利用用户的麻痹大意和系统的运行机制进行，命中率很高。在系统运行过程中，有许多程序是自动运行的，比如：磁盘空间满时，系统自动运行“磁盘清理”程序(cleanmgr.exe)；启动资源管理器失败时，双击桌面将自动运行“任务管理器”程序(Taskman.exe)；格式化磁盘完成后，系统将提示使用“磁盘扫描”程序(scandskw.exe)；点击帮助或按F1时，系统将运行Winhelp.exe或Hh.exe打开帮助文件；启动时，系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。

这为恶意程序提供了机会，通过覆盖这些文件，不必修改任何设置系统就会自动执行它们！而用户在检查注册表和系统配置时不会引起任何怀疑，例如“注册表检查” 程序的作用是启动时检查和备份注册表，正常情况不会有任何提示，那么它被覆盖后真可谓是“神不知、鬼不觉”。当然，这也许会被“系统文件检查器”检查（但勤快的人不多）出来。

黑客还有一高招“偷天换日”！不覆盖程序也可达到这个目的，方法是：利用System目录比Windows目录优先的特点，以相同的文件名，将程序放到System目录中。你可以试试，将Notepad.exe(记事本)复制到System目录中，并改名为Regedit.exe(注册表编辑器)，然后从“开始”→“运行”中，输入“Regedit”回车，你会发现运行的竟然是那个假冒的Notepad.exe！同样，如果黑客将程序放到System中，然后在运行时调用真正的Regedit，谁知道呢？(这种方法由于大部分目标程序不是经常被系统调用，因此常被黑客用来作为被删除后的恢复方法，如果某个东东被删除了又出现，不妨检查检查这些文件。)

十一、还有什么“高招”

黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“.exe”就是一例，另外常见的有在修改文件关联时，使用“ ”（ASCII值255，输入时先按下Alt键，然后在小键盘上输入255）作为文件名，当这个字符出现在注册表中时，人们往往很难发现它的存在。此外还有利用字符相似性的，如：“Systray.exe”和“5ystray”(5与大写S相似)；长度相似性的，如：“Explorer.exe”和“Explore.exe”(后者比前者少一个字母，心理学实验证明，人的第一感觉只识别前四个字母，并对长度不敏感)；运行假象则是指运行某些木马时，程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程序，地球人都知道不是什么好东西；但对于一个提示“内存不足的程序，恐怕还在埋怨自己的内存太少哩！

人类木马程序（六）

在了解了常见的一些木马模组之后，就要检视自我看看木马程序的藏身之处。这个过程其实非常不容易，因为本能会去回避承认那些听起来并不让人愉悦的真相。在很多心理书籍里都会建议人通过列清单，把自己的问题写下来。但是大部分人觉得这样的做法并没有效果，人们会更倾向于写出问题，至于分析原因就需要非常真诚的深度思考。木马程序之所以不容易被人察觉，是因为它带着多年的习惯，有些感受已经长期与身心共处，变成了思想的一部分，这些停留在潜意识中可能并不希望被清除。

有一些方法可以帮助人们找出这些木马。比如去观察自己的家人，发现家族存在的木马模组，可能自己也会有同样的频率。看看自己微信的个性签名，喜欢分享的内容，平时经常买哪一种类型的书，关注新闻事件中的哪些关键词，自己的口头禅，跟人交流时喜欢用的字眼，对于哪些数字比较敏感，经常讲什么故事，平时会害怕什么，最在意哪些人的感受，哪些是让自己害怕或讨厌的事和人，自己希望拥有怎样的超能力……通过对这些信息的抽丝剥茧，我们可能就比较容易读到自己的底层逻辑，从而发现那些牵绊行为的木马程序。

再找到了这些情绪的隐形地雷之后，就要逐一将它们修正恢复到原厂设置。改变的过程并不像想象中那么复杂。最简单的做法是记下自己的言行后，将自己当做一个旁观者，去重复扫描自己表达的内容，找到那些关键词将它们划出来。就像我们在杀毒软件里见到的那样，不错过每一个节点。直到那些被圈出的部分清晰的呈现在我们的面前，然后将它们变成我们想要的方式。

在调整频率的过程中首先让自己养成很好的习惯，比如每天晒太阳运动，做瑜伽，静坐冥想，可以从一些比较容易的方式入手。先将身体频率调到一个比较柔软开放的状态，内在就更容易接受即将被改变的过程。消灭敌人的最好方法，就是把他变成朋友，所以接受问题才是解决问题的关键。如果有一个比较强的木马程序，感觉无力改变时，就先去处理那些弱的部分，慢慢坚持之后就会发现原来看似顽固的木马，也因为其他环境的洁净而变得无法生存。当做完深度清洁解除木马之后，会发现人变得非常敏感，并且拥有很大的力量。

《人类木马程序》有一点像心理学的书，又有一些像游戏书，清除木马很像自己跟自己玩的一个游戏，一路上会碰到很多关卡，但是只要多多重复，多多练习，总能过得去。然而不知道下一站又会是什么，每一次通关以后感觉膨胀的自我又会从强大变得无力，但是无法退缩……这是本应该经常读一读的书，它可以让身心更容易地进入扫描状态，更好地清理自己，轻松前行。

盗号者一般是不是发有木马程序的文件或软件来达到目的

说起盗号木马，不能不谈QQ盗号。对大多数网民来说,QQ盗号也许是他们接触的最早的盗号现象了.早期的盗取Q号的方法主要有两种.

一是本地机器种木马.这是极为普遍的一种方法，而且很简单，只要您能有一个QQ木马就行，这种软件可以说遍地都是，数量很多，随便到哪个小黑客网站都能找到，其工作原理也很简单，首先它具备记录功能，敲入的密码可以自动记录下来，当木马被“种”到您的电脑里之后，它会更改注册表，随系统启动而自动运行，并会自动侦测QQ的进程，一旦运行QQ它就开始记录键盘输入，有的木马会先弹出个伪装窗口和QQ登陆窗口一样，等您把号码、密码都输入后点确定，它会提示密码不正确，关闭后再弹出真正的登陆框，无论是以上哪种方法，此时您的QQ号+密码已经被发至盗号者的邮箱了。这种方式一般需要盗号者有机会接触盗取对象的电脑,对于网络游戏来说，一般情况下是不现实的，也没有太多的实用价值.

二是远程机器种木马.原理是和第一种方式一样的,唯一的不同就是盗号者不需要接触盗取对象的电脑,通过传输文件的方式种植木马.

以上就是通过邮件来进行发送的例子。不需要处理什么邮件的用户可以通过你的网关或防火墙强制禁止执行简单邮件传输协议(SMTP等)可以完全阻止你的电脑发送电子邮件。这样，即使对方的木马确实已经生效，也无法获得装有你账号信息的信封。

关于其它方式，病毒发送信息也会通过各个网络端口去发送，但是因为本人对这个了解不多，所以只能简单说一下。很多局域网的网管一般都会对端口进行限制，例如开启80端口；或者用一些防火墙屏蔽一些端口，防止病毒发送信息。

当然光防止病毒发送信息是不行的，还是需要进行杀毒去解决。病毒传播主要途径有：浏览网页、下载、局域网、U盘传播等等。养成一个良好的上网习惯，杀毒软件每天升级并且定期杀毒，局域网注意防护ARP病毒和蠕虫病毒。用U盘拷贝东西的时候注意关闭自动更新，不要双击打开盘符，最好插入U盘的时候先对U盘进行杀毒，江民的KV2008不光有U盘盾技术，还在软件设置了保护密码功能，里面就有移动存储设备控制这项，设置了密码之后插入U盘的时候就会提示输入密码，可以防止乱插U盘和病毒的传播。

只有从根本上做到杀毒防毒，这样才尽可能做到“天下无毒”

希望能帮助你，记得帮我加分哦！