Word文档中插入木马详解

5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”（Trojan horse），来源于希腊神话。

古希腊围攻特洛伊城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。

网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。

它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。

就象一个潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得名木马程序。

实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以通过控制主机来攻击网络中的其它主机。

木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和国家的利益和安全。

如果公安部用于采集处理人们身份证信息的计算机被安装了木马，那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。

木马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大的危险性和破坏性。

木马是近几年比较流行的危害程度较严重的恶意软件，常被用作网络系统入侵的重要工具和手段。

2008年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已经成为当前网络危害最严重的网络病毒。

网络上各种“种马”技术加剧了木马的流行和发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非常巨大，可以窃取账号密码、删除文件、格式化磁盘，甚至可以打开摄像头进行偷窥等；木马往往又被用做后门，植入被攻击的系统，以便为入侵者再次访问系统提供方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中“散发”木马，以便进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）等提供可能。

木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。

一般来讲，木马主要有两种隐藏手段：①把自己伪装成一般的软件很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。

一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。

等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。

提示：这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

②把自己绑定在正常的程序上面对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。

伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。

黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。

一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！下面介绍几种常见的伪装植入木马的方法：修改木马图标将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。

对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。

虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。

毒你没商量！DOC病毒原理全解析夏季，是个“病毒”多发的季节，电脑病毒也不例外，尤其是危险系数很大的doc病毒(Virus 宏病毒)既是在利用IE浏览器访问网络上的doc页面时，也会被莫名其妙的给“黑”了一把。

那么doc到底是一种什么病毒啊，它是怎么黑的自己的宝贝电脑呢?现在我们就看一看，doc 病毒到底是什么模样。

宏病毒，它是利用了一些数据处理系统内置宏编程指令的特性而形成的一种特殊病毒。

它和其他一般的个体病毒不同，它是依附在正常的Word文件上，利用Word文档可执行其内宏命令代码的方式，在Word文档在打开或关闭时来控制并感染系统。

它的这种特性，曾使许多人着了它的道，轻则文件被破坏，重则格式化硬盘，使数据毁于一旦，看来，宏病毒果然是个可怕的角色。

宏病毒既然这么厉害，那它是通过什么途径传播的呢?最简单的是将它放到网页上，并给它建立一个连接，当浏览者点击该连接时，浏览器就会将该doc文档下载，然后自动启动Word打开该文档，，当文档被打开时，病毒也就被执行了。

很可怕吧，也许你还不知道，自己当前正在观看的某Word文档就轻而易举的把你黑了。

先不要怕，下面看看它是如何制作的，肯定有办法将它拒之门外。

为了说明简单，笔者为教大家做一个简单的宏病毒，以此来了解宏病毒的作用机制，请大家不要模仿这个来搞“小动作”啊，不然，警察叔叔要请你喝茶我就没办法了^_^。

首先启动Word2000/XP，在窗口菜单栏中选择“插入”→“对象”，在弹出的图1所示的窗口中选择“对象类型”列表的“包”单选项，然后点击“确定”。

图1完成后将弹出图2所示的“对象包装程序”对话框窗口，再点击该窗口中的“编辑”→“命令行”菜单项，在弹出的“命令行”对话框窗口中输入“C:\Windows\system32\telnet.exe”(用来登陆telnet的命令)，完成后“确定”。

当然你也可以找个更加“过分”的命令行，比如格式化硬盘的命令，别砸我臭鸡蛋，我在举例子嘛。

木马最新植入五种方法揭密木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。

对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

方法一：利用共享和Autorun文件为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。

更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。

方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

下面我们简单说一下原理。

大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。

同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。

这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人威胁最大。

更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！方法二：把木马文件转换为BMP格式这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。

网络安全宣传-防范文档携带木马1.引言近年来，通过Office文档（尤其是Word文档）传播木马程序已成为一种常见的网络攻击手段。

攻击者利用Word文档中的宏、OLE对象等特性，诱骗用户打开文档，从而植入恶意软件。

一旦用户打开这些文档，隐藏在文档中的木马程序就会在后台运行，执行恶意操作，甚至远程控制用户的计算机。

本报告将分析这种攻击方式，并提出有效的防范措施。

2.Word文档携带木马的攻击方式2.1宏病毒●宏代码：利用Word文档中的宏功能，编写恶意宏代码。

●触发条件：宏代码在特定条件下自动执行，如文档打开或关闭时。

2.2OLE对象●嵌入对象：在文档中嵌入恶意的OLE对象，如嵌入一个恶意的DLL文件。

●动态链接：通过动态链接的方式，加载恶意的DLL文件。

2.3恶意链接●超链接：文档中包含恶意链接，诱使用户点击。

●下载恶意软件：点击链接后下载并执行恶意软件。

2.4社会工程学●伪装：文档伪装成合法文件，如合同、发票等。

●诱导：通过社会工程学手法，诱使用户打开文档并执行宏代码。

3.攻击流程3.1文档创建●编写宏代码：编写包含恶意功能的宏代码。

●嵌入OLE对象：在文档中嵌入恶意的OLE对象。

●设置触发条件：设置宏代码的触发条件，如文档打开或关闭时。

3.2文档传播●邮件附件：通过电子邮件将文档作为附件发送给目标用户。

●网络下载：将文档上传到恶意网站，诱使用户下载。

3.3文档执行●用户打开文档：用户打开文档，触发宏代码或加载OLE对象。

●恶意代码执行：宏代码或OLE对象中的恶意代码开始执行。

3.4远程控制●建立连接：恶意代码通过互联网建立与攻击者的连接。

●执行命令：攻击者通过远程控制软件执行命令，控制用户的计算机。

4.防护措施●为了防范Word文档携带木马的攻击，可以从以下几个方面入手：4.1安全意识教育●培训：定期对员工进行信息安全培训，提高他们对恶意文档的警惕性。

●最佳实践：推广使用复杂密码和定期更换密码的习惯。

详解一句话木马的使用昨天有个朋友问我一句话怎么使用，没办法，今天帮忙给发个教程！做动画我是懒得做了，之前做的动画都是关系好点的朋友要求的，最近忙点就不做教程了。

大家将就着用吧，这次讲的是很详细的！尤其适用于那种刚入门的人学习，还要补充一点的是好些高手们在拿到Webshell后都不上传大马了，只是在ASP或者是PHP正常文件里插入一句话，在需要进行文件管理的时候使用对应的一句话客户端就可以登录了，登录后会建立一个大马的文件，退出的时候将大马文件删除，这样就更加隐蔽了，不过雷克图还是能查找出插入一句话的文件，教程中我会给大家讲解的，好了，开始教程吧！首先的说明的是前提是已经拿到Webshell,我们现在要做的只是后期的隐蔽工作！拿到Webshell后，进入文件管理界面，选择要插入一句话木马的文件，我是随机选的！打开选定的文件，插入一句话木马！保存完毕后，要记住这个时候的地址栏里的网址和刚才插入木马的文件名称！在下面我们要使用到这个地址。

我用的是空气的一句话客户端，将你插入木马的文件地址填入“插入一句话页面”，然后填写一句话的密码，点上传就转到了大马的登录界面！转到的Webshell页面登录后可以看到新建立的文件使用“雷克图”查找到的插入一句话的文件，如果是个粗心点的人的话说发现不了的，毕竟是混在正常代码里的！使用“雷克图”查找到的新建立的大马文件退出的时候删除新建立的文件，能减少多少留下的痕迹就减少多少吧！我们现在要做的就是记住插入一句话木马文件的地址和链接密码，用来以后进行文件管理！不过有点小的缺憾，在正常访问插入一句话木马的文件的时候，在页面的底部会显示错误！呵呵，也就是说我们以后遇到这种情况的时候，我们就能知道这个路径下的文件是插入一句话的，那我们可以做什么呢？使用一句话的默认密码来连接这个页面，会有意想不到的效果的，因为好多人在插入一句话的时候，不管是出于什么原因，是没有更改默认密码的意识。

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

木马的加密与防杀随着网页的泛滥，很多杀毒软件都已经把他们列为严厉打击的对象了。

我们辛辛苦苦得到的webshell就被杀毒软件kill了岂不亏大了。

所以了能够让webshell长期生存在网站中，我们必须反击，对付杀毒软件。

那么我们怎么防止杀毒软件的查杀呢？有两种办法一是换一匹不会被查杀的木马，二是对木马进行加壳，让杀毒认识不了这个木马，从而达到躲过杀毒软件的查杀。

我们先来说说换木马，目前很多工具都是用于方便管理而做的，但是在管理的同时他们也能够当作木马来用，他们也能够达到与木马一样的功能。

比如海洋顶端和老兵的ASP 站长助手，海洋顶端目前是杀毒软件重点查杀的对象，而老兵的ASP站长助手确很少有杀毒软件地起进行查杀，但是它的功能一点也不比海洋顶端差。

这是因为老兵的ASP站长助手是属于管理软件，很少有软件对其进行查杀。

第二种是加壳。

其实就是对木马进行加密或变换，因为杀毒软件查杀木马是靠一些关键字，而加密或变换之后关键字就没有了，那么杀毒软件就没办法识别木马了，从而躲过杀毒软件。

对于加密和变换，我们可以采用工具也可以采用手工。

这里我就介绍一下工具的使用，对于手工在后面等大家有了脚本语言基础之后在讲。

对于ASP的加密，我们可以使用ASP 木马免杀工具，它的操作很简单，如图2-250所示。

选好木马源文件，先点“转换”，过一会儿在点“加密”就可以实现对这个ASP加密了，ASP下的加密还有很多，这里就不多介绍了，大家可以去黑客网站上下载，他们的使用方法也多相似。

图2-250 ASP木马加密工具对于PHP木马的免杀，这里推荐一款非常好的GUI工具，如图2-251所示，只要将我们的木马代码填入源代码的输入框中，点击加密后就可以在结果区中得到加密后的PHP木马。

比如这里我加密phpinfo();，那么其结果为<?php eval(base64_decode('DQpwaHBpbmZvKCk7'));?>。

提高警惕Office文件也可能携带木马病毒安全咖啡屋计算机与网络创新生活霜鲢豳螂i灞嘲弼啊越譬q蒋洛羁戆蔗獭漏秘裁瀚熏互联网上的特洛伊木马是一种都有一个信息反馈机制,它会收集的信号后,就会开启一个端口与用基于远程控制的黑客工具.互联网一些服务端的软硬件信息,并通过户端的木马端口建立连接.的发展初期就产生了木马程序.只E—mai1,IKC或ICO的方式告知控木马连接建立后,控制端就可是当时的木马程序相对比较简单,制端.以通过木马程序对用户端进行远程通常通过将一段程序植入到系统文那么控制端和用户端之间是如控制.远程控制的主要形式有以下件中.用眺转指令来控制木马.初期何通过木马程序进行连接的呢?由几种:的木马程序都是由具备较高深的计于用户端已经被植入了木马程序,1窃取密码:以明文的形式保算机编程能力的技术人员设计的.那么只要控制端和用户端都同时在存,或缓存在CACHE中的密码都木马的传播方式主要有两种:线,控制端就可以通过木马端口与可能被木马获得.目前一些较高级一种是通过E—Mail,控制端将木马服务端建立连接.的木马程序还具有键盘记录功能,程序以附件的形式通过电子邮件发控制端要与用户端建立连接必它能够记录用户端每次敲击键盘的送到用户端(收信人),收信人只要须知道用户端的木马端口和IP地行为,并反馈给控制端.打开附件就会被植入木马程序.址,由于用户端的木马端口是控制2文件操作:控制端可对用户端另一种是黑客将木马程序捆绑端事先设定好的,所以只要获得用上的文件进行删除,修改,运行,更在软件安装程序上,用户在不知情户端的IP地址即可进行攻击.通常改属性等一系列操作,基本拥有普的情况下下载并安装,木马程序随而言,控制端主要通过IP扫描的方通用户在自己的计算机上所能进行着安装程序的安装也就自动地安装法来获取IP地址.由于用户端装有的所有的文件操作功能.到用户的计算机上.木马程序首先木马程序,所以它的某木马端口一3修改注册表:控制端可随意修将自身拷贝到Windows的系统文件定是处于开放状态的,此时假设用改用户端注册表,所以控制端就可夹中(C:\Windows,C:\Windows\sys一户端的IP地址是202.199.160.56,以禁用用户端的软驱,光驱,或其他tern或c:\Windows\temp目录下),当控制端的扫描程序扫描到这个IP 更高级的操作.然后在注册表,启动组,非启动组中时发现它的某端口是开放的,那么4系统操作:控制端可以控制用设置好木马的触发条件,这样木马这个IP就会被添加到列表中.随后户端的操作系统,鼠标,键盘,监视的安装就结束了.随后.控制端就可控制端就会向用户端发出连接信服务端桌面操作,查看服务端进程以利用植入到用户端的木马程序进号,用户端的木马程序收到信号后等,控制端甚至可以随时向用户端行远程控制了.一般而言,木马程序立即作出响应,当控制端收到响应发送信息.提高警惕omce文件也可能携带木马病毒现在的黑客为了获得利益真可病毒的骚扰呢还好近日微软官方的地址入口,点击网页中的”下载”谓无所不用其极,当你在打开一个发布了文件验证功能通用版,但是按钮即可.Office文件的时候,可能不知不觉如何设置呢?那就接着看下去吧.Step02将文件保存到本地磁就中招了,这种病毒被称为宏病小贴士:Office2003和Office盘,然后双击即可安装该加载项,毒,主要是将EXE文件转化为可2007没有”受保护的视图”,因此无运行的时候,可能会弹出安全警被Office的宏调用的应用程序,而法像Office2010那样以受保护的告,点击”运行”按钮.在弹出窗口且这种病毒通常体积很小,用户很沙盒模式打开文档.中勾选左下角的复选框,点击难察觉.下载网址:h七cp://www.mi一”Continue”进入下一步.所以微软公司在Office2010中croso~.com/downloads/zh—cn/de—Step03安装完成后,系统将弹新增加了文件验证功能,以此来防tails.aspx?FamilylD:6a4e39a4—4c3f一出安装完成的提示.在用户打开范Office病毒.相信大部分读者跟4cc7—98ec一1cb2d5cb5881Word,Excel,PowerPoint和Publisher小编一样对Office2003情有独钟,Step01对于没有开启Microsoft(.doc,.xls,.ppt,.pub格式)文档时,但是以前的文件验证功能只是集的自动更新功能的朋友,你需要先文件验证功能会对该文件进行检成在2010版中,如何让老版本也下载MicrosoftOffice文件验证加载查,如果有问题就会向用户发出警能享受文件验证功能,避免Office项,上面网址就是文件验证加载项告.,2011年第1O期《计算机与网络》。

word杀手病毒的处理办法计算机“Word文档杀手”病毒处理方法鉴于最近校园网内出现了一种通称为“Word文档杀手”的病毒，而且该病毒能自动加载到U盘中，对很多老师和学生造成困扰，现把具体现象及解决方法说明如下：一、电脑中毒现象病毒通称为“WORD文档杀手”，病毒主体文件为c:\windows\doc.exe 或者c:\windows\doc1.exe ，病毒运行后，搜索硬盘中所有的Word文档并将硬盘里面的所有的word文档建立一个列表，输出到c:\ww.txt文件中，然后逐一将这些word文件删除，在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为“.com”。

同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。

并锁定文件夹查看隐藏文件的选项，不允许显示隐藏文件。

在用户看来，所有的word文件就像突然消失了一样。

二、解决方法及步骤：1、在学校主页查杀病毒网页中下载专杀工具“sysclean”中。

2、重启机器并进入安全模式，同时按下键盘的Ctrl、Alt和Delete按键，打开Windows任务管理器，点击“进程”选项卡，停止“doc.exe”进程。

3、双击sysclean工具，进行扫描杀毒。

即可清除病毒。

4、重启机器并进入正常模式，点击下载modreg.rar，解压缩后双击"modreg.reg"，点击“是(Y)”修复注册表。

5、进入C:\Windows\wj 文件夹，将后缀名为com 的文件修改为doc后缀，即可找回丢失的word文件。

三、注意事项提醒：1、老师在课室使用U盘拷贝数据的时候，请锁定自己的U盘，以防止别人的机器的病毒侵入自己的U盘。

一旦U盘或移动硬盘已经感染病毒，请务必先杀毒后再使用。

2、各用户的计算机若没有安装防病毒软件的，请及时安装防病毒软件。

在处理病毒的过程中，发现中毒的机器基本上都是没有安装任何防病毒软件，或者是安装了无法自动更新的防病毒软件。

木马病毒的植入木马病毒大家应该并不陌生，但往往最容易遇到的问题就是木马怎么植入，这里为大家详解一下，希望大家对症用药，保证自己计算机的安全。

（1）通过网上邻居（即共享入侵）要求：对方打开139端口并有可写的共享目录。

用法：直接将木马病毒上传即可。

（2）通过IPC$要求：双方均须打开IPC$，且我方有对方一个普通用户账号（具有写权限）。

用法：先用net use\\IP\IPC$"密码"/user：用户名”命令连接到对方电脑，再用“copy 本地木马路径远程木马路径、木马名字”将木马病毒复制到目标机。

（3）通过网页植入要求：对方IE未打补丁用法1：利用IE的IFRAME漏洞入侵。

用法2：利用IE的DEBUG代码入侵。

用法3：通过JS.VBS代码入侵。

用法4：通过AstiveX或Java程序入侵。

（4）通过OE入侵要求：对方OE未打补丁。

用法：与（3）中的1.3.4用法相同。

（5）通过Word.Excel.Access入侵要求：对方未对宏进行限制。

用法1：编写恶意的宏夹杂木马，一旦运行Office文档编植入主机中。

用法2：通过Office的帮助文件漏洞入侵。

（6）通过Unicode漏洞入侵要求：对方有Unicode漏洞。

用法：“http：//x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名”。

（7）通过FIP入侵要求：对方的FIP可以无名登陆而且可以写入。

用法：直接将木马上传即可。

（8）通过TELNET入侵要求：具有对方一个具有写权限的账号。

用法：用TELNET命令将木马传上去。

（9）EXE合并木马要求：无。

用法：用EXE文件合并器将两个EXE文件合并即可。

（10）WinRAR木马入侵要求：对方安装了WinRAR。

用法：将压缩包设为自解压格式，并设置自动运行的选项，将RAR图标更改。

（11）文件夹惯性点击法要求：无。

电脑病毒制作教程标题：电脑病毒制作教程导言：电脑病毒是一种恶意软件，它可以在未经授权的情况下感染计算机系统，并对系统功能、数据和文件进行破坏或窃取。

虽然我强调编写和传播电脑病毒是违法行为，但了解病毒制作的过程可能有助于我们加强对计算机安全的认识，并采取措施保护自己的电脑免受病毒攻击。

本文将介绍电脑病毒的基本原理及制作教程。

第一部分：电脑病毒的基本原理电脑病毒是一种恶意软件，其基本原理是通过程序代码将自身复制到计算机系统中的其他文件或存储介质中，并在一定条件下激活和传播。

病毒可以分为文件感染型病毒、引导型病毒、宏病毒、蠕虫病毒等多种类型。

文件感染型病毒是最常见的类型，它通过在宿主文件中插入自身的代码来感染其他文件。

当被感染的文件运行时，病毒会激活并继续感染其他文件。

引导型病毒是感染计算机启动扇区或引导记录的恶意代码，当计算机启动时，病毒会被加载到内存中，并继续感染其他系统文件。

宏病毒是利用应用软件的宏功能进行传播的恶意代码。

当用户打开包含宏病毒的文档时，病毒会自动运行并感染其他文档。

蠕虫病毒是通过网络传播的自我复制程序。

一旦感染了一个主机，蠕虫病毒会利用网络漏洞或弱密码等方式寻找其他易受感染的主机，并将自身复制到目标主机上。

第二部分：电脑病毒制作教程重申一次，编写和传播电脑病毒是非法的行为，并且严重侵犯他人的隐私和财产安全。

下面的内容仅用于教育目的，让读者了解电脑病毒制作的基本过程，从而加强对计算机安全的意识。

1. 选择编程语言：制作电脑病毒需要具备基本的编程知识。

常见的编程语言如C、C++、Python等都可以用于编写病毒代码。

2. 确定病毒功能：在编写病毒代码之前，需要明确病毒的具体功能。

例如，文件感染型病毒可以在感染时破坏文件、窃取个人信息等。

3. 编写病毒代码：根据病毒功能的要求，使用选定的编程语言编写病毒的代码。

代码可能包括文件读写操作、激活条件判断、传播方式等。

4. 测试和优化：编写完成后，需要对病毒代码进行测试和优化。

不安全的附件格式
“不安全的附件格式”这句话的意思是某些特定的文件格式被认为可能包含恶意内容或潜在的风险，因此被认为是“不安全的”。

这些不安全的文件格式可能会对计算机系统或用户数据造成损害或安全隐患。

一些常见的被视为“不安全的附件格式”包括：
1.宏病毒：宏病毒是一种在Microsoft Office文档中嵌入的恶意代码，它利
用Office的宏功能来执行恶意操作。

2.恶意脚本：恶意脚本是指包含恶意代码的脚本文件，如JavaScript、
VBScript等。

这些脚本可能在用户不知情的情况下被执行，导致系统被攻击或数据被窃取。

3.特洛伊木马：特洛伊木马是一种伪装成正常文件的恶意程序，它会隐藏在
看似无害的文件中，并在用户不知情的情况下执行恶意操作。

4.蠕虫：蠕虫是一种能够在计算机系统之间传播的恶意软件，它会感染其他
文件并复制自身。

5.病毒：病毒是一种能够感染计算机系统的恶意软件，它会复制自身并在系
统中传播，导致系统性能下降或数据被破坏。

总的来说，“不安全的附件格式”是指可能包含恶意内容或潜在风险的特定文件格式。

这些文件格式可能会对计算机系统或用户数据造成损害或安全隐患。

因此，在打开或处理这些文件时需要特别小心，并采取适当的防护措施来保护计算机系统和数据安全。

常见的木马破坏方式及伪装方法木马破坏方式1.修改图标木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。

看看，木马是不是很狡猾?2.捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。

被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

3.出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。

木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如"文件已破坏，无法打开!"之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

4.自我销毁这项功能是为了弥补木马的一个缺陷。

我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中(C:windows或C:windowssystem目录下),一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。

就很难删除木马了。

5.木马更名木马服务端程序的命名也有很大的学问。

如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。

例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗?木马的种类1、破坏型惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

Word文档窃取木马的方法
有一些文档属于私密的文件，但是还会被一些黑客偷走，大多数都是用免杀远程控制，或者其他的后门木马来获取。

本章将为大家介绍一款Word文档窃取木马的开发思路，让大家也来了解一下如何窃取Word文档。

不过请大家不要做违法的事情，否则后果自负哦！
一、原理分析
为了更简单的开发这款Word文档窃取木马，我们只获取电脑开始菜单内的“我最近打开的文档”。

首先木马先获取C:\Documents and Settings\用户\Recent\内的最近打开的文件，然后进行排除，把非Word文件全部排除出去，然后全部复制到木马建立的一个文件夹内，最后进行FTP上传。

有些人就问了，为什么要把全部Word文档复制到一个木马新建的文件夹内呢？这样做的话会保证木马FTP上传更加稳定一些。

不会因为文件夹名称的怪异或者空格较多导致无法FTP上传。

这一点也是危险漫步本人没有解决的，如果有朋友解决了这一点，请告知我。

二、Word文件窃取术马编译
首先放置木马所需的控件。

这里我们需要Listbox、Textbox、
Inct各一个。

Listbox显示“我最近打开的文档”，T extbox显亏文档的名称，Inet控制FTP上传。

在Form中，我们添加以下代码：
序。