木马防火墙木马_360木马防火墙模块

2024-08-25 08:13:02

1.木马是什么意思?

2.防火墙能阻止木马程序的攻击吗？

3.防火墙可以挡住木马入侵吗?

4.我想知道什么是木马木马都是么具体一些谢谢

5.为什么杀毒软件提示没毒木马防火墙却说有木马

6.防火墙可以放木马吗？

木马防火墙木马_360木马防火墙模块

trojan.generic是启动后会从体内部分释放出文件，会将程序和正常的应用程序捆绑成一个程序，释放出程序和正常的程序，用正常的程序来掩盖。

Trojan.Generic木马对抗安全软件能力非常强大，不仅能结束安全软件并删除部分杀毒软件服务，还能够关闭系统的安全中心，在把安全软件关闭后，这样安全中心也就不会对用户进行提示了。

扩展资料

1、Trojan.Generic原理

Trojan.Generic是通过联网下载列表，而且数量较多，修改HOST文件，屏蔽其他网页地址。该为了阻止用户使用还原类软件重启清楚该，对系统的USERINIT.EXE进行修改。

2、杀毒方法

可以使用专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理。用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。

然后设法找到程序文件（主要是你所中止的进程文件，另外先在管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件。

百度百科—trojan.generic

木马是什么意思?

通俗说

杀毒软件就是杀，木马等

防火墙则是控制互联网和电脑的联通，管理。

木马专杀是有些特定的木马，杀毒软件无法彻底有效的清除而对该木马特别编写的程序

建议不要用360.杀毒软件还是要用收费的

国产的推荐东方微点和金山

国外推荐eset

nod32

防火墙能阻止木马程序的攻击吗？

分类: 电脑/网络 >> 反

解析:

什么是木马？

木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听（Listen），如果有客户机向服务器的这一端口提出连接请求（Connect Request），服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

8.51.2 怎样在注册表中发现木马？

多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具 *** 置在：

l HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。

l HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值。

l HKEY_USERS\.Default\Sofare\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。

如木马冰河的启动键值是：

[HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows\CurrentVersion\Run] @="C:\\Windows\\SYSTEM\\KERNEL32.EXE"

广外女生1.51版的启动键值是：

[HKEY_LOCAL_MACHINE\Sofare\

Microsoft\Windows\CurrentVersion\RunServices]

"Diagnostic Configuration"="

C:\\Windows\\SYSTEM\\DICFG.EXE"

蓝色火焰0.5的启动键值是：

[HKEY_LOCAL_MACHINE\Sofare\

Microsoft\Windows\CurrentVersion\Run]

"Neork Services"="

C:\\Windows\\SYSTEM\\tasksvc.exe"

8.51.3 怎样在一些重要文件中查找木马？

1．在Win.ini中启动

在Win.ini的[Windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，就要小心了。

2．在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样：shell=Explorer.exe window.exe，注意这里的window.exe就是木马程序。另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

3．在Autoexec.bat和Config.sys中加载运行

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。

4．在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及 Windows自动生成，在执行了Win并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

5．应用*.INI文件

即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

8.51.4 怎样查找其他方式加载的木马？

1．启动组

木马隐藏在启动组中虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:\Windows\ Start Menu\Programs\StartUp，在注册表中的位置：HKEY_CURRENT_USER\Sofare\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders Startup

="C:\Windows\start menu\programs\startup"。

2．修改文件关联

修改文件关联是木马常用手段（主要是国产木马，国外的木马大都没有这个功能），比方说正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则TXT文件打开方式就会被修改为用木马程序打开，如著名的国产木马“冰河”就是这样做的。“冰河”通过修改HKEY_CLASSES_ROOT\txtfile \shell\open\mand下的键值，将“C:\Windows\ Notepad.exe %1”改为“C:\Windows\System\ SYSEXPLR.EXE %1”，这样一旦想打开一个TXT文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\ mand主键，查看其键值是否正常。

3．捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。如果绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行的，通过按Ctrl+Alt+ Del组合键是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了（提示正在被使用）那就应该注意了。

8.51.5 怎样手工清除木马？

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在机器里面，此时就应该想办法清除。

那么如何清除木马而不误删其他有用文件呢？当通过上述方法找到可疑程序时，可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年而不应该是最近的时间（安装最新的Windows 2000、Windows XP的系统除外），文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那可能就有问题了。

首先查进程，检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉后，然后再看看原来怀疑的端口有没有开放（有时需重启），如果没有了那说明正确，再把该程序删掉，这样就手工删除了这匹木马了。

如果该木马改变了TXT、EXE或ZIP等文件的关联，应把注册表改过来，如果不会改，那就把注册表改回到以前的姿态，也可以恢复文件关联，可通过在DOS下执行 scanreg/restore命令来恢复注册表，不过这条命令只能恢复前五天的注册表（这是系统默认的）。此举可轻松恢复被木马改变的注册表键值，简单易用。

8.51.6 怎样通过网络连接和进程来发现木马？

1．通过网络连接

由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。

一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“stat -a”，“-a”用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

2．通过系统进程

木马即使再狡猾，它也是一个活动着的应用程序，一经运行，它就时刻驻留在电脑系统的内存中，通过查看系统进程可发现可疑进程，并以此来推断木马的存在。

在Windows 2000/XP中按下Ctl+Alt+Del组合键，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Windows 98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用，下面是比较著名的两款工具，一个是Prcview，它非常小巧，不到90KB，功能却很强大，它是一个免费的绿色软件，下载地址为：ln.sky/down/PrcView.zip；另外一款工具名为winproc，功能也比较齐全，下载地点为：apchwin。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着。

8.51.7 怎样使用软件杀木马？

1．常用的杀工具软件

木马从某种意义上来说也是一种，我们常用的防护软件也都可以实现对木马的查杀，这些防护软件包括KV3000、Kill3000、瑞星等，这类软件查杀其他很有效，对木马的检查也比较成功，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载。总的说来，杀软件作为防止木马的入侵来说更有效。

2．常用的网络防火墙软件

现在的网络防火墙软件比较多，常见的如国外的Lockdown，国内的天网、金山网镖等。以“天网防火墙个人版”为例，防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。

利用防火墙来实现对木马的查杀，只能检测发现木马并加以预防攻击，但不能彻底清除它。

3．专用的木马查杀软件

我们对木马不能只用防范手段，还要将其斩草除根、彻底地清除，专用的木马查杀软件一般都带有这些特性，这类软件目前也比较多，比如：The Cleaner、木马克星、木马终结者等。

8.51.8 怎样预防木马？

随着网络的普及，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意取措施来预防它，下面列举几种预防木马的方法。

1．不要执行任何来历不明的软件

很多木马都是通过绑定在其他的软件中来实现传播的，一旦运行了这个被绑定的软件就会被感染，因此在下载软件的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒后再使用。

2．不要随意打开邮件附件

现在绝大部分木马都是通过邮件来传递的，而且有的还会连环扩散，因此对邮件附件的运行尤其需要注意。

3．重新选择新的客户端软件

很多木马主要感染的是Microsoft的OutLook和OutLook Express的邮件客户端软件，因为这两款软件全球使用量最大，黑客们对它们的漏洞已经洞察得比较透彻。如果选用其他的邮件软件，例如Foxmail等，收到木马攻击的可能性就将减小，至少不会反复感染给通信录中的好友。此外也可以直接通过Web方式来访问信箱，这样就能大大降低木马的感染概率。

4．将管理器配置成始终显示扩展名

将Windows管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

5．尽量少用共享文件夹

如果因工作等原因必须将电脑设置成共享，则最好单独设置一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

6．运行反木马实时监控程序

木马防范重要的一点就是在上网时最好运行反木马实时监控程序，The Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

7．经常升级系统

很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

防火墙可以挡住木马入侵吗?

防火墙不能防止木马攻击。因为防火墙只针对外网访问内网。或者说A主机访问B主机，如果A主机被允许进入B主机那么A主机向B主机传输一个被种过木马的文件，防火墙会检索，发现是A主机发送的，可以信任允许通过。B接受到之后，只要运行这个文件依然会“种招”所以最好安装一个实时监控的杀毒软件。例如瑞星卡巴

我想知道什么是木马木马都是么具体一些谢谢

看你的是版还是正版了！

正版的一半绝对不会的

版的则诸多漏洞，容易入侵！

正版的要钱的~~一版5000元左右

版的就是免费的！

回答者：邂逅人心 - 秀才二级 12-2 10:05

============================================

你懂不懂啊？不懂就别瞎说！！！！！

妈的，还正版版呢，说这话你丢人不丢人啊？

我不知道提问者对木马的认识是什么程度

如果你所说的木马是指纯粹的木马软件的话，那我可以告诉你，挡不住。

因为防火墙你可以理解成对外的墙，他阻隔的是外面来的攻击信息和本机发出的不明的连接

而现在的木马大都使用的是反弹连接一类的

木马们会把自己的连接伪装成正规的系统对外连接，所以防火墙并不会拦截。就象间谍一样。呵呵~不知道我这么说你能不能理解？

建议同时使用防火墙和杀毒软件。这样可以确保你大部分时间是安全的

其实说实话，防火墙和杀毒软件，只对初级或者说水平不高的所谓黑客有效果

如果是真正的高手，黑你很容易。但是你的机器没有钱又不是服务器，还不是固定IP的，高手黑了你也没什么用。而一般水平的选手，又黑不进来

所以你只要安全防火墙和杀毒软件，并正确设置，那么你就可以高枕无忧了。

如果你得罪了黑客高手，被黑了。那只能说你倒霉了。呵呵

为什么杀毒软件提示没毒木马防火墙却说有木马

木马实际上是一种远程控制软件，国外叫特洛依，名字的来源是由于古代攻城的时候，由埋伏在城里的“特洛依”，国外的叫法，应该是伪装的起来的兵士，接应城外的军队攻克城堡。所以“木马”一词应该含有“隐蔽”和“接应”的意思。

国外比较有名的木马是前几年流行的“冰河”，这是一个比较优秀的国产木马。现在木马有很多种，象“广外幽灵”，“蓝色火焰”，“网络神偷”等，最近又新出一个比较优秀的国产木马程序－“灰鸽子”。

木马的神奇之处在于其隐蔽性和强大的网络通讯功能。在现在，很多木马已经变成了的一种，成为各种杀毒软件追杀的对象。不过这只限于那些知道的木马，又很多未知或新出的木马程序一时还查杀不了。

木马是一种运行在计算机中的程序，一个木马程序通常由两部分组成：客户端和服务端。服务端是运行在被控制计算机上的程序，通常做得很小而且很隐蔽，以的形式存在，开机的时候可以自动随计算机启动，没有专门的查杀软件或者不经过细致的分析很难查杀。而客户端则是安装在控制方使用机器上的一个程序，通常都做成图形界面，这样，在安装了客户端的机器上就可以操纵安装了服务端的机器（或者称中了木马的机器），象查看对方的屏幕，窃取对方的密码，让对方死机等等，总之，凡是程序可以达到的功能，木马都可以做到，这就是所谓的远程控制，即用一台机器控制另外一台机器，只要这两台机器可以互相访问。

木马的传输协议一般用TCP/IP通讯协议，象常用的QQ通讯软件，也是用该协议，还有用UDP协议的。

木马一般都是很隐蔽的，现在的木马功能越来越强，而且不容易发现，中了木马的机器是很危险的，因为你很有可能已经被另外一个人操纵了你的机器，这样你的密码等机密就可能泄漏。

对付木马比较有效的办法是安装防火墙，但防火墙也不安全，因为有些木马已经有针对性地破坏防火墙的某些功能，可以穿过防火墙和外界发生连接。

很多电脑初学者被人装了木马程序也不知道，所以，安全问题是最重要的，除了用杀毒软件查杀外，还要平时留心一点，这样能更有效的保护你的信息不致泄漏。

它可以远程控制，可以匿名控制远程计算机，窃取数据

例如"神速木马"( Trojan.Mumu )它可以**“奇迹”和“”账号的密码的木马。

该运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解（带有一个简单密码字典）

当发现有破解出的密码后，将自己复制到对方的系统利用pec并启动。还将**到的账

号密码发送到上指定的信箱。

手动清除方法：

先用任务管理器杀死last.exe进程和mumu.exe进程。

注册表清除：

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Folder Service

键值为：qjinfo.exe

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kernel

键值为：%winDir%bboy.exe

文件清除：

%windir%bboy.exe

%systemdir%last.exe

%systemdir%bboy.dll hook函数（盗密码）

%systemdir%mumu.exe

%systemdir%qjinfo.ini 记录下的游戏账号密码

瑞星建议

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些知识。这样您就可以及时发现新并取相应措施，在关键时刻使自己的计算机免受破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全

还有"QQ木马"( Trojan.Pwd.Oicq.c )这是一个盗窃oicq密码的木马。将自己拷贝到系统目录，命名为SCANREGW.EXE，并登记为自启动，随windows启动而运行。挂结钩子，不停的取得窗口标题，如果和oicq相关，记录oicq密码。还会提示用户：://18x.net.tf去看看我的照片。

也有比较常见的特洛伊木马 (Zelu特洛伊木马)Zelu特洛伊木马是以一个名为Y2K.EXE的可执行文件进入计算机系统。发作后，它会遍历所有驱动器记录的文

件，并用以下信息覆盖所有文件：

" This file is sick! It was contaminated by the radiation liberated...

by the explosion of the atomic bomb... "。

随着受破坏的文件被覆盖，这些文件的内容将不能再恢复且永远丢失。

现象：

当此特洛伊木马执行后，它将显示如下字符："ChipTec Y2K - Freeware Version"，同时屏幕中心显示如下状态信息：

- Timer

- Device Drivers

- File System

- BIOS

屏幕底部显示以下内容：