《黑客》深度学习《木马程序原理和实现》 黑客基础书
1. 病毒是一种恶意程序,它们在受感染的软件运行时向计算机软件添加代码,修改程序的工作方式,从而获得计算机的控制权。
2、木马是指未经用户同意,执行未经授权的操作的恶意程序。它们可能会删除硬盘上的数据、瘫痪系统、窃取用户信息等。木马程序不能独立侵入计算机,而是依靠黑客进行传播。它们通常伪装成“正常”软件进行分发。
3、它们最大的区别是病毒具有传染性,而木马一般不具有传染性。另外,病毒入侵后会立即感觉到,而木马则希望它入侵后你感觉不到,这样才能帮助它“发挥作用”。
好了,既然大家都了解了木马和病毒的区别,那么今天我们就进入正题,讲解一下‘木马程序的原理及实现’!
一、 木马程序简介
1.木马的起源和定义
起源:
我先给大家讲一个故事。故事发生在三千多年前的古希腊。特洛伊王子帕里斯爱上了斯巴达国王的妻子海伦。王子带着她回到了特洛伊古城。这时,斯巴达国王非常生气。他找到了他的兄弟迈锡尼国王阿伽门农,并向他寻求帮助。阿伽门农也想征服特洛伊,于是他趁此机会建立希腊联军进攻特洛伊古城。那么事情就没有那么简单了。军队围攻特洛伊古城九年,仍未能攻下。第十年,将军奥德修斯想出了一个计划,将一群武士藏在一群巨大木马的肚子里,然后放走他们。城外,大军佯装撤退。特洛伊人以为敌人已经撤退,便打开城门,横扫战场,并将敌人留下的木马作为战利品带入城内。他们一直喝啊喝。入夜,全城军民都睡了,躲在木马里的武士跳了出来,打开城门,到处放火。城外的士兵蜂拥而至,部队相互配合,攻克了特洛伊城。后人称这种大木马为“特洛伊木马”。后来,人们在写文章时,常常把“特洛伊木马”比喻为埋伏在敌营内的活动。
基本定义:入侵者编写程序侵入他人的计算机并控制和破坏它们。这称为“特洛伊木马程序”。特洛伊木马有点类似于计算机网络中经常使用的远程控制软件,但由于远程控制软件是一种“善意”的控制,因此通常是不可隐藏的; “特洛伊木马”则恰恰相反。特洛伊木马的目的是“窃取”性遥控,如果隐蔽性不高,就“一文不值”。
2、木马的主要特征
(1)伪装:木马总是把自己伪装成其他程序来迷惑管理员。
(2) 延迟性:木马可以默默地打开端口并等待外部连接。
(3)隐蔽性:木马的运行是隐蔽的,即使使用任务管理器也看不到。
(4)自动运行:系统启动时自动运行。
3. 入侵者使用的木马有哪些?
(1) 入侵
当基于认证和漏洞的入侵无法进行时,就需要考虑木马入侵。
(2)留后门
由于木马连接不需要系统认证,隐蔽性很好,为了日后控制远程主机,可以植入木马留下后门。
二、 木马的工作原理
1. 基本原理
木马是一种基于远程控制的黑客工具。一般来说,木马程序包括客户端和服务器两部分。
其中,客户端运行在入侵者的操作系统上,是入侵者控制目标主机的平台;服务器运行在目标主机上,是受控平台。一般情况下,服务器文件会被发送到目标主机。
木马主要依靠电子邮件附件、软件下载、淫秽图片、通讯软件等渠道进行传播。然后,木马利用一定的提示,诱导目标主机运行木马的服务器程序,从而实现木马的植入。
例如:入侵者冒充目标主机用户的朋友,发送捆绑木马的电子贺卡。当目标主机打开贺卡时,虽然屏幕上会出现贺卡画面,但木马服务器程序已经在后台运行。
木马的大小非常小,大多数为几KB到几十KB。
目标主机执行服务器程序后,入侵者可以通过客户端程序与目标主机的服务器建立连接,从而控制目标主机。
关于通信协议的选择,大多数木马使用TCP/IP协议,但也有木马使用UDP协议。
木马的服务器程序会尽可能隐藏自己的行踪,同时监听特定端口并等待客户端的连接。另外,为了在每次计算机重新启动后能够正常运行,服务器程序还需要修改注册表等方法。实现自启动功能。
2、关键技术
(1)隐藏技术
1)程序隐藏
特洛伊木马程序可以使用程序捆绑将自己与普通的exe 文件捆绑在一起。双击运行捆绑程序时,会运行普通的exe文件。程序隐藏只能达到表面上无法识别木马程序的目的,但通过任务管理器可以发现木马程序的踪迹,这就需要木马程序实现进程隐藏。
2)进程隐藏
隐藏木马程序的进程显示可以防止用户通过任务管理器查看木马程序的进程,从而提高了木马程序的隐蔽性。主要有两种类型:
API拦截是一种进程伪隐藏方法。它利用Hook技术来监听和拦截系统中某些程序对进程显示的API函数调用,然后修改函数返回的进程信息,将自身从结果中删除,导致任务管理器等工具无法识别显示它。特洛伊木马进程。
远程线程注入是一种真正的进程隐藏方法。主要利用CreateRemoteThread函数在某个目标进程中创建远程线程,共享目标进程的地址空间,并获取目标进程的相关权限,从而修改目标进程的内部数据并启动DLL木马。
3)通信隐藏
通过通信连接状态可以发现木马程序的踪迹。因此,隐藏木马程序的通信是很有必要的。主要有两种方式:
端口复用技术可以让木马服务器程序共享其他网络程序打开的端口与客户端连接,从而防止端口被重新打开,减少隐蔽性。关键是木马程序应该添加数据包传输判断模块,控制主机对数据包传输的选择。
使用ICMP和HTTP协议,通常网络防火墙和入侵检测系统等安全设备只检查ICMP消息的报头,而不处理数据部分。因此,木马程序的通信数据可以隐藏在ICMP报文格式的选项数据字段中进行传输。例如,服务器程序向客户端程序发送的数据被伪装成回显请求消息,而客户端程序向服务器程序发送的数据被伪装成回显响应消息。这样就可以通过PING\PINGRESPONSE在木马服务器程序和客户端程序之间建立一条高效的秘密会话通道。使用ICMP协议传输数据的另一大优点是ICMP是IP层协议,传输数据时不使用任何端口,从而提供了更好的隐蔽性。
(2)木马自启动技术
自启动功能是必不可少的。自启动可以保证木马不会因为用户的关机操作而完全丧失功能。以下是一些常用的方法。
1)在Win.ini中启动
Win.ini文件的[Windows]字段中有启动命令'load='和'run='。默认情况下,“=”后跟一个空格。这两项是系统启动时自动加载运行的程序。如果木马程序被加载到这两项中,那么它会在系统启动后自动加载并运行。
2)在System.ini中启动
System.ini文件中[boot]字段中的Shell=Explorer.exe是木马常用的隐藏加载处。木马最常见的伎俩是将“Explorer.exe”更改为自己的程序名称。该名称伪装成与Explorer.exe 几乎相同,只是将“Explorer”的字母“l”稍微更改为数字“1”,或者将“o”更改为数字“0”。如果不仔细注意的话,这些变化是很难察觉的。或者在shell=Explorer.exe后面添加木马程序的路径,如:shell=Explorer.exesample.exe,其中sample.exe为木马服务器程序。
3)通过启动小组实现自启动
启动组是专门用来实现应用程序自启动的地方。启动组文件夹的位置是“C:\Documents and Settings\All Users\Start Menu\Programs\Startup”。
【注:“所有用户”对所有用户有效】
4)通过注册表启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
5)修改文件关联
修改文件关联是木马常用的方法。
例如:一般情况下,txt文件的打开方式是notepad.exe文件,但一旦中了文件关联木马,txt文件的打开方式就会被修改为用木马程序打开。比如国内著名的木马冰川就是这种情况。
6) 捆绑文件
入侵者可以利用一些黑客软件,比如著名的Deception Binder来完成文件的捆绑,然后将这些捆绑的文件放置在网站、FTP、BT等资源下载场所。当用户下载并执行捆绑文件时,木马就会同时启动。服务器程序。
(3)木马植入技术
1)图标伪装
为了迷惑用户,黑客将木马服务器程序的图标替换为一些常见文件类型的图标。
2)文件捆绑欺骗
文件捆绑是利用文件捆绑器将木马服务器与正常文件捆绑在一起,欺骗对方运行捆绑的木马程序。
例如,将木马服务器与某个游戏或Flash文件捆绑成一个文件,通过QQ或电子邮件发送给受害者。当受害者对这款游戏或Flash感兴趣,将其下载到机器上,并打开文件时,木马程序就会悄悄运行。
3) 定制端口
许多老式木马端口都已修复。只需检查具体端口即可知道感染的是哪种木马。现在很多新木马都增加了自定义端口的功能。控制用户可以选择1024到65535之间的端口作为木马端口。一般不选择1024以下的端口,这样很难判断被感染木马的类型。麻烦。
4) 扩展欺骗
例如,镜像文件的扩展名不能是.exe,木马程序的扩展名必须是.exe。大多数用户在看到扩展名为“.exe”的文件时会非常小心。于是设计者对文件名做了一些修改,比如将‘picture.tiff’改为‘picture.tiff.exe’,因为Windows默认不显示扩展名,所以用户只能看到‘picture.tiff’,它很容易将其作为图像文件启动。
三、 木马的演变与种类
1.木马的演变
从特洛伊木马的发展来看,特洛伊木马分为五代。
1)第一代木马
第一代木马的功能非常简单,典型的有backorifice(缩写:BO)、netSpy等,但这些木马早已退出历史舞台。
2)第二代木马
提供几乎所有可能的远程控制操作。国内最具代表性的就是《冰川木马》和《广州外语姑娘》。
3)第三代木马
连接和文件传输技术不断完善,增加了木马穿透防火墙的功能,出现了“反弹端口”技术,如国内的灰鸽子木马软件。
4)第四代木马
采用远程线程插入技术,将木马线程插入到DLL线程中,使系统更难发现木马的存在以及入侵的连接方式。
5)第五代木马
与第四代木马相比,其功能更加全面。而且,应用DLL技术后,目标主机中不会生成新的文件。
2. 木马类型
1)破坏型
破坏删除文件,自动删除电脑上的DLL、EXE等文件,达到瘫痪被感染电脑的目的。
2) 密码发送类型
密码发送特洛伊木马是专门为窃取受感染计算机上的密码而编写的。一旦执行,木马会自动搜索内存、Cache、临时文件夹以及各种敏感密码文件。一旦找到有用的文件Password,木马就会使用免费的电子邮件服务将密码发送到指定的邮箱。为了达到获取密码的目的,这些木马大多使用25端口发送E-mail。
3)远程访问类型
远程访问木马程序一般包括客户端程序和服务器程序。服务器程序在目标主机上执行后,只要用户知道目标主机的IP地址或主机名,就可以连接到目标主机。连接成功后,用户可以通过客户端程序提供的远程操作功能来实现对目标主机的监控和控制。
著名的冰川木马是一个远程访问木马。
4) 键盘记录木马
记录目标主机用户的键盘操作,并将键盘操作记录到文件中。入侵者可以获取这些文件并获取文件中的密码等有用信息。
对于此类木马来说,邮件发送功能也是必不可少的。
5)Dos攻击木马
Dos的全称是拒绝服务。它故意攻击网络协议的缺陷或通过某种手段直接耗尽被攻击对象的资源,其目的是使目标计算机或网络无法提供正常的服务或资源访问,导致目标系统服务停止响应,甚至碰撞。
当黑客入侵计算机并植入DOS攻击木马后,计算机将成为黑客今后进行DOS攻击最得力的帮手。黑客控制的计算机越多,DOS 攻击成功的可能性就越大。因此,该木马的危害并不体现在被感染的计算机上,而是体现在攻击者可以利用它来攻击网络上的其他计算机。电脑。
全名是()。多个攻击源共同攻击某台服务器,形成DDOS攻击。
6)代理木马
在受控的肉鸡身上植入代理木马,将其变成入侵者发起攻击的跳板,是代理木马最重要的任务。通过代理木马,入侵者可以匿名使用Telnet等程序来隐藏自己的踪迹。
7)FTP木马
该木马可能是最简单、最古老的木马。它唯一的功能就是打开21端口并等待用户连接。现在新的FTP木马还增加了密码功能,这样只有攻击者本人知道进入对方计算机的正确密码。
8)程序杀手木马
常见的木马查杀软件有瑞星、诺顿杀毒、木马清除大师等。程序杀手木马的作用是关闭目标机器上运行的木马查杀程序,以便木马更好地发挥作用。
9)跳出端口木马
木马开发者在分析防火墙的特性后发现,防火墙往往对传入的链接进行非常严格的过滤,但对传出的链接却无法防范。
因此,与普通木马不同的是,反弹端口木马在服务器端(受控端)使用主动端口,在客户端(控制端)使用被动端口。
该木马定期监听客户端(控制端)是否存在,当发现客户端(控制端)上线时,立即主动连接控制端开放的主动端口;
为了隐蔽,客户端(控制端)的被动端口一般设置为80(浏览网页必须打开的端口)。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026 ControllerIP:80 ESTABLISHED。不明真相的用户会以为自己正在浏览网页,而防火墙一般不会禁止用户连接80端口。
主流木马:
四、 木马程序的实现
1.木马关键技术实现(附源码)
1)木马程序隐藏技术
通过注册服务程序实现进程伪隐藏的方法:
WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int) { try { DWORD dwVersion=GetVersion();//获取Windows 版本号if (dwVersion=0x80000000) //Windows 9x 隐藏任务列表{ int (CALLBACK *rsp)(DWORD ,双字); HINSTANCE dll=LoadLibrary('KERNEL32.DLL');//加载KERNEL32.DLL rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,'RegisterServiceProcess');//查找RegisterServiceProcess条目rsp(NULL, 1);//注册服务FreeLibrary(dll);//释放DLL模块} } catch (Exception异常)//处理异常事件{ //处理异常事件} return 0;} 2) 程序自启动运行技术
显示通过修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run键值实现自启动的程序:
HKEY hkey;AnsiString NewProgramName=AnsiString(sys)+AnsiString('+PName/'//')+PNameunsigned long k;k=REG_OPENED_EXISTING_KEY;RegCreateKeyEx(HKEY_LOCAL_MACHINE,'SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN//',0L,NULL,REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS|KEY_SET_VALUE,NULL,hkey,k);RegSetValueEx(hkey,'BackGroup',0,REG_SZ,NewProgramName.c_str(),NewProgramName.Length());RegCloseKey(hkey); if (int(ShellExecute(Handle,'open',NewProgramName.c_str(),NULL,NULL,SW_HIDE))32){WantClose=true;Close();}else{HKEY hkey;unsigned long k;k=REG_OPENED_EXISTING_KEY; long a=RegCreateKeyEx(HKEY_LOCAL_MACHINE,'SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN',0,NULL,REG_OPTION_NON_VOLATILE,KEY_SET_VALUE,NULL,hkey,k);RegSetValueEx(hkey,'BackGroup',0,REG_SZ, ProgramName.c_str(),ProgramName.Length());int num=0;char str[20];DWORD lth=20;DWORD 类型;char strv[255];DWORD vl=254;DWORD Suc;do{Suc=RegEnumValue(HKEY_LOCAL_MACHINE,(DWORD)num,str,NULL,type,strv,vl);if (strcmp(str,'BGroup')==0){DeleteFile(AnsiString(strv));RegDeleteValue(HKEY_LOCAL_MACHINE,'BGroup' );break;}}while(Suc==ERROR_SUCCESS);RegCloseKey(hkey);}2. WINSOCK编程完成简单的‘木马程序’实现(附源码)
使用异步SOCKET方式直接调用WINSOCK API和WIN SDK编写的木马(在VC和C++ BUILDER下编译并调试通过)。不需要客户。编译后只需要几十KB。实现了文件浏览、上传等主要功能。下载(均支持通配符)、更改目录、获取系统信息、从CACHE获取密码、执行文件、显示进程、发送消息、关闭以及一些控制功能。
灰鸽子简介:灰鸽子是国内知名的后门程序。与前辈冰川、黑洞相比,灰鸽子可以说是国内后门的集大成者。其丰富强大的功能、灵活的操作、良好的隐蔽性让其他后门相形见绌。客户端操作简单方便,让初学者也能成为黑客。如果合法使用,Gray Dove 是一款优秀的远程控制软件。但如果你用它来做一些非法的事情,灰鸽子就会成为一个非常强大的黑客工具。
方法如下:
首先在电脑上安装灰鸽子,然后进入其主页
接下来我们点击自动上线。 FTP服务器是您的FTP空间的地址。
往下点击配置服务程序。首先点击自动上网设置。在IP 通知中,添加HTTP 中的FTP 访问地址以及放置IP 文件的地址。
最后我们需要成功配置服务器
这时候你只需要让别人运行你生成的木马,这样就会上线如下图
如果您设置了密码,请输入连接密码。
五、 如何给易被查杀的木马"加壳"
大家都知道,现在的查毒软件可以很容易地查杀已知的木马程序,所以当你好不容易制作的木马传播开来时,很容易被客户端查杀。这时,我们就需要利用加壳技术给木马套上“外壳”,防止其被查杀。
1.什么是包装?
加壳:是通过一系列数学运算改变可执行程序文件(EXE)或动态链接库文件(DLL)的编码方式(目前加壳软件还可以压缩、加密),以达到减小文件大小或目的的目的。加密程序编码。运行加壳的程序时,首先执行shell程序,然后shell程序负责将用户的原始程序在内存中解压,解压后将控制权返回给真实的程序。
常见的压缩壳有‘UPX’、‘北斗程序压缩’、‘ASPack’等,加密壳有‘PE-Armor’、‘ASProtect’等。
2、使用ASPack对木马进行加壳,防止其被检测并查杀:
步骤1:下载并运行ASPack2.28软件,打开ASPack 2.28主窗口,如图1-69所示。在“选项”选项卡中,勾选“压缩资源”、“加载后立即运行”、“使用Windows DLL加载器”等选项,如下图所示:
第二步:选择“打开文件”选项卡,单击“打开”按钮,打开“选择要压缩的文件”对话框,可以在其中选择需要打包的文件,如下图所示。
第三步:点击“打开”按钮开始压缩,如下图所示。在“压缩”选项卡中,您可以进行压缩和测试操作,完成后生成打包文件。
使用方法比较简单,大家可以自己测试一下效果!
六、如何识别并查杀木马程序
鉴别方法:
1.检查网络连接
由于很多木马会主动监听端口或者连接特定的IP和端口,所以当没有正常程序连接网络时,我们可以通过检查网络连通性来发现木马的存在。
具体步骤是点击“开始”“运行”“cmd”,然后输入netstat -an。此命令可以查看连接到您的计算机的所有IP 以及您的计算机正在侦听的端口。它包含四部分:——proto(连接方式)、本地地址(本地连接地址)、外部地址(与本地建立连接的地址)、状态(当前端口状态)。通过该命令的详细信息,我们可以完整监控计算机的网络连接情况。
2.查看当前运行的服务
服务是许多木马用来让自己在系统中永远运行的方法之一。我们可以点击“开始”“运行”“cmd”然后输入“net start”来查看系统中开启了哪些服务。如果我们发现不是自己开启的服务,我们可以进入“服务”管理工具“服务”,找到对应的服务,停止并禁用它。
3.检查系统启动项
由于注册表对于普通用户来说比较复杂,木马往往喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”“运行”“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion下所有以'run'开头的键值; HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion 下所有以'run' 开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐藏的地方。打开这个文件,查看文件的[boot]字段中是否有shell=Explorer.exe file.exe之类的内容。如果有这样的内容,那么这里的file.exe就是木马程序!
4.查看系统账户
恶意攻击者喜欢在您的计算机上拥有帐户来控制您的计算机。他们采用的方法是激活系统中的一个默认帐户,但这个帐户很少使用,然后将该帐户的权限升级为管理员权限。这个账户将是系统中最大的安全风险。恶意攻击者可以使用此帐户获得对您的计算机的任意控制。此时,可以通过以下方法来检测账号。
点击“开始”; '运行''cmd',然后在命令行输入net user,查看电脑上有哪些用户,然后使用'net user username'查看这个用户有什么权限,一般除了Administrator。管理员组,其他不要
该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用"net user用户名/del"来删掉这个用户吧! 5、利用系统进程识别木马 任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。 木马常利用的系统进程有:svchost.exe、explorer.exe、iexplore.exe、winLOGOn.exe等进程。 (1)svchost.exe 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。 我们可以打开"控制面板"→"治理工具"→服务,双击其中"ClipBook"服务,在其属性面板中可以发现对应的可执行文件路径为"C:\WINDOWS\system32\clipsrv.exe"。再双击"Alerter"服务,可以发现其可执行文件路径为"C:\WINDOWS\system32\svchost.exe -k LocalService",而"Server"服务的可执行文件路径为"C:\WINDOWS\system32\svchost.exe -k netsvcs"。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。假如svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程治理工具,例如Windows优化大师的进程治理功能,查看svchost.exe的可执行文件路径,假如在"C:\WINDOWS\system32"目录外,那么就可以判定是病毒了。 (2)explorer.exe 常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的"资源治理器"。假如在"任务治理器"中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击"任务治理器"→"文件"→"新建任务",输入"explorer.exe"后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们治理计算机中的资源。 explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为"C:\Windows"目录,除此之外则为病毒。 (3)iexplore.exe 常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较轻易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较轻易了,iexplorer.exe进程名的开头为"ie",就是IE浏览器的意思。 iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况: 1) 病毒假冒iexplore.exe进程名。 2) 病毒偷偷在后台通过iexplore.exe干坏事。 (4)rundll32.exe 常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在"命令提示符"中输入"rundll32.exe user32.dll,LockWorkStation",回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为"C:\Windows\system32",在别的目录则可以判定是病毒。 (5)spoolsv.exe 常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务"Print Spooler"所对应的可执行程序,其作用是治理所有本地和网络打印队列及控制所有打印工作。假如此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。假如你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,假如系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。 查杀方法: 手工查杀: 1、运行任务管理器,杀掉木马进程。 2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。 3、删除上述可疑键在硬盘中的执行文件。 5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。 利用工具查杀: 查杀木马好用的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,利用这些工具绝大多数的已知木马都可以查杀掉。