巧用技巧揪出图片背后的木马病毒

网络时代安全问题相当重要，木马却威胁我们的计算机。

不要以为我们安装了反病毒软件后就可以高枕无忧了。

网上仍有很多木马程序，它们仍会危及我们的系统安全。

今天给大家介绍其款优秀的反木马软件，帮你远离木马的袭击。

小知识：什么是木马程序？与病毒和恶意代码不同的是，木马程序（Trojan horses）隐蔽性很强，你根本不知道它们在运行。

但是它们产生的危害并不亚于病毒。

一旦你的机器中了木马，则网上有人可以通过它来获取你的密码和一些资料。

甚至一些高级的黑客可以远程控制你的电脑。

一般的木马检测和清除程序可以很容易地检测出你机器里的木马，而且由于木马程序每天都会出现新的种类，所以一般的木马程序都会提供即时在线更新服务，以便让它能够即时检测出系统中的木马。

一般的木马保存在注册表中或者会开放我们机器上的一些端口，木马查杀软件会自动清除检测并查杀。

1.Trojan DefenseAnti-Trojan 5.5是一款扫描我们TCP/IP端口，文件和注册表的木马查杀工具。

端口检测功能会检查出我们机器上的可疑开放端口，以防止被黑客攻击。

进程查看工具则可以列出Windows中当前所有的进程，从中可以断定哪一个是可疑的木马。

而注册表检查功能使用起来速度非常快，从中可以检测出哪些自启动的程序。

Anti-Trojan可以免费上网升级，而且有10种语言版本。

2.Antiy Ghostbusters Pro 5.05Antiy Ghostbusters Pro 5.05 有一个朴素但却非常有个性的界面。

它会列出我们机器里所有运行的程序和进程，我们甚至可以通过它来管理我们的自启动程序、进程甚至是某些服务。

Ghostbusters会有一个窗口，显示远程连接端口情况和IP地址，当然，Ghostbusters也可以扫描和清除系统中的木马程序。

3.Digital Patrol 5.00.31Digital Patrol是一款非常成熟的木马查杀程序，它能够扫描内存、硬盘、文件夹和文件（包括包含在ZIP压缩包中的文件），并能够清除其中的木马程序。

四招快速清除系统中的木马病毒黑客入侵后要做的事就是上传木马后门，为了能够让上传的木马不被发觉，他们会想尽种.种方法对其进行伪装。

而作为被害者，我们又该如何识破伪装，将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中，始终是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码肯定会表现出肯定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来推断的。

程序运行后，我们只要单击“扫瞄”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，假如有两个或更多的可执行文件头部，那么说明此文件肯定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必需请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。

因此清除的步骤也相对简单一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成详细的项目，对此我们假如发觉自己系统消失特别时，则需要推断是否中了DLL木马。

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看全部DLL模块，这时假如发觉有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。

对于一些比较顽固的进程，我们还将其中，单击“强行解除”按钮，然后再通过“模块文件名”栏中的地址，直接到其文件夹中将其删除。

手工查杀木马病毒的一般详细步骤其实，在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件;另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的，你知道，高手们往往是不会去选择做傻事的，因为他们知道应该在这些傻事中学到些什么,而对于我们普通菜鸟用户来说，怎么办呢,总不能坐以待毙吧～作为高手是不能容忍的，因此，手工查杀就从中起了重要作用。

那么我们应该怎么办呢,我们应该从中学到些什么呢,首先，当我们感到机器变得比以前慢很多，或者鼠标有时会不自主的乱抖动，这时我们就应该考虑是不是病毒或木马在作怪了。

这时，我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。

不过这也没关系，我们都是从不懂到懂得的一个过程，没什么指得可笑的。

如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。

如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。

我们只有将它们赶尽杀绝了!!!下一步，我们就要毫不留情的在任务管理器中先结束其进程了。

右击它选择“结束进程”，“确定”即可。

如果中的病毒或木马很强的话，我们就要采取强制的方式结束它了。

具体方法:首先“开始——运行”，输入CMD，打开命令提示符。

输入“Tasklist”后就会看到我们各个程序的进程列表了，其中有一列叫PID(进程标识符)的，这对我们强制关闭某个进程时有用到。

十大常见木马及其查杀方法经过媒体的大量宣传，大家对木马有了一定的认识，但大多数人对木马还是陌生和恐惧的感觉。

其实，木马没有什么可神秘的，只要你能掌握以下国内最流行十大木马查杀，那么对付其它木马程序就很容易了——你会骄傲的说：木马查杀？Easy！名词解释木马其实质只是一个网络客户/服务程序。

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序我们称为守护进程。

就我们下面所讲木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

控制端对服务端进行远程控制的一方服务端被控制端远程控制的一方控制端程序控制端用以远程控制服务端的程序木马程序潜入服务端内部，获取其操作权限的程序木马端口即控制端和服务端之间的数据入口，通过这个入口，数据可直达控制端程序或木马程序十大常见木马及其查杀方法冰河冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。

虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe，并删除自身。

Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。

即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

电脑木马病毒查杀方法技巧一阶:菜鸟看,中鸟老鸟也可以看1、请升级你的杀毒软件到最新版本,保证病毒库是最新的。

2、对于局域网内部用户,在杀毒之前请断掉网络。

3、杀毒之前确认你的扫描选项中的“杀毒前备份染毒文件”、“在杀毒前先扫描内存中的病毒”被选中,不要选中“染毒文件清除失败后删除此文件”选项。

因为经验证明,很多病毒都是内存驻留型,备份染毒文件是因为没有哪个杀毒软件能保证杀过毒之后的文件100%能够正常使用。

(对于国内的杀毒软件)4、对于Xp系统来说SystemVolumeInformation中的文件是不允许修改的,因为此文件夹是系统还原文件夹不允许外部进程对它进行访问修改。

因此,如果碰到杀软在此文件夹中查到病毒,请在系统属性中的系统还原中取消对磁盘的监视,删除还原点即可。

(以前我老是强调关闭系统还原的原因,还有就是有的网友问有时杀毒软件走到百分之多少时走不动了,原因也在此。

)5、对于一些正在使用中的文件,系统是不允许删除的,碰到这种情况,请在任务管理器中结束该进程,然后按杀软提示的病毒文件路径进行手动删除,或重新杀毒。

(删除文件时删不了有时也因为此)6、碰到病毒已经清除,但系统重新启动又出现中毒情况的,请确认你所在网络无毒,然后制作dos杀毒盘在dos下查杀。

如果网络中毒,请联系网络管理员,断网杀毒。

(补充此点:有时系统重新启动又出现中毒是因为你的系统还原是在监视状态,或者是杀毒没有把文件和注册表删除了(朋友用江民是遇到过这样的)7、在dos下使用dos杀毒伴侣,硬盘修复王时,请备份你的敏感数据和个人文件,并在有经验的人的指导下进行。

使用不当,可能造成硬盘数据全部丢失。

(此方法用的较少)中阶:中鸟看——杀毒技巧集锦有人认为杀毒是一件简单的事情,不就是点击杀毒软件的“杀毒”按钮就行了吗?不错,杀毒的确要借助杀毒软件,但是不是说一点击杀毒就万事大吉的。

这就是为什么有的人一次性就将病毒杀尽,有的人机子内的病毒永远也杀不完的原因了。

找出隐藏的木马病毒的技巧木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。

有人说，既然木马这么厉害，那我离它远一点不就可以了!然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的!哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。

下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟!1、集成到程序中其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。

而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。

不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat 和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。

当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。

大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了，这个file.exe很可能是木马哦。

手工排查病毒木马小弟总结的手工排查的方法，方法如下：很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。

虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。

不同的种类的病毒，其前缀也是不同的。

比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。

一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

如果该病毒变种非常多（也表明该病毒生命力顽强^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。

通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。

而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。

病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

木马病毒查找清除方法【完整版】(文档可以直接使用，也可根据实际需要修订后使用,可编辑放心下载）木马病毒查找去除方法|浏览：0|更新：2021-04-23 15:27一、学伯乐认马识马木马这东西从本质上说,就是一种远程控制软件。

不过远程控制软件也分正规部队和山间土匪。

正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马那么属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。

木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。

而且你还可能成为养马者的帮凶,养马者还可能会使用你的机器去攻击别人,让你来背黑锅。

二、寻根溯源找到引马入门的罪魁祸首作为一个不受欢送的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:最常见的就是利用聊天软件杀熟,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你翻开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一送一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你翻开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器平安性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。

在网吧上网时受到木马攻击的几率也很大。

而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。

三、亡羊补牢如何查杀木马我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。

用批处理文件手杀木马摘要：随着计算机病毒的出现,人们除了使用正版杀毒软件可以清除病毒外,还可以手工清除病毒。

本文主要介绍使用批处理文件和注册表分析与清除某些病毒。

关键词：批处理文件注册表杀毒前言黑客攻防是每个计算机爱好者津津乐道的好题，羡慕他们也罢，贬低他们也罢，甚至辱骂也罢。

无论如何，我们都无可否认黑客已经融入我们的网络生活中。

我们如何才能真正的保证我们的计算机安全的，如何保证我们的信息不被窃取呢？当然对于一般的病毒，许多杀毒软件都可以解决。

但如果出现了新的病毒，由于杀毒软件的病毒的数据库更新的滞后性，我们的计算机的安全就得不到保证了。

那么我们又将如何解决这些问题呢？那么我们不得不学习些黑客基础的知识，比如命令提示符（批处理文件）和注册表。

1如何手动查杀木马1.1查看是否有可疑端口打开我们点击开始—>运行—>输入cmd并确定—>出现命令提示符并输入edit—>出现edit编辑器，并在窗口中输入@echo offNetstat -naPause内容完成，现在让我们将其保存在D盘的根目录下，并命名为name.bat（或name.cmd）。

之后，我们关闭所有的与网络相关的所有的应用软件,比如浏览器，QQ，迅雷，网络电视，在线音乐播放器等。

这时我们打开D盘，双击name.bat。

后出现下图：如果ForeignAddress出现了打开的端口，如上图的6001和6002，这表示我的电脑极有可能已经中了木马，并被IP地址为192.168.61.157的计算机控制或监听。

（因为这是在学校机房上上机，上方显示的IP是学校网管的服务器，当然它也采用了C/S架构，许多地方和木马具有相似之处）1.2如何寻找木马所在的位置这时我们可以借助冰刃IceSword这款软件显示木马的路径和木马名，找到该文件夹所在的经和文件名。

1.3如何确认该文件是否是木马判断一个文件是否是木马的方法很多，这里我们就介绍几种简单的方法吧1.3.1查看最后修改时间，若时间是近期，且你最近没有安装过系统软件和应用软件，大概确定这应该是木马，并且删去对你对电脑不会有危害。

专家教你如何进行网站挂马检测与清除不完全统计，90%的网站都被挂过马，挂马是指在获取网站或者网站服务器的部分或者全部权限后，在网页文件中插入一段恶意代码，这些恶意代码主要是一些包括IE等漏洞利用代码，用户访问被挂马的页面时，如果系统没有更新恶意代码中利用的漏洞补丁，则会执行恶意代码程序，进行盗号等危险超过。

目前挂马主要是为了商业利益，有的挂马是为了赚取流量，有的是为了盗取游戏等账号，也有的是为了好玩，不管是处于那种目的，对于访问被挂马的网站来说都是一种潜在的威胁，影响运营网站公司形象。

当一个网站运营很长时间后，网站文件会非常多，手工查看网页文件代码非常困难，杀毒软件仅仅对恶意代码进行查杀，对网页木马以及挂马程序不一定全部查杀，本文就如何利用一些安全检测工具软件来检测和清除网站木马方面进行探讨，使用本文提及的工具可以很轻松的检测网站是否被挂马。

(一)检测挂马页面1.安装urlsnooper软件Urlsnooper是一款URL嗅探工具，其官方主页地址为：，目前已经不提供免费下载了，可以到-11525.html下载该软件。

安装非常简单，按照提示进行安装即可。

第一次使用时需要程序会自动检查网卡，查看能否正常连接网络，设置正确无误后，应该出现如图1所示的画面。

图1安装正确后的界面2.对网站进行侦测在Urlsnooper中的“ProtocolFilter”中选择“ShowAll”，然后单击“SniffNetwor k”按钮开始监听网络。

接着使用IE浏览器打开需要进行检测木马的网站，Urlsnooper会自动抓取网站中的所有连接，在Index中按照五位数字序号进行排列，如图2所示。

图2监听结果说明：在侦测结果中可能包含的连接地址非常多，这个时候就需要进行排查，可以选中每一个记录，Urlsnooper会在下方中显示详细的监听结果，如图2所示，就发现存在一段挂马代码：在百度搜索中对其进行搜索，如图3所示，有30多项搜索结果，从查询结果可以辅佐证明该段代码为挂马代码。

如何对网站挂马检测及清除挂马是指黑客在网站上植入恶意代码，以达到非法获取用户信息、传播病毒等目的。

对于网站管理员来说，及时发现并清除挂马是非常重要的。

本文将介绍如何对网站进行挂马检测及清除的方法。

1. 挂马检测挂马检测是指通过一系列方法来发现网站是否被植入了恶意代码。

以下是一些常用的挂马检测方法：1.1 主动扫描使用主动扫描工具，如在线漏洞扫描器或安全审计工具，对网站进行扫描，以寻找潜在的漏洞，从而发现是否存在挂马。

1.2 文件监控定期监控网站文件的变化，尤其是关键文件（如网页文件、脚本文件等）的变化。

如果发现文件被修改或新增，就需要对该文件进行进一步的检查。

1.3 日志分析分析网站的访问日志，查看是否有异常的访问行为或异常的URL请求。

通常，黑客在植入恶意代码后，需要通过某种方式访问该代码，日志分析可以帮助我们识别这些异常行为。

1.4 网络监控使用网络监控工具，实时监控网站的入侵行为。

这些工具能够检测到网站是否遭受到DDoS攻击、SQL注入攻击等，这些攻击可能导致网站被挂马。

2. 挂马清除一旦发现网站存在挂马，需要及时清除恶意代码，以保障网站的安全性。

以下是一些常用的挂马清除方法：2.1 备份网站在进行挂马清除之前，务必对整个网站进行备份，以防止意外操作导致网站数据丢失。

2.2 手动清除首先，在清除挂马之前，需要对网站服务器进行全面的杀毒扫描，确保没有其他恶意文件存在。

然后，通过查找恶意代码文件并将其删除，以清除挂马。

2.3 使用安全工具可以使用一些安全工具来帮助清除挂马。

例如，使用杀毒软件对服务器进行全面扫描，找出并删除恶意文件。

使用网站安全监测服务，扫描网站并提供清除恶意代码的建议。

2.4 更新和修复漏洞挂马通常是因为网站存在安全漏洞而被黑客利用，因此，在清除挂马后，务必及时更新和修复网站的漏洞。

这包括及时升级网站的CMS、插件、主题等软件，并修复可能存在的SQL注入、XSS等漏洞。

2.5 监控网站安全清除挂马只是第一步，为了保障网站的安全，还需要定期监控网站的安全性。

揪出伪装系统木马并清除的妙招导读:黑客入侵电脑后要做的事就是上传木马后门，为了能够让上传的木马不被发现，他们会想尽种种方法对其进行伪装。

而作为被害者，我们又该如何识破伪装，将系统中的木马揪出来并统统清除掉呢!用杀毒软件,no,no,no,还是利用手工检查及清除病毒.曾经陪伴我们多年的杀毒软件，面对日新月异的病毒和木马，它们显得很“单薄”，是乎很难再将其驱除出境，有的甚至连病毒及木马的存在都无法发现，更别提如何进行清除。

因此有时利用手工检查及清除病毒，还是有必要的，本文以伪装成系统的Wmiprvse.exe进程木马为例，来对其木马的清除做以循序渐进的讲解。

首先，按住键盘上的“Ctrl+Alt+Del”键，将“任务管理器”打开，并且切入至“进程”标签。

不过今日与以往不同的是，从“进程”标签里，却突然发现多出一个Wmiprvse.exe进程。

于是利用百度搜索了一下Wmiprvse.exe进程的相关资料，给出的答案是wmiprvse.exe是微软Windows操作系统的一部分。

用于通过WinMgmt.exe程序处理WMI操作，这个程序对你系统的正常运行是非常重要的。

看到这里可能觉得这是一个正常安全的程序进程，于是也就没当回事，又开始了自己的网游“生涯”，但是好景不长没过多久，电脑开始自动重新启动，而且之后又断断续续的重启了几回。

在没有任何可怀疑的对象时，可以选择利用系统的搜索功能。

查找一下这个突然出现的Wmiprvse.exe程序文件，结果却出现了两个同样的Wmiprvse.exe 文件并存的现象。

仔细观察一下，发现两个程序文件大小相同，不过有个Wmiprvse.exe文件在Windows2 目录下，接着进一步看了两个文件夹的创建时间，Windows2确实是在自己重装系统时间内，所以两个都是系统目录，只是前一个在最后一次没有删除干净。

再打开“任务管理器”对话框，发现系统里存在两个Wmiprvse.exe进程，分别由不同权限的用户运行。

找出隐藏在图片背后的木马病毒木马病毒属于病毒的一类，主要是进行盗取账号密码信息、远程控制用户电脑、破坏操作系统等操作。

并且，为了防止杀毒软件对它的查杀，通常具有很强的隐蔽性和反侦察性。

多数木马病毒感染后，首先试图强行关闭杀毒软件，然后才开始盗取账号，有的木马病毒甚至会将国内外主流杀毒软件先各个击破。

最近一段时间，从各大杀毒软件厂商发布的病毒报告中可以看到，木马病毒目前在互联网上泛滥情况十分严重，并且已经形成完整的病毒产业链。

它是如何入侵电脑?作为普通网民又应如何防范?有许多的用户发现自己的电脑有问题，但却找不出原因，是中了木马不假，但就是找不出是哪的问题，后来监测到有数据在上传时，在图片中找到了藏于其中的木马病毒，也终于把它揪出来了。

看一下具体内容：攻击者利用微软GDIplus安全漏洞将木马藏于图片中，注意是藏而不是捆绑，这个不同于以前把木马伪装成图片，引诱网民去点击，而是实实在在的图片变成了木马。

受微软GDIplus安全漏洞影响，几乎所有浏览器、即时聊天工具、Office程序以及看图软件等都可能成为木马传播的渠道。

只要通过浏览器浏览、看图软件打开、甚至是QQ、MSN、电子邮件、Office文档里查看这些图片，就会中招!管你是一个QQ表情还是一个有着上万个层的PNG图片，看了就木马你!这个安全漏洞就是微软GDIplus图片漏洞，堪称是微软有史以来最大的安全漏洞。

GDIplus是一种图形设备接口，能够为应用程序和程序员提供二维矢量图形、映像和版式。

GdiPlus.dll通过基于类的API提供对各种图形方式的访问。

它在解析特制的BMP文件时存在整数溢出漏洞，利用此漏洞的攻击者可完全控制系统，可通过这个漏洞安装更多的木马程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

这个GDIplus漏洞非常严重，类似以前的光标漏洞和wmf漏洞，但是涉及范围广，几乎涵盖了所有的图形格式。

了解了以上的问题，电脑用户就要慎重对待自己收到的图片了，一定要先杀一杀病毒再打开，以防中招，但这个问题也是可以解决的，因为微软GDIplus安全漏洞的专门补丁也已出现了，只要下载运行就把问题化险为夷了。

我的照片顽固病毒知识详解与解决办法最近一亲戚发给笔者一我的照片文件，打开运行后才知道是病毒，还有一些在使用QQ进行聊天的时候，在QQ群里会有网友发送www.*****.cn/1601.rar这里有我的照片帮我顶下记得回复我哦点击就可下载这样的消息。

如果下载运行后，会丢失QQ号并下载大量木马程序。

笔者就深受其害，这里电脑百事网（）提醒广大网友不要随意下载QQ群里网友的发送链接，提和打开好友发过来的我的照片文件，一定要先杀毒扫描，再进行操作，提高高安全意识，保证计算机及个人信息的安全。

以下是我的照片病毒详细信息：病毒大小：32,948 字节(字节)SHA1 ：f3ad8389e4e53d1723174d32614bae19f063a5e8加壳类型：UPX开发工具：Borland Delphi 6.0 - 7.01、执行文件后会在非系统盘生成AutoRun.exe (32,948 bytes)和AutoRun.inf2、释放文件%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.Sys其中WinSys8z.Sys监控发送到消息队列的消息3、注册表修改注册表键：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks注册表值：{F81F75C9-F974-4772-B72D-F28CBCD98C5F}类型: REG_SZ注册表键：HKCR\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32注册表值：（默认）类型: REG_SZ值：C:\Program Files\Internet Explorer\PLUGINS\WinSys8z.Sys4、post提交/005/qqll.asp盗取QQ号5、下载文件http://www.*****.com/12345.txt，内容如下：http://www.*****/mh.exehttp://www.*****/my.exehttp://www.*****/wow.exehttp://www.*****/jh.exehttp://www.*****/wl.exehttp://www.*****/zt.exehttp://www.*****/qjsj.exehttp://www.*****/2.exehttp://www.*****/wmgj.exehttp://www.*****/4.exehttp://www.*****/tl.exehttp://www.*****/zx.exehttp://www.*****/1.exehttp://www.*****/5.exehttp://www.*****/3.exehttp://www.*****/wd.exe http://www.*****/6.exe http://www.*****/7.exe http://www.*****/8.exe http://www.*****/9.exe http://www.*****/10.exe。

有人问道：通常脚本网页文件中如果想要插入一个图片，简简单单的一个html 标签就解决了，如果我们用include代替的话，是否太过明显?虽然这种语句放在大型页面中手工查找有点麻烦，但如果是杀毒软件用特征码查找，看到include的是以.gif.jpg等扩展名结尾的语句，相信肯定会报警。

而我们若不用类似于include之类的函数的话，图片中的asp(或php)语句又怎会执行呢?难道要打电话叫网管帮忙吗?嘿嘿…… 所以问题就集中在用什么方法可以替代include函数的作用上了，因为注入图片的脚本可以变，所以可以不怕杀，怕就怕那句该死的include。

有什么方法呢?我曾经想过我们在入侵成功后可以在iis中添加应用程序映射，把.gif等图片的扩展名用asp.dll(或php.exe)解析，并把这虚拟目录的应用程序保护改为低，这样我们的后门就会有system权限了。

当我们注入图片的脚本的作用是执行cmd命令的，我们就可以通过本地表单 post我们要执行的命令给图片，当然也可以是get：代码/uploadfiles/newsphoto/a1.gif?cmd=dir 这种方法当然是好，可以突破include执行脚本了。

但仍有不足，而且是明显的：这种方式虽然杀毒软件是查不出了，但是仍可明显看出：管理员只要查看一下应用程序映射，那么我们所有的工作都白费了。

想到这里，我突然想到了iis的那个著名漏洞(涉及iis5.0及iis5.1)，我们可以在任意一个站点下建立一个不可见的虚拟目录(指的是 intenet服务管理器中不可见，但利用adsutil.vbs依然可见)，而且由于iis的特性，虚拟目录的应用程序映射及应用程序保护是与iis的默认站点分开设置的。

由于虚拟目录不可见，他所有的属性当然也就不可见了。

所以我们可以安全的设置此目录的属性，而不用怕管理员发现。

当我们把这个虚拟目录指向服务器上另一个装满图片的物理目录(至于那找这种目录?我找到个好地方：windowz默认的墙纸目录，我的xp上是%systemroot%\web\wallpaper\目录)时……呵呵，大家想到什么了没?一旦我们修改其中两个图片，注入我们的脚本后门，然后把此目录的图片映射到asp.dll(或php.exe)上，应用程序保护改为低，就可以通过我上面讲的方法进行访问执行命令了。