木马攻防

ID：Computer-network

木马，也称特洛伊木马，它原意是指“木马屠城记”中那只木马的名称，现今计算机术语借用其名，意思是“一经进入，后患无穷”，木马的危害在于它不仅具有破坏性，而且它还能悄无声息地盗取目标计算机上的账户密码等隐私信息。

一、认识木马

木马一词原指“特洛伊木马”，在著名的特洛伊木马战争中，古希腊人依靠藏匿于木马腹中的内应攻陷了特洛伊城。在Internet中，这个计策被黑客们使用，计算机木马的设计套用了相同的思路，将木马程序藏于正常的程序中，当其他用户运行了该程序，木马程序就会悄悄潜入系统，为黑客打开进入这台计算机的后门。

1、木马由哪几部分组成？

一个完整的木马由硬件、软件和具体连接三部分组成。

用户的计算机一旦遭受木马入侵，黑客就可以通过木马来控制该计算机，可以实现的操作包括修改文件、修改注册表、控制鼠标和键盘等。一个完整的木马系统由三部分组成，如下图所示。

硬件部分：

硬件部分是指建立木马连接所必需的硬件实体。它包括控制端、服务端和Internet三部分。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

Internet：控制端对服务端进行远程控制，是数据传输的网络载体。

软件部分

软件部分是指实现远程控制所必需的软件程序，它包括控制端程序、木马程序和木马配置程序三部分。

控制端程序：控制端用于远程控制服务器的程序。

木马程序：潜伏服务端内部，获得其操作权限的程序。

木马配置程序：设置木马程序的端口号、触发条件、木马名称等，使其在服务端潜藏得更加隐蔽。

具体连接部分

具体连接部分是指通过Internet在服务端和控制端之间建立一条木马通道所必需的元素，它包括控制端/服务端IP和控制端/木马端口两部分。

控制端/服务端IP：控制端、服务端的网络地址，也是木马进行数据传输的目的地。

控制端/木马端口：控制端、服务端的数据入口，通过这个入口，数据可以直达控制端程序或木马程序。

2、常见的木马包括哪几类？

常见木马有远程控制木马、密码发送木马、键盘记录木马、破坏性质的木马、Dos攻击木马、代理木马、FTP木马、程序杀手木马和反弹端口型木马9类。

从木马诞生到现在，Internet中的出现的木马已经数不胜数了，随着科学技术的发展，现在的木马不再具有单一的功能，而且多功能的集合体。根据目前已经知晓的木马，可以将常见的木马分为以下9类。

远程控制木马

远程控制木马是数量最多，危害最大，知名度最高的一种木马，它可以让攻击者完全控制被入侵的计算机，攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作，其危害之大实在不容小觑。由于要达到远程控制的目的，所以，该种类的木马往往集成了其他种类木马的功能。使其在目标计算机上为所欲为，可以任意访问文件、获取目标计算机用户的私人信息，包括信用卡、银行账号等至关重要的信息。

大名鼎鼎的“冰河”木马就是一个远程控制木马。这类木马用起来是非常简单的。只需其他用户运行服务端并且攻击者获取目标计算机的IP地址，就能控制目标计算机。攻击者可以在目标计算机上执行任何操作。远程控制木马的普遍特征是：键盘记录、上传和下载功能、注册表操作、限制系统功能等。远程控制木马会在目标计算机上打开端口以保持连接。

密码发送木马

在网络安全日益重要的今天，密码无疑是通向重要信息的一把极其有用的钥匙。只要掌握了对方的密码，从很大程度上说，就可以无所顾忌地得到对方的很多信息。而密码发送木马正是为了专门盗取被感染计算机上的密码而编写的，木马一旦被执行，就会自动搜索内存、Cache、临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱，从而达到获取密码的目的，所以这类木马大多使用25号端口发送E-mail。这类木马大多数不会在每次Windows重启时重启。这类木马的目的是找到所有的隐藏密码并且在目标计算机用户不知情时把它们发送到指定的信箱。

由于需要获得的密码多种多样，存放形式也大不相同，所以，很多时候黑客会自动编写程序，从而得到符合自己要求的木马。

键盘记录木马

这种木马非常简单，它们只做一件事——记录目标计算机的键盘敲击并且在LOG文件里查找密码。这种木马随着Windows系统的启动而启动。它们有在线和离线记录的选项，顾名思义，它们分别记录用户在线和离线状态下敲击键盘时的按键情况。也就是说你按过哪些键，远程控制该木马的攻击者都会知道，从这些按键中攻击者很容易就会得到用户的密码等有用信息，甚至是信用卡账号。当然，对于这种类型的木马，邮件发送功能也是必不可少的。

破坏性质的木马

这种木马唯一的功能就是破坏被感染计算机的文件系统，使其遭受系统崩溃或者重要数据丢失的巨大损失。从这一点来说，它和病毒很相像。不过，一般来说，这种木马的激活是由攻击者控制的，并且传播能力也比病毒逊色很多。

Dos攻击木马

随着DoS攻击的广泛应用，被用做DoS攻击的木马也越来越流行。当攻击者入侵了一台计算机，并植入DoS攻击木马后，那么这台计算机就将成为DoS攻击的最得力助手。黑客控制的计算机数量越多，发动DoS攻击取得成功的几率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击更多的计算机，进而给网络造成很大的伤害和损失。

还有一种类似DoS的木马叫做邮件炸弹木马，一旦计算机被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方计算机瘫痪、不能接收邮件为止。

代理木马

攻击者在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的。代理木马是攻击者发动攻击的跳板，通过代理木马，攻击者可以在匿名的情况下使用QQ、IRC等程序，从而隐蔽自己的踪迹。

FTP木马

这种木马可能是最简单和古老的木马了，它的唯一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

程序杀手木马

上面的木马功能虽然形形色色，不过到了对方计算机上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有360安全卫士、Norton Anti-Virus等。程序杀手木马的功能就是关闭目标计算机上运行的这类程序，让其他的木马更好地发挥作用。

反弹端口型木马

木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端使用主动端口，客户端使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口；为了隐蔽起见，控制端的被动端口一般开在80端口，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP：1026 ControllerIP：80 ESTABLISHED的情况，稍微疏忽一点，就会以为是自己在浏览网页。

3、木马有哪些特征？

木马有隐蔽性、自动运行性、欺骗性、自动恢复、自动打开端口和功能特殊性六大特征。

不管是远程控制木马，还是键盘记录木马或者其他木马，它们都具有相同的特点和行为机理。这为防范和清除木马提供了充实可靠的依据。根据对木马的产生、传染和破坏行为的分析，常见的木马有以下6点特征。

隐蔽性

木马必须隐藏在目标计算机中并想尽一切办法不让用户发现。一般的局域网通信软件在运行的时候，客户端与服务器端连接成功之后客户端机上会出现很醒目的提示标志。而木马的服务端在运行时会应用各种手段隐藏自己，绝不可能还出现什么提示，例如，修改注册表和ini文件以便计算机在下一次启动后仍能载入该密码程序，木马并不是自己生成一个启动程序，而是依附在其他的程序之中。

木马的隐蔽性主要体现在两个方面：一是不产生图标；二是木马程序会自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

自动运行性

当用户系统启动时，木马也会自动运行，所以木马必须潜入计算机的启动配置文件中，如启动组和系统进程中。

欺骗性

木马程序要达到其隐蔽的目的，就必须借助系统中已有的文件，防止被用户发现。木马一般都是用常见的文件名或扩展名，或者仿制一些不易被人区别的文件名，甚至干脆借用系统文件中已有的文件名，只不过它保存在不同的路径之中。还有的木马程序会将自己设置成一个ZIP文件格式图标，当用户一不小心打开它的时候就会马上运行。

自动恢复

现在很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复的文件。

自动打开端口

木马程序潜入他人计算机中的主要目的不是为了破坏用户的系统，而是为了获取用户系统中有用的信息。在用户上网与远端客户进行通信时，木马程序就会用服务器/客户端的通信手段把信息告诉幕后的攻击者，以便攻击者能控制该计算机或者实现更进一步的入侵企图。

功能特殊性

通常木马的功能都有特殊性，除了普通的文件操作以外，还有一些木马具有搜索Cache中的口令、设置口令、扫描目标计算机的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能，这跟远程控制软件是不同的，毕竟远程控制软件是用来控制远程机器，方便自己的操作和管理，而不是用来攻击对方的机器。

4、木马的入侵方式有哪些？

木马的入侵方式有5种包括：修改Win.ini文件、修改System.ini文件、加载到启动组、修改文件关联和捆绑文件。

虽然Internet中的木马种类繁多，但是它们入侵目标计算机的手段却不多。大致有以下5种常见的入侵方式。

修改Win.ini文件

在系统文件Win.ini中的[windows]段中有加载项"run="和"load="，正常情况下这两项为空。如果发现这两项加载了任何可疑的程序时应特别当心，这时可根据其提供的源文件路径和功能进一步检查。这两项分别是用来在系统启动时自动运行和加载程序的。往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，该文件名一般使用用户常见的command.exe、sys.com等文件来伪装。

修改System.ini文件

在系统信息文件System.ini中也有一个启动加载项，那就是在[BOOT]子项中的shell项。在这里木马最管用的伎俩就是把Explorer变成它自己的程序名，这些改变如果不仔细留意是很难发现的，这就是前面所讲的欺骗性。当然有些木马不是这样做的，而是直接把Explorer改为别的名字，或者在Explorer上加上一个不明显的木马程序。

加载到启动组

木马隐藏在启动组中虽然不是十分隐蔽，但这里都是自动加载运行的好场所，因此还是有木马会驻留在此。启动组对应的文件夹为：C:\Users\＜用户名＞\AppData\Roaming\Microsoft\Windows\[开始]菜单\启动，在注册表中的位置为：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\Users\John\AppData\Roaming\Microsoft\Windows\Start Menu"。

修改文件关联

修改文件关联是木马常用的手段，正常情况下TXT文件的打开方式为Notepad.exe文件。但中了文件关联木马之后，TXT文件的打开方式就会被修改为用木马程序打开，例如著名的“冰河”木马采用的就是这样的方式。一旦用户双击一个TXT文件，就会启动木马程序。不仅仅是TXT文件，其他的诸如HTM、EXE、ZIP、COM等都是木马的目标。要对付这类木马，只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键，查看其键值是否正常。

捆绑文件

实现这种触发条件首先需要控制端和服务端已通过木马建立连接，然后控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，随即上传到服务端覆盖原文件。这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装，绑定到某一应用程序中。如果绑定到系统文件，那么每一次启动Windows时均会同时启动木马。

5、木马的伪装手段有哪些？

木马的伪装手段有5种包括：修改图标、出错显示、木马更名、扩展名欺骗和自我销毁。

木马入侵目标计算机后，为了防止被用户发现，攻击者往往会采取不同的手段来伪装木马，常见的伪装手段有修改图标、出错显示、木马更名、扩展名欺骗和自我销毁。

修改图标

木马服务端所用的图标有一定的规律可循，木马经常故意伪装成XT.HTML，等待用户因为疏忽而将其认为是没有危害的文件图标双击打开。

出错显示

这种伪装手段是将木马捆绑到一个安装程序中，当安装程序运行时，木马就会在用户毫无察觉的情况下偷偷地进入系统。被捆绑的文件一般是可执行文件，如EXE、COM之类的文件。

木马更名

如果木马的名称不做任何修改，那么用户通常能够很容易地辨认出木马程序。为了增强木马的欺骗性，木马设计者经常给木马取一个具有迷惑性的名称，或者运行控制端用户自由定制安装后的木马文件名，这样就很难判断所感染的木马类型了。木马大多数是改为和系统文件名类似的名称，例如有的木马将名称改为window.exe，或者把.d改为.dl等。

扩展名欺骗

这是许多黑客惯用的一种欺骗手法，就是将木马伪装成图像、文档等文件，这一点跟木马更名的性质类似，但是这一招看上去虽然很不合逻辑，却有许多用户中招。例如图像文件的扩展名根本就不可能是.exe，而木马程序的扩展名基本上又必定是.exe，这样，多数用户在看到扩展名为.exe的文件时就会很小心。于是木马设计者就将文件名进行一些改变，例如将photo.exe更改为photo.jpg.exe，因为Windows文件夹选项的默认设置是不显示扩展名的，于是用户看到的只是photo.jpg文件，此时如果用户的计算机恰好设置为隐藏扩展名，那么就很容易将其当做一个图片打开，这样木马也就启动了。

自我销毁

自我销毁功能是为了弥补木马的一个缺陷而设计的。当服务器用户打开含有木马的文件后，木马会将自己复制到Windows的系统文件夹中。一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的，那么用户只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马即可。而木马的自我销毁功能是指安装完木马之后，源木马文件会自动销毁，这样服务端用户就很难再找到木马的来源了，此时在没有查杀木马工具的帮助下是很难删除木马的。

6、计算机中木马后有哪些症状？

计算机中木马后会无限地弹出IE窗口、弹出奇怪的对话框、系统配置被更改、突然出现大量无法结束的进程。

随着计算机技术的发展，木马始终走在防木马软件的前端。因此Internet中没有绝对安全的计算机，再安全的计算机都可能会遭到木马的入侵，因此用户除了尽量做好系统的安全措施之外，还要了解计算机遭受木马入侵后的常见症状。

无限地弹出IE窗口

刚刚打开IE窗口或浏览网页时，突然弹出大量的IE窗口，如下图所示。

弹出奇怪的对话框

在操作计算机时屏幕上突然出现警告框或者提示框，询问一些奇怪的问题，如下图所示。

系统配置被更改

系统配置经常自动莫名其妙地被更改，例如系统显示的日期和时间、声音大小、鼠标灵敏度等，如下图所示。

突然出现大量无法结束的进程

计算机的运行速度突然变得很慢，打开任务管理器后发现突然出现大量同一名称的进程，并且无法结束，如下图所示。

利用netstat-a命令查看系统中的异常信息

当自己的计算机出现了以上任意一种症状，或者突然觉得计算机有反常情况发生时，此时可以使用netstat-a命令查看所有的网络连接，如果此时有攻击者通过木马连接，就可以通过这些信息发现异常，然后查杀系统中潜在的木马程序。

二、自定义配置及捆绑木马

对木马的基本知识有一定了解后，接下来就通过实例的操作来向用户展示木马的配置和捆绑操作，自定义配置木马是指利用木马控制端程序来配置木马服务端，然后让其他用户在自己的计算机运行生成木马服务端，而捆绑木马则是将木马服务端与正常程序捆绑在一起，一旦其他用户运行正常程序，被捆绑的木马程序同样被激活。

1、如何配置“冰河”木马服务端？

利用“冰河”木马控制端程序即可配置“冰河”木马服务端，包括访问口令、监听端口以及动态IP地址的接收邮箱等信息。

在向目标主机植入“冰河”木马程序之前，攻击者一般都会使用控制端程序对服务端程序进行一些配置，包括是否自动删除安装文件、打开的端口号、访问口令以及邮件通知等。

步骤1：单击“配置本地服务器程序”按钮，启动“冰河”木马的控制端程序，单击工具栏中的“配置本地服务器程序”按钮。

步骤2：设置访问口令监听端口，弹出“服务器配置”对话框，设置访问口令为123，设置监听端口为7627，勾选“自动删除安装文件”复选框。

步骤3：设置自我保护，切换至“自我保护”选项卡，在“键名”文本框中输入注册表键名KERNEL32.EXE。

步骤4：设置邮件通知，切换至“邮件通知”选项卡，在“SMTP服务器”和“接收信箱”中输入服务器名和邮箱地址，单击“确定”按钮。

设置SMTP服务器与接收信箱的作用

无论是目前部分互联网用户仍采用的拨号上网，还是大多数用户采用的动态IP的ADSL宽带上网，其每次拨号后的IP地址都不同，因此要想让一台远程计算机成为自己的长期“肉鸡”，就要牢牢地掌握其IP的变化通常需要设置SMTP服务器和接收信箱。远程计算机用户每次启动计算机时，服务端程序也随之启动，服务端程序可以使用E-mail将该计算机所产生的动态IP地址自动地发送到控制端用户预先设置的邮箱之中。选中“邮件内容”组合框中的几个复选框后，服务端程序将会把该计算机中的这几项信息一起发送到控制端用户的邮箱中，这样不管远程计算机如何更换IP地址、重新启动、更改系统密码，控制端用户总能通过服务端程序了解到这些信息。

步骤5：确定所有配置正确无误，弹出“冰河”对话框，询问用户是否确定所有的配置均正确无误，单击“是”按钮。

步骤6：服务器程序配置完毕，切换至新的界面，此时显示了“服务器程序配置完毕”的信息，单击“确定”按钮。

步骤7：查看生成的服务器程序，打开解压后的“冰河”木马控制端所在文件夹，此时可看见G-Server文件，该文件便是刚刚配置好的服务器程序，接着攻击者就会采用各种方法让Internet中其他计算机中的用户运行该服务器程序。

“冰河”木马的功能

“冰河”木马不仅具有远程控制的功能，而且还具有记录口令、获取系统信息以及注册表操作等功能。

（1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步服务端屏幕变化的同时，控制端的一切键盘及鼠标操作将反应在服务端屏幕。

（2）记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且在1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了基键记录功能。

（3）获取系统信息，包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

（4）注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。

2、如何控制“冰河”木马服务端？

利用“冰河”木马控制端远程控制木马服务端，首先扫描指定端口开放的计算机，再利用访问口令登录并控制目标计算机。

当Internet中有计算机运行了该服务端程序时，攻击者就会利用控制端程序找到目标计算机并进行远程控制，既可以获取目标计算机的相关指令（开机指令、屏保指令等），又可以远程更改其注册表或计算机名等信息。

步骤1：单击“自动搜索”按钮，打开冰河控制端程序主界面，在工具栏中单击“自动搜索”按钮。

步骤2：设置监听端口和IP地址范围，弹出“搜索计算机”对话框，设置监听端口、延迟时间、起始域、起始地址和终止地址。然后单击“开始搜索”按钮。

步骤3：查看搜索结果，当进度条达到100%后，可在右侧的“搜索结果”对话框中看见被搜索到的计算机所对应的IP地址，以OK开头的IP地址就可能是目标计算机对应的IP地址。

步骤4：单击“添加主机”按钮，记录搜索的IP地址后单击“关闭”按钮返回主界面中，在工具栏中单击“添加主机”按钮。

步骤5：输入访问口令和监听端口，弹出“添加计算机”对话框，确认“显示名称”和“主机地址”右侧文本框中显示的是STEP03中搜索到的IP地址，在“访问口令”右侧的文本框中输入主机地址和配置服务器程序时设置的访问口令，在“监听端口”右侧的文本框中输入7627，输入完成后单击“确定”按钮。

步骤6：查看磁盘资源信息，返回“冰河”木马控制端程序主界面，在左侧单击目标主机“192.168.248.128”选项，此时可在下方看见该计算机的磁盘资源信息。

步骤7：复制目标计算机中的文件，双击任意一个磁盘，即可在右侧对该远程计算机的文件进行复制等操作，就像在自己的计算机上操作一样。

步骤8：查看目标计算机的系统信息，切换至“命令控制台”选项卡，依次单击“口令类命令＞系统信息及口令”选项，单击“系统信息”按钮，经过短时间的数据接收，即可查看到远程计算机的系统信息。

步骤9：设置捕获选项，在左边的目录树中依次单击“控制类命令＞捕获屏幕”选项，然后在右下角的区域设置捕获选项。

步骤10：查看目标计算机屏幕，单击右下角的“查看屏幕”按钮即可打开远程计算机当前屏幕进行查看。

步骤11：单击“查看屏幕”按钮，在“冰河”木马控制端程序主界面的工具栏中单击“查看屏幕”按钮。

步骤12：设定图像参数，弹出“图像参数设定”对话框，设置图像格式、图像色深和图像品质参数，单击“确定”按钮即可查看远程计算机屏幕信息。

步骤13：单击“屏幕控制”按钮，返回“冰河”木马控制端程序主界面，在工具栏中单击“屏幕控制”按钮。

步骤14：控制目标计算机的屏幕，弹出“系统按键”对话框，使用该对话框中的按钮可以直接控制计算机的各个按键。

步骤15：单击“发送信息”选项，关闭“系统按键”对话框返回“冰河”木马控制端程序主界面，在左侧依次单击“控制类命令＞发送信息”选项。

步骤16：设置警告信息，在右侧设置窗口标题、信息正文、图标类型和按钮类型选项，设置完毕后单击“预览”按钮。

步骤17：预览警告信息，在弹出的对话框中可以看见设置的窗口标题等元素。单击“确定”按钮，再次单击“发送”按钮即可将其发送到目标计算机中。

步骤18：查看目标计算机的进程，单击左侧的“进程管理”选项，然后单击“查看进程”按钮即可在右边窗格看到远程计算机的进程。

步骤19：管理目标计算机的窗口，单击左侧的“窗口管理”选项，在右下区域有管理窗口的各种按钮（刷新、最大化等），单击即可执行相应操作。

步骤20：远程控制目标计算机，单击左侧的“系统控制”选项，在右下区域中显示了各种系统控制按钮（远程关机、远程重启等），单击即可执行相应操作。

步骤21：创建共享，依次单击“网络类命令＞创建共享”选项，接着在右下区域输入路径和共享名，单击“创建共享”按钮即可创建共享文件。

步骤22：查看共享文件，在目标计算机中打开C盘对应的窗口，在该远程计算机上即可看到共享的文件。

步骤23：删除共享文件，单击左侧的“删除共享”选项，输入要删除的共享名，再单击“删除共享”按钮即可删除共享文件。

步骤24：快速查看文件，在左侧依次单击“文件类命令＞文本浏览”选项，在右下区域输入文件名，然后单击“快速查看”按钮。

步骤25：浏览文本，此时可在目标计算机中看见打开的文件窗口，并看见该文件包含的内容。

步骤26：更换目标计算机的墙纸，在左侧依次单击“设置类命令＞更换墙纸”选项，输入要更换的墙纸文件名，设置显示方式，然后单击“确定”按钮。

步骤27：查看更改墙纸后的效果，此时可在目标计算机中看见更换墙纸后的显示效果。

步骤28：更换目标计算机的名称，在左侧单击“更改计算机名”选项，输入要更改的名字，单击“确定”按钮。

步骤29：查看更改计算机名称后的效果，在目标计算机打开“系统属性”对话框，切换至“计算机名”选项卡，即可查看修改后的计算机名称。

3、如何利用捆绑器捆绑木马？

首先依次配置木马程序与正常的可执行文件，再进行捆绑，捆绑后的文件在外观上与正常可执行文件没有区别。

ExeBinder是一款木马捆绑器，利用该工具用户可以将木马与正常的软件安装程序捆绑在一起，一旦其他用户运行了该安装程序，与之捆绑在一起的木马程序也将被运行，使得该木马成功入侵目标计算机。

步骤1：双击ExeBinder快捷图标，下载ExeBinder后将其解压到本地计算机中，在解压后的文件夹中双击ExeBinder快捷图标。

步骤2：单击“下一步”按钮，弹出“EXE捆绑机”对话框，在“欢迎使用”界面中单击“下一步”按钮。

步骤3：指定第一个可执行文件，切换至“指定第一个可执行文件”界面，在界面中单击“点击这里指定第一个可执行文件”按钮。

步骤4：选择正常的exe文件，弹出“请指定第一个可执行文件”对话框，选择可执行文件（扩展名为exe的文件）的保存位置，然后双击对应的可执行文件图标。

步骤5：确认选择的可执行文件，返回“EXE捆绑机”对话框，确认选择的第一个可执行文件的路径，无误后单击“下一步”按钮。

步骤6：指定第二个可执行文件，切换至“指定第二个可执行文件”界面，在界面中单击“点击这里指定第二个可执行文件”按钮。

步骤7：选择木马服务端程序，弹出“请指定第二个可执行文件”对话框，选择可执行文件（木马服务端程序）的保存位置，然后双击对应的快捷图标。

步骤8：确认选择的木马服务端程序，返回“EXE捆绑机”对话框，确认选择的木马服务端程序路径，无误后单击“下一步”按钮。

步骤9：指定保存路径，切换至“指定保存路径”对话框，单击“点击这里指定保存路径”按钮。

步骤10：设定捆绑文件的保存位置，弹出“保存为”对话框，在左侧区域中选择捆绑文件的保存位置。

步骤11：确认选择的保存路径，返回“EXE捆绑机”对话框，确认选择的保存路径，无误后单击“下一步”按钮。

步骤12：选择版本类型，切换至“选择版本”界面，选择版本类型为“普通版”，然后单击“下一步”按钮。

步骤13：开始捆绑文件，切换至“捆绑文件”界面，单击“点击这里开始捆绑文件”按钮。

步骤14：捆绑成功，完成后可在弹出的“EXE捆绑机”对话框中看见“捆绑文件成功！”提示信息，单击“确定”按钮。

步骤15：查看捆绑木马后的文件，此时可在步骤10中指定的位置处看见捆绑木马后的文件，跟正常的文件没有区别，但是不要轻易运行它！

三、个人用户防范木马

了解完攻击者操作木马的常见方式后，就需要在自己的计算机中做好防范措施，不仅需要掌握防范木马入侵的常见措施，而且还要学会手动清除一些常见的木马，例如“冰河”木马，当然并非所有的木马都能手动清除，因此还需要借助反木马软件来彻底清除系统中的木马，同时保护系统并抵御木马的入侵。

1、防范木马入侵的常见措施有哪些？

防范木马入侵的常见措施有谨慎运行从网络上下载的软件、不要轻易打开邮件中来历不明的附件和链接、尽量少用共享文件夹、隐藏自己的IP地址以及运行反木马实时监控程序。

在Internet中，没有一款软件能够查杀网络中所有类型的木马，这是因为从木马的诞生到现在，历来都是先有木马，然后再有查杀该木马的策略。反木马软件始终是木马的跟随者。但是对付木马最好的方法就是防止其入侵计算机，防患于未然，拒木马于千里之外。用户可采用下面介绍的一些方法措施。

谨慎运行从网络上下载的软件

从网上下载的软件并不能完全保证其安全性，因此用户在安装或者第一次运行网络上下载的软件之前需要使用电脑上安装的杀毒软件扫描一遍，确定没有木马或者病毒后再进行其他的操作。

不要轻易打开邮件中来历不明的附件和链接

电子邮件是黑客常用的传播木马的方式，将带有木马的附件或者网址链接放在邮件中，然后将该邮件发送给网上的其他人，如果接收到该邮件的人打开了附件或者点击了网址链接，就会使木马入侵电脑，造成严重的后果。

尽量少用共享文件夹

如果需要设置文件共享，最好单独地开一个共享文件夹，把所有需要共享的文件都放在该文件夹中，绝不可将系统目录设置成共享。

隐藏自己的IP地址

用户在上网时最好使用一些工具软件隐藏自己的IP地址，这一点非常重要。

运行反木马实时监控程序

用户一定要确保反木马实时监控程序随着系统的启动而启动，这样就能保证绝大多数的木马无法成功入侵电脑，如Windows木马清道夫。除了反木马实时监控程序之外，还可以运行最新的专业杀毒软件和个人防火墙等。

2、能否手动清除“冰河”木马？

能！清除冰河木马的方法有两种：第一种是使用“冰河”木马控制端手动清除木马服务端程序，第二种是使用“‘冰河’陷阱”清除“冰河”木马服务端程序。

（1）利用“冰河”木马控制端清除

当目标计算机对攻击者而言没有任何价值时，也许攻击者就要考虑撤离该计算机了，也就是利用“冰河”木马控制端手动清除“冰河”木马服务端程序。

步骤1：单击“自动卸载冰河”按钮，在“冰河”控制主界面中切换至“命令控制台”选项卡，单击“控制类命令＞系统控制”选项，单击“自动卸载冰河”按钮。

步骤2：彻底清除“冰河”木马，弹出“冰河”对话框，询问用户是否要将远程计算机上的冰河彻底清除，单击“是”按钮彻底清除。

步骤3：清除成功，返回“冰河”控制程序主界面，此时可在状态栏中看见“服务器端监控程序自动卸载完毕”的提示信息，即彻底清除远程计算机上的“冰河”木马。

（2）使用“‘冰河’陷阱”清除

“冰河”陷阱是一款专门用来对付各类“冰河”木马的软件，也就是常说的木马专杀工具，下面介绍使用“‘冰河’陷阱”清除“冰河”木马的操作步骤。

步骤1：启动“冰河”陷阱应用程序，“冰河”陷阱是一款绿色软件，下载后将其解压到本地计算机，双击“冰河陷阱”快捷图标，启动该应用程序。

步骤2：自动清除“冰河”木马，当系统中含有“冰河”木马时，会弹出“警告”对话框，提示用户系统含有“冰河”木马，单击“是”按钮自动清除“冰河”木马服务端。

步骤3：查看服务端配置信息，弹出“服务端配置信息”对话框，可以看到该服务端的配置信息，单击“确定”按钮清除该木马。

步骤4：单击“设置监听端口”命令，如果系统中没有“冰河”木马，则可设置监听端口，防范“冰河”木马入侵，在菜单栏中依次单击“设置＞设置监听端口”命令。

步骤5：设置监听端口，弹出“设置监听端口”对话框，在“监听端口”文本框中输入监听端口，如输入“7626”，单击OK按钮。

步骤6：开始监听，返回主界面，在工具栏中单击“打开陷阱”按钮即可开启“冰河”陷阱，此时可在状态栏中看见“正在监听端口：7626”的提示信息。

3、如何使用木马清道夫查杀木马？

首先使用木马清道夫扫描进程以清除可疑进程，然后利用精确扫描硬盘彻底清除系统中潜在的可疑木马。

木马清道夫是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品，它具有扫描进程、扫描硬盘等多种方式，彻底清除计算机中潜在的木马。

步骤1：启动Windows木马清道夫，成功安装木马清道夫后在桌面上双击对应的快捷图标，启动该程序。

步骤2：更新木马库，弹出“木马清道夫-升级木马库”对话框，单击“更新”按钮，更新木马库。

步骤3：单击“扫描进程”按钮，升级完毕后进入Windows木马清道夫主界面，单击左上角的“扫描进程”按钮，开始扫描当前系统中的所有进程。

步骤4：开始扫描进程，弹出“扫描进程”对话框，此时木马库加载完毕，单击“扫描”按钮，开始扫描进程。

步骤5：查看扫描结果，扫描完毕后弹出对话框，在界面中显示了扫描的结果，单击“确定”按钮。

步骤6：单击“清除”按钮，返回“扫描进程”对话框，单击“清除”按钮，清除扫描出的木马病毒/广告间谍/恶意软件。

步骤7：单击“确定”按钮，清除完毕后弹出对话框，提示用户清除完毕，需要扫描硬盘便于彻底清除，单击“确定”按钮。

步骤8：精确扫描硬盘，返回木马清道夫主界面，单击“扫描硬盘”按钮，在右侧展开的列表中选择硬盘扫描方式，例如选择“精确扫描硬盘”。

步骤9：选择要扫描的磁盘分区，弹出“精确扫描硬盘”对话框，在左侧选择要扫描的磁盘分区，例如勾选“本地磁盘（C:）”复选框。

步骤10：单击“扫描”按钮，弹出“精确扫描硬盘”对话框，在左侧勾选“扫描压缩文件”复选框，单击“扫描”按钮开始扫描硬盘。

步骤11：正在扫描指定分区，在扫描的过程中可在右侧列表框中看见扫描出的可疑程序，并且在底部可以看见扫描的文件路径以及已扫描的文件数量，扫描过程花费的时间较多，请耐心等待。

步骤12：查看扫描结果，扫描完毕后可在列表框中看见扫描出的结果，选择要隔离或清除的项目。

步骤13：清除选中的项目，选中后单击“隔离/清除”按钮，在右侧展开的列表中单击“清除选中的项目”选项，即可将选中的程序删除。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】