本文目录一览：

• 1、木马程序
• 2、服务器被肉鸡如何解决
• 3、系统命令
• 4、问有关“运行”里的知识
• 5、黑客是什么？木马程序是什么？

木马程序

木马程序是指潜伏在电脑中，受外部用户控制以窃取本机信息或者控制权的程序。

危害

危害本机信息安全：木马程序多数有恶意企图，例如盗取QQ帐号、游戏帐号甚至银行帐号，将本机作为工具来攻击其他设备等

占用系统资源，降低电脑效能

查杀

一般使用专门的木马查杀工具来杀除，例如木马克星、ewido、费尔托斯特等软件。

目前的杀毒软件多数也可以查杀大量木马，但在杀除木马方面没有上述软件更专业，因而推荐两者配合使用。

对于最新出现的木马，有时也可以到网络搜寻特定的查杀工具来处理。

[编辑]防范

使用防火墙软件可以有效降低被木马攻击的危险性，例如ZoneAlarm、天网等。

[编辑]木马知识

[编辑]传播方式

通过邮件附件、程序下载等形式传播：不要随意使用来历不明的程序，因为可能被修改过含有木马。

通过伪装网页登录过程，骗取用户信息进而传播木马

通过攻击系统安全漏洞传播木马：大量黑客使用专门的黑客工具来传播木马。

[编辑]表现

出现与系统现有文件类似的文件名或进程名。

运用msinfo32.exe，发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等项中出现不明键值。

有可疑进程访问网络。

有若干Rundll32.exe进程

[编辑]原理

[编辑]木马与其他程序的区别

木马与病毒的区别：木马一般不像电脑病毒一样大量自我繁殖，也并不刻意感染其他程序。病毒程序以大量传播为乐趣，而木马程序以侵入特定电脑并获得权限为目的。

木马与adware（恶意广告软件）的区别：adware是一类特定的木马，受广告发布者控制，在用户电脑上不断弹出广告内容。

木马与远程控制程序的区别：远程控制程序公开、善意地控制其他电脑，以完成某些工作；木马程序则是潜伏的、恶意的程序。

服务器被肉鸡如何解决

一、立即执行

1、更改系统管理员账户的密码，密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合；

2、更改远程登录端口并开启防火墙限制允许登录的IP，防火墙配置只开放特定的服务端口并对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制；

3、检查是否开放了未授权的端口

windows在CMD命令行输入netstat /ano，检查端口；有开放端口的根据PID检查进程，删除对应路径文件（根据PID检查进程步骤：开始--运行--输入“msinfo32” 软件环境--正在运行的任务 ）

linux 输入命令 netstat –anp查看

4、删除系统中未知账户，windows系统还需要检查注册表中的SAM键值是否有隐藏账户；

5、假如有WEB服务的，限制web运行账户对文件系统的访问权限，只开放仅读权限。

二、后期防御

重点操作：开启云盾所有功能，特别是网站安全防御 (自动防御所有WEB攻击)、网站后门检测（实时检测服务器上的后门程序）、主机密码破解防御

操作步骤：登录【云盾控制台】 --【服务设置】 进行开启

处理步骤：(重置系统 -- 手工修改各个密码 -- 开启云盾所有服务 )

1、手工修改密码

密码长度不小于8位并且使用大写字母、小写字母、数字、特殊字符组合

至少包括：

a.服务器登陆密码

b.数据库连接密码

c.网站后台密码

d.FTP密码

e.其他服务器管理软件密码

2、系统加固

a.到云盾控制台开启云盾所有服务，尤其是云盾网站安全防御（可以抵御黑客利用网站应用程序的漏洞入侵服务器，并且有专业的安全团队时刻关注国内安全动态，一旦发现新的漏洞出现，会立刻更新防护规则，防止黑客利用新漏洞入侵网站）

b.建议站长把网站后台隐藏起来，尽量在保证网站正常运行的前提下，把网站后台目录名改的长长的。（比如：/mamashuomingziyaochangheikecaizhaobudao/）

c. windows系统要及时更新系统补丁

系统命令

他的太乱了~看我的吧！

winver---------检查Windows版本

wmimgmt.msc----打开windows管理体系结构(WMI)

wupdmgr--------windows更新程序

wscript--------windows脚本宿主设置

write----------写字板

winmsd---------系统信息

wiaacmgr-------扫描仪和照相机向导

winchat--------XP自带局域网聊天

mem.exe--------显示内存使用情况

Msconfig.exe---系统配置实用程序

mplayer2-------简易widnows media player

mspaint--------画图板

mstsc----------远程桌面连接

mplayer2-------媒体播放机

magnify--------放大镜实用程序

mmc------------打开控制台

mobsync--------同步命令

dxdiag---------检查DirectX信息

drwtsn32------ 系统医生

devmgmt.msc--- 设备管理器

dfrg.msc-------磁盘碎片整理程序

diskmgmt.msc---磁盘管理实用程序

dcomcnfg-------打开系统组件服务

ddeshare-------打开DDE共享设置

dvdplay--------DVD播放器

net stop messenger-----停止信使服务

net start messenger----开始信使服务

notepad--------打开记事本

nslookup-------网络管理的工具向导

ntbackup-------系统备份和还原

narrator-------屏幕“讲述人”

ntmsmgr.msc----移动存储管理器

ntmsoprq.msc---移动存储管理员C作请求

netstat -an----(TC)命令检查接口

syncapp--------创建一个公文包

sysedit--------系统配置编辑器

sigverif-------文件签名验证程序

sndrec32-------录音机

shrpubw--------创建共享文件夹

secpol.msc-----本地安全策略

syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码

services.msc---本地服务设置

Sndvol32-------音量控制程序

sfc.exe--------系统文件检查器

sfc /scannow---windows文件保护

tsshutdn-------60秒倒计时关机命令

tourstart------xp简介（安装完成后出现的漫游xp程序）

taskmgr--------任务管理器

eventvwr-------事件查看器

eudcedit-------造字程序

explorer-------打开资源管理器

packager-------对象包装程序

perfmon.msc----计算机性能监测程序

progman--------程序管理器

regedit.exe----注册表

rsop.msc-------组策略结果集

regedt32-------注册表编辑器

rononce -p ----15秒关机

regsvr32 /u *.dll----停止dll文件运行

regsvr32 /u zipfldr.dll------取消ZIP支持

cmd.exe--------CMD命令提示符

chkdsk.exe-----Chkdsk磁盘检查

certmgr.msc----证书管理实用程序

calc-----------启动计算器

charmap--------启动字符映射表

cliconfg-------SQL SERVER 客户端网络实用程序

Clipbrd--------剪贴板查看器

conf-----------启动netmeeting

compmgmt.msc---计算机管理

cleanmgr-------垃圾整理

ciadv.msc------索引服务程序

osk------------打开屏幕键盘

odbcad32-------ODBC数据源管理器

oobe/msoobe /a----检查XP是否激活

lusrmgr.msc----本机用户和组

logoff---------注销命令

iexpress-------木马捆绑工具，系统自带

Nslookup-------IP地址侦测器

fsmgmt.msc-----共享文件夹管理器

utilman--------辅助工具管理器

gpedit.msc-----组策略

...-----我的电脑

winver 检查Windows版本

wmimgmt.msc 打开Windows管理体系结构(wmi)

wupdmgr Windows更新程序

wscript Windows脚本宿主设置

write 写字板

winmsd 系统信息

wiaacmgr 扫描仪和照相机向导

winchat xp自带局域网聊天

mem.exe 显示内存使用情况

msconfig.exe 系统配置实用程序

mplayer2 简易widnows media player

mspaint 画图板

mstsc 远程桌面连接

mplayer2 媒体播放机

magnify 放大镜实用程序

mmc 打开控制台

mobsync 同步命令

dxdiag 检查directx信息

drwtsn32 系统医生

devmgmt.msc 设备管理器

dfrg.msc 磁盘碎片整理程序

diskmgmt.msc 磁盘管理实用程序

dcomcnfg 打开系统组件服务

ddeshare 打开dde共享设置

dvdplay dvd播放器

net stop messenger 停止信使服务

net start messenger 开始信使服务

notepad 打开记事本

nslookup 网络管理的工具向导

ntbackup 系统备份和还原

narrator 屏幕“讲述人”

ntmsmgr.msc 移动存储管理器

ntmsoprq.msc 移动存储管理员操作请求

netstat -an （tc）命令检查接口

syncapp 创建一个公文包

sysedit 系统配置编辑器

sigverif 文件签名验证程序

sndrec32 录音机

shrpubw 创建共享文件夹

secpol.msc 本地安全策略

syskey 系统加密，一旦加密就不能解开，保护Windows xp系统的双重密码

services.msc 本地服务设置

sndvol32 音量控制程序

sfc.exe 系统文件检查器

sfc /scannow windows文件保护 tsshutdn 60秒倒计时关机命令

tourstart xp简介（安装完成后出现的漫游xp程序）

taskmgr 任务管理器

eventvwr 事件查看器

eudcedit 造字程序

explorer 打开资源管理器

packager 对象包装程序

perfmon.msc 计算机性能监测程序

progman 程序管理器

regedit.exe 注册表

rsop.msc 组策略结果集

regedt32 注册表编辑器

rononce -p 15秒关机

regsvr32 /u *.dll 停止dll文件运行

regsvr32 /u zipfldr.dll 取消zip支持

cmd.exe cmd命令提示符

chkdsk.exe chkdsk磁盘检查

certmgr.msc 证书管理实用程序

calc 启动计算器

charmap 启动字符映射表

cliconfg sql server 客户端网络实用程序

clipbrd 剪贴板查看器

conf 启动netmeeting

compmgmt.msc 计算机管理

cleanmgr 垃圾整理

ciadv.msc 索引服务程序

osk 打开屏幕键盘

odbcad32 odbc数据源管理器

oobe/msoobe /a 检查xp是否激活

lusrmgr.msc 本机用户和组

logoff 注销命令

iexpress 木马捆绑工具，系统自带

nslookup ip地址侦测器

fsmgmt.msc 共享文件夹管理器

utilman 辅助工具管理器

gpedit.msc 组策略

以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!

运行\输入CMD\输入 对应的相关实用程序:

. 打开C:＼Documents and Settings＼XXX(当前登录Windows XP的用户名)

.. 打开Windows XP所在的盘符下的Documents and Settings文件夹

... 打开“我的电脑”选项。

accwiz.exe 辅助工具向导

actmovie.exe 直接显示安装工具

append.exe 允许程序打开制定目录中的数据

arp.exe 显示和更改计算机的IP与硬件物理地址的对应列表

at.exe 计划运行任务

atmadm.exe ATM调用管理器统计

attrib.exe 显示和更改文件和文件夹属性

autochk.exe 检测修复文件系统 (XP不可用)

autoconv.exe 在启动过程中自动转化系统 (XP不可用)

autofmt.exe 在启动过程中格式化进程 (XP不可用)

autolfn.exe 使用长文件名格式 (XP不可用)

arp.exe 显示和更改计算机的IP与硬件物理地址的对应

calc.exe 计算器

Bootvrfy.exe 通报启动成功

cacls.exe 显示和编辑ACL

cdplayer.exe CD播放器

change.exe 与终端服务器相关的查询 (XP不可用)

charmap.exe 字符映射表

chglogon.exe 启动或停用会话记录 (XP不可用)

chgport.exe 改变端口（终端服务） (XP不可用)

chgusr.exe 改变用户（终端服务） (XP不可用)

chkdsk.exe 磁盘检测程序

chkntfs.exe NTFS磁盘检测程序

cidaemon.exe 组成Ci文档服务

cipher.exe 在NTFS上显示或改变加密的文件或目录

cisvc.exe 打开索引内容

ckcnv.exe 变换Cookie

cleanmgr.exe 磁盘清理

cliconfg.exe SQL客户网络工具

clipbrd.exe 剪贴簿查看器

clipsrv.exe 运行Clipboard服务

clspack.exe 建立系统文件列表清单

cluster.exe 显示域的集群 (XP不可用)

cmd.exe 进2000\XP DOS

cmdl32.exe 自动下载连接管理

cmmgr32.exe 连接管理器

cmmon32.exe 连接管理器监视

cmstp.exe 连接管理器配置文件安装程序

comclust.exe 集群

comp.exe 比较两个文件和文件集的内容

conf 启动netmeeting聊天工具

control userpasswords2 XP密码管理.

compmgmt.msc 计算机管理

cprofile.exe 转换显示模式 (XP不可用)

开始,运行,输入CMD\输入net config workstation计算机名 \完整的计算机名\用户名

工作站处于活动状态（即网络描述） \软件版本（即软件版本号） \工作站域 工作站域的 DNS 名称

登录域 \COM 打开时间超时（秒） \COM 发送量（字节） \COM 发送超时 (msec)

CMD\输入net config workstation 更改可配置工作站服务设置。

CMD\输入net config server 可以显示不能配置的下服务器计算机名 \服务器注释 \服务器版本（即软件版本号）

服务器处于活动状态（即网络描述） \服务器处于隐藏状态（即 /hidden 设置）

最大登录用户数（即可使用服务器共享资源的最大用户数）

每个会话打开文件的最大数（即用户可在一个会话中打开服务器文件的最大数）

空闲会话时间（最小值）

chkdsk.exe 磁盘检查.

Chkdsk /r 2000命令控制台中的Chkdsk /r命令检查修复系统文件

cleanmgr 垃圾整理

Clipbrd 剪贴板查看器

C:boot.ini 打开启动菜单

compact.exe 显示或改变NTFS分区上文件的压缩状态

conime.exe IME控制台

control.exe 控制面板

convert.exe NTFS 转换文件系统到NTFS

convlog.exe 转换IIS日志文件格式到NCSA格式

cprofile.exe 转换显示模式

cscript.exe 较本宿主版本

csrss.exe 客户服务器Runtime进程 (XP不可用)

csvde.exe 格式转换程序 (XP不可用)

dcpromo 活动目录安装(XP不可用)

drwtsn32 系统医生

diskmgmt.msc 磁盘管理器(和PowerQuest PartitionMagic 8.0)

dvdplay DVD 播放器

devmgmt.msc 设备管理器(检查电脑硬件,驱动)

dxdiag 检查DirectX信息

dcomcnfg.exe DCOM配置属性 (控制台根目录)

dcpromo.exe 安装向导 (XP不可用)

ddeshare.exe DDE共享

debug.exe 检查DEBUG

dfrgfat.exe FAT分区磁盘碎片整理程序

dfrgntfs.exe NTFS分区磁盘碎片整理程序 (XP不可用)

dfs_cmd_.exe 配置DFS树 (XP不可用)

dfsinit.exe 分布式文件系统初始化(XP不可用)

dfssvc.exe 分布式文件系统服务器 (XP不可用)

diantz.exe 制作CAB文件

diskperf.exe 磁盘性能计数器

dmremote.exe 磁盘管理服务的一部分 (XP不可用)

doskey.exe 命令行创建宏

dosx.exe DOS扩展

dplaysvr.exe 直接运行帮助 (XP不可用)

drwatson.exe 华生医生错误检测

drwtsn32.exe 华生医生显示和配置管理

dvdplay.exe DVD播放

dxdiag.exe Direct-X诊断工具

edlin.exe 命令行的文本编辑

esentutl.exe MS数据库工具

eudcedit.exe 造字程序

eventvwr.exe 事件查看器

exe2bin.exe 转换EXE文件到二进制

expand.exe 解压缩

extrac32.exe 解CAB工具

fsmgmt.msc 共享文件夹

fastopen.exe 快速访问在内存中的硬盘文件

faxcover.exe 传真封面编辑

faxqueue.exe 显示传真队列

faxsend.exe 发送传真向导

faxsvc.exe 启动传真服务

fc.exe 比较两个文件的不同

find.exe 查找文件中的文本行

findstr.exe 查找文件中的行

finger.exe 一个用户并显示出统计结果

fixmapi.exe 修复MAPI文件

flattemp.exe 允许或者禁用临时文件目录 (XP不可用)

fontview.exe 显示字体文件中的字体

forcedos.exe 强制文件在DOS模式下运行

FTP下载

gpedit.msc 组策略

gdi.exe 图形界面驱动

grpconv.exe 转换程序管理员组

hostname.exe 显示机器的Hostname

Internat 输入法图标

iexpress 木马捆绑工具，系统自带

ieshwiz.exe 自定义文件夹向导

iexpress.exe iexpress安装包

iisreset.exe 重启IIS服务(未安装IIS,不可用)

internat.exe 键盘语言指示器 (XP不可用)

ipconfig.exe 查看IP配置

ipsecmon.exe IP安全监视器

ipxroute.exe IPX路由和源路由控制程序

ir 无线连接

ismserv.exe 安装或者删除Service Control Manager中的服务

jdbgmgr.exe Java4的调试器

jetconv.exe 转换Jet Engine数据库 (XP不可用)

jetpack.exe 压缩Jet数据库 (XP不可用)

jview.exe Java的命令行装载者

label.exe 改变驱动器的卷标

lcwiz.exe 许可证向导 (XP不可用)

ldifde.exe LDIF目录交换命令行管理 (XP不可用)

licmgr.exe 终端服务许可协议管理 (XP不可用)

lights.exe 显示连接状况 (XP不可用)

llsmgr.exe Windows 2000 许可协议管理 (XP不可用)

llssrv.exe 启动许可协议服务器 (XP不可用)

locator.exe RPC Locator 远程定位

lodctr.exe 调用性能计数

logoff.exe 注销当前用户

lpq.exe 显示远端的LPD打印队列的状态，显示被送到基于Unix的服务器的打印任务

lpr.exe 用于Unix客户打印机将打印任务发送给连接了打印设备的NT的打印机服务器。

lsass.exe 运行LSA和Server的DLL

lserver.exe 指定默认Server新的DNS域 (XP不可用)

lusrmgr.msc 本地账户管理

mmc 控制台

mplayer2 播放器

macfile.exe 管理MACFILES (XP不可用)

magnify.exe 放大镜

makecab.exe 制作CAB文件

mem.exe 显示内存状态

migpwd.exe 迁移密码

mmc.exe 控制台

mnmsrvc.exe 远程桌面共享

mobsync.exe 同步目录管理器

mountvol.exe 创建、删除或列出卷的装入点。

mplay32.exe Media Player 媒体播放器

mpnotify.exe 通知应用程序

mqbkup.exe 信息队列备份和恢复工具

mqmig.exe MSMQ Migration Utility 信息队列迁移工具

mrinfo.exe 使用SNMP多点传送路由

mscdexnt.exe 安装MSCD

msdtc.exe 动态事务处理控制台

msg.exe 发送消息到本地或远程客户

mshta.exe HTML应用程序主机

msiexec.exe 开始Windows安装程序

mspaint.exe 打开画图板

mstask.exe 任务计划表程序

mstinit.exe 任务计划表安装

Msconfig.exe 系统配置实用程序 (配置启动选项,服务项)

mem.exe 显示内存使用情况

mspaint 画图板

Net Stop Messenger 停止信使服务

Net Start Messenger 恢复信使服务

nslookup 网络管理的工具

Nslookup IP 地址侦测器

ntbackup 系统备份和还原

nbtstat.exe 使用 NBT（TCP/IP 上的 NetBIOS）显示协议统计和当前 TCP/IP 连接。

nddeapir.exe NDDE API服务器端

netsh.exe 用于配置和监控 Windows 2000 命令行脚本接口(XP不可用)

netstat.exe 显示协议统计和当前的 TCP/IP 网络连接。

nlsfunc.exe 加载特定国家的信息。Windows 2000 和 MS-DOS 子系统不使用该命令接受该命令只是为了与 MS-DOS 文件兼容。

notepad.exe 打开记事本

nslookup.exe 该诊断工具显示来自域名系统 (DNS) 名称服务器的信息。

ntbackup.exe 备份和故障修复工具

ntfrs.exe NT文件复制服务 (XP不可用)

ntvdm.exe 模拟16位Windows环境

nw16.exe NetWare转向器

nwscript.exe 运行Netware脚本

odbcad32.exe 32位ODBC数据源管理 (驱动程序管理)

odbcconf.exe 命令行配置ODBC驱动和数据源

packager.exe 对象包装程序

pathping.exe 包含Ping和Tracert的程序

pentnt.exe 检查Pentium的浮点错误

perfmon.exe 系统性能监视器

ping.exe 验证与远程计算机的连接

posix.exe 用于兼容Unix

print.exe 打印文本文件或显示打印队列的内容。

progman.exe 程序管理器

psxss.exe Posix子系统应用程序

qappsrv.exe 在网络上显示终端服务器可用的程序

qprocess.exe 在本地或远程显示进程的信息（需终端服务）

query.exe 查询进程和对话 (XP不可用)

quser.exe 显示用户登陆的信息（需终端服务）

qwinsta.exe 显示终端服务的信息

rononce -p 15秒关机

rasAdmin 远程访问服务.

regedit.exe 注册表编辑器

rasadmin.exe 启动远程访问服务 (XP不可用)

rasautou.exe 建立一个RAS连接

rasdial.exe 宽带,拨号连接

ras.exe 运行RAS连接 (XP不可用)

rcp.exe 计算机和运行远程外壳端口监控程序 rshd 的系统之间复制文件

rdpclip.exe 终端和本地复制和粘贴文件

recover.exe 从坏的或有缺陷的磁盘中恢复可读取的信息。

redir.exe 运行重定向服务

regedt32.exe 32位注册服务

regini.exe 用脚本修改注册许可

regwiz.exe 注册向导

replace.exe 用源目录中的同名文件替换目标目录中的文件。

rexec.exe rexec 命令在执行指定命令前，验证远程计算机上的用户名，只有安装了 TCP/IP 协议后才可以使用该命令。

risetup.exe 运行远程安装向导服务 (XP不可用)

route.exe 控制网络路由表

rsh.exe 在运行 RSH 服务的远程计算机上运行命令

rsnotify.exe 远程存储通知回显

runas.exe 允许用户用其他权限运行指定的工具和程序

rundll32.exe 启动32位DLL程序

rwinsta.exe 重置会话子系统硬件和软件到最初的值

Sndvol32 音量控制程序

sfc.exe 或CMD\ sfc.exe 回车 系统文件检查器

services.msc 网络连接服务

syskey 系统加密，(一旦加密就不能解开，保护windows xp系统的双重密码wupdmgr WIDNOWS UPDATE)

SCANREG/RESTORE 命令恢复最近的注册表

secedit.exe 自动化安全性配置管理

services.exe 控制所有服务

sethc.exe 设置高对比

setver.exe 设置 MS-DOS 子系统向程序报告的 MS-DOS 版本号

sfc.exe 系统文件检查

shadow.exe 监控另外一台中端服务器会话

shrpubw.exe 建立和共享文件夹

sigverif.exe 文件签名验证

smlogsvc.exe 性能日志和警报 (XP不可用)

sndrec32.exe 录音机

sndvol32.exe 显示声音控制信息

snmp.exe 简单网络管理协议 (XP不可用)

snmptrap.exe SNMP工具 (XP不可用)

srvmgr.exe 服务器管理器 (XP不可用)

subst.exe 将路径与驱动器盘符关联

sysedit.exe 系统配置编辑器

syskey.exe NT账号数据库加密工具

sysocmgr.exe Windows 安装程序

systray.exe 在低权限运行systray

taskmgr 任务管理器

tasklist /svc(CMD)了解每个SVCHOST进程到底提供了多少系统服务(2000\98不可用)

tlist -S(CMD) 了解每个SVCHOST进程到底提供了多少系统服务(

taskman.exe 任务管理器 (XP不可用)

taskmgr.exe 任务管理器

tcmsetup.exe 电话服务客户安装

tcpsvcs.exe TCP服务

termsrv.exe 终端服务

t 将文件传输到正在运行 TFTP 服务的远程计算机或从正在运行 TFTP 服务的远程计算机传输文件

themes.exe 桌面主题 (XP不可用)

tlntadmn.exe Administrator Telnet服务管理

tlntsess.exe 显示目前的Telnet会话

tlntsvr.exe 开始Telnet服务

tracert.exe 诊断实用程序将包含不同生存时间 (TTL) 值的 Internet 控制消息协议 (ICMP) 回显数据包发送到目标，以决定到达目标采用的路由

tsadmin.exe Administrator 终端服务管理器 (XP不可用)

tscon.exe 粘贴用户会话到终端对话

tsdiscon.exe 断开终端服务的用户

tskill.exe 杀掉终端服务

tsprof.exe 用终端服务得出查询结果

tsshutdn.exe 关闭系统

unlodctr.exe 性能监视器的一部分

upg351db.exe 升级Jet数据库 (XP不可用)

ups.exe UPS service UPS服务

user.exe Windows核心服务

userinit.exe 打开我的文档

usrmgr.exe 域用户管理器

utilman.exe 指定2000启动时自动打开那台机器

vwipxspx.exe 调用IPX/SPX VDM

w32tm.exe 时间服务器

wextract.exe 解压缩Windows文件

winchat.exe 打开Windows聊天工具

winhlp32.exe 运行帮助系统

winmsd.exe 查看系统信息

winver.exe 显示Windows版本

wizmgr.exe Windows管理向导 (XP不可用)

wjview.exe Java 命令行调用Java

write.exe 打开写字板

wscript.exe 脚本工具

wupdmgr.exe Windows update 运行Windows update升级向导

winver 检查Windows版本

Win98系统工具

开始,运行,输入Msconfig 系统配置实用工具 配置启动选项，包括config.sys、autoexec.bat、win.ini、system.ini和注册表及程序菜单中的启动项。并可设置是否故障启动。

开始,运行,输入Regedit 注册表修改工具 注册表编辑器，如果没有把握不要随意修改注册表！

开始,运行,输入Regsvr32 dll注册工具 当提示找不到dll文件时，可用此来注册该动态连接库。

开始,运行,输入Regwiz 注册向导 用于注册。校验系统文件，并可恢复系统文件。

如果启动时出现类似*.vxd文件错误，可用此恢复该vxd文件。

开始,运行,输入Scandskw 磁盘扫描程序,用于扫描修复磁盘。如果磁盘或文件出现错误，可用来初步修复。

开始,运行,输入DxDiag DirectX诊断工具可用于检测DirectX运行是否正常。

开始,运行,输入NETSCAPE

ESC：清除当前命令行；

F7：显示命令历史记录，以图形列表窗的形式给出所有曾经输入的命令，并可用上下箭头键选择再次执行该命令。

F8：搜索命令的历史记录，循环显示所有曾经输入的命令，直到按下回车键为止；

F9：按编号选择命令，以图形对话框方式要求您输入命令所对应的编号(从0开始)，并将该命令显示在屏幕上；

Ctrl+H：删除光标左边的一个字符；

Ctrl+C Ctrl+Break，强行中止命令执行；

Ctrl+M：表示回车确认键；

Alt+F7：清除所有曾经输入的命令历史记录；

Alt+PrintScreen：截取屏幕上当前命令窗里的内容。

病毒破坏了系统文件，请使用杀毒软件查杀病毒，然后利用Windows 2000提供的“命令控制台”中的Chkdsk /r命令检查修复系统文件即可。

按F8进入DOS模式，运行SCANREG/RESTORE命令恢复最近的注册表

按F8进入安全模式，在运行里输入SFC，系统文件检查

问有关“运行”里的知识

msconfig 开机运行项目选择

regedit 注册表编辑器

chkdsk 硬盘检测

ping命令

在Windows的控制窗口中（Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器），运行ping可以看到这个命令的说明，它是一个探测本地电脑和远程电脑之间信息传送速度的命令，这个命令需要TCP/IP协议的支持，ping将会计算一条信息从本地发送到远程再返回所需要的时间，黑客使用这个命令决定是否对服务器进行攻击，因为连接速度过慢会浪费时间、花费过多的上网费用。

另外这个命令还可以透过域名找到对方服务器的IP地址，我们知道域名只是提供给浏览网页用的，当我们看到一个不错的域名地址后，要想通过telnet连接它，就必须知道对方的IP地址，这里也要使用ping命令的。

这个命令的基本使用格式可以通过直接运行ping获得，现在假设目标是，则可以在控制台下输入ping ，经过等待会得到如下信息：

Pinging [204.202.136.32] with 32 bytes of data:

Reply from 204.202.136.32: bytes=32 time=302ms TTL=240

Reply from 204.202.136.32: bytes=32 time=357ms TTL=240

Reply from 204.202.136.32: bytes=32 time=288ms TTL=240

Reply from 204.202.136.32: bytes=32 time=274ms TTL=240

Ping statistics for 204.202.136.32:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 274ms, Maximum = 357ms, Average = 305ms

这些信息的意思是：的IP地址是204.202.136.32，对他发送了四次数据包，数据包的大小是32字节，每一次返回的时间分别是302ms、357ms、288ms、274ms。综合看，发送了四个数据包全部返回，最小时间是274ms，最大时间357ms，他们的平均时间是305ms。

这样黑客就了解了连接对方服务器使用的时间。另外这个命令还有一些特殊的用法，例如可以通过IP地址反查服务器的NetBIOS名，现在以211.100.8.87为例，使用ping配合“-a”，在控制台下输入命令ping -a 211.100.8.87，它的返回结果是：

Pinging POPNET-FBZ9JDFV [211.100.8.87] with 32 bytes of data:

Reply from 211.100.8.87: bytes=32 time=96ms TTL=120

Reply from 211.100.8.87: bytes=32 time=110ms TTL=120

Reply from 211.100.8.87: bytes=32 time=110ms TTL=120

Reply from 211.100.8.87: bytes=32 time=109ms TTL=120

Ping statistics for 211.100.8.87:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 96ms, Maximum = 110ms, Average = 106ms

从这个结果会知道服务器的NetBIOS名称是POPNET-FBZ9JDFV。另外在一般情况下还可以通过ping对方让对方返回给你的TTL值大小，粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列，一般情况下Windows系列的系统返回的TTL值在100-130之间，而UNIX/Linux系列的系统返回的TTL值在240-255之间，例如上面的返回的TTL是240，对方的系统很可能是Linux，而第二个目标的TTL是120，那么说明它使用的系统也许是Windows。

另外ping还有很多灵活的应用，我不在这里过多的介绍，读者请另行查阅此命令相关帮助文件。

二、net命令：

NET命令是很多网络命令的集合，在Windows ME/NT/2000内，很多网络功能都是以net命令为开始的，通过net help可以看到这些命令的详细介绍：//本文来自电脑软硬件应用网

NET CONFIG 显示系统网络设置

NET DIAG 运行MS的DIAGNOSTICS程序显示网络的DIAGNOSTIC信息

NET HELP 显示帮助信息

NET INIT 不通过绑定来加载协议或网卡驱动

NET LOGOFF 断开连接的共享资源

NET LOGON 在WORKGROUP中登陆

NET PASSWORD 改变系统登陆密码

NET PRINT 显示或控制打印作业及打印队列

NET START 启动服务，或显示已启动服务的列表

NET STOP 停止网络服务

NET TIME 使计算机的时钟与另一台计算机或域的时间同步

NET USE 连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息

NET VER 显示局域网内正在使用的网络连接类型和信息

NET VIEW 显示域列表、计算机列表或指定计算机的共享资源列表

这些命令在Win95/98中支持的比较少，只有几个基本常见的，而在NT或者2000中又元元多于上面的介绍，不过大多数对于初学者也没有必要掌握，所以我选择了WindowsME进行介绍，其中最常用到的是NET VIEW和NET USE，通过者两个命令，学习者可以连接网络上开放了远程共享的系统，并且获得资料。这种远程共享本来是为便捷操作设计的，但是很多网络管理员忽视了它的安全性，所以造成了很多不应该共享的信息的暴露，对于学习者来说，则可以轻易获得它人电脑上的隐私资料。

例如在控制台下输入net view //202.96.50.24则可以获得对应IP的系统共享目录，进而找到他们的共享文件，当然这需要202.96.50.24系统的确存在共享目录，具体如何找到这些存在共享的系统，我将会在后面的文章中进行介绍。

三、telnet和ftp命令：

这两个命令分别可以远程对系统进行telnet登陆和ftp登陆，两种登陆使用的不同的协议，分别属于两种不同的网络服务，ftp是远程文件共享服务，也就是说学习者可以将自己的资料上传、下载，但是它并没有过多的权利，无法在远程电脑上执行上传的文件；而telnet则属于远程登陆服务，也就是说可以登陆到远程系统上，并获得一个解释器权限，拥有解释器就意味着拥有了一定的权限，这种权限可能是基本的文件操作、也可能是可以控制系统的管理员权限。

四、netstat命令：

这个程序有助于我们了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，如采用的协议类型、当前主机与远端相连主机（一个或多个）的IP地址以及它们之间的连接状态等。 使用netstat ？可以显示它的命令格式和参数说明：

netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] 其中的参数说明如下：

-a 显示所有主机的端口号；

-e 显示以太网统计信息；

-n 以数字表格形式显示地址和端口；

-p proto 显示特定的协议的具体使用信息；

-r 显示本机路由表的内容；

-s 显示每个协议的使用状态（包括TCP、UDP、IP）；

interval 重新显示所选的状态，每次显示之间的间隔数（单位秒）。

netstat命令的主要用途是检测本地系统开放的端口，这样做可以了解自己的系统开放了什么服务、还可以初步推断系统是否存在木马，因为常见的网络服务开放的默认端口轻易不会被木马占用，例如：用于FTP（文件传输协议）的端口是21；用于TELNET（远程登录协议）的端口是23；用于SMTP（邮件传输协议）的端口是25；用于DNS（域名服务，即域名与IP之间的转换）的端口是53；用于HTTP（超文本传输协议）的端口是80；用于POP3（电子邮件的一种接收协议）的端口是110；WINDOWS中开放的端口是139，除此以外，如果系统中还有其他陌生的到口，就可能是木马程序使用的了。通过netstat或者netstat -a可以观察开放的端口，如果发现下面的端口，就说明已经有木马程序在系统中存在：

31337号端口是BackOffice木马的默认端口；1999是Yai木马程序；2140或者3150都是DEEP THROAT木马使用的端口；还有NETBUS、冰河或者SUB7等木马程序都可以自定义端口，因此发现了陌生端口一定要提高警惕，使用防火墙或者查病毒软件进行检测。

五、tracert命令：

这个命令的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。tracert命令的格式如下：

tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

命令行中的参数-d是要求tracert不对主机名进行解析，-h是指定搜索到目的地址的最大轮数，-j的功能是沿着主机列表释放源路由，-w用来设置超时时间间隔。

通过tracert可以判断一个服务器是属于国内还是国际（网络服务器的物理未知不能依*域名进行判断），根据路由路经可以判断信息从自己的系统发送到网络上，先后经过了哪些IP到大对方服务器，这就好像乘公共汽车的时候从起点出发到达终点站的时候，中途会出现很多路牌一个道理，我们清楚了自己的信息的传送路径，才能够更清晰的了解网络、对服务器进行攻击。

六、winipcfg：

winipcfg和ipconfig都是用来显示主机内IP协议的配置信息。只是winipcfg适用于Windows 95/98，而ipconfig适用于Windows NT。winipcfg不使用参数，直接运行它，它就会采用Windows窗口的形式显示具体信息。这些信息包括：网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等，点击其中的“其他信息”，还可以查看主机的相关信息如：主机名、DNS服务器、节点类型等。其中网络适配器的物理地址在检测网络错误时非常有用。

ipconfig的命令格式如下：ipconfig [/? | /all | /release [adapter] | /renew [adapter]]

其中的参数说明如下：

使用不带参数的ipconfig命令可以得到以下信息：IP地址、子网掩码、默认网关。而使用ipconfig

/? 显示ipconfig的格式和参数的英文说明；

/all 显示所有的配置信息；

/release 为指定的适配器（或全部适配器）释放IP地址（只适用于DHCP）；

/renew 为指定的适配器（或全部适配器）更新IP地址（只适用于DHCP）。

运行程序

运行命令

辅助功能选项

access.cpl

添加硬件向导

hdwwiz.cpl

添加或删除程序

appwiz.cpl

管理工具

control admintools

自动更新

wuaucpl.cpl

Bluetooth文件传送向导

fsquirt

计算器

calc

证书管理控制台

certmgr.msc

字符映射表

charmap

磁盘检查工具

chkdsk

剪贴簿查看器

clipbrd

命令行提示符

cmd

组件服务

dcomcnfg

计算机管理

compmgmt.msc

日期和时间属性

timedate.cpl

DDE共享

ddeshare

设备管理器

devmgmt.msc

Direct X控制面板(如果已经安装)*

directx.cpl

Direct X诊断工具

dxdiag

磁盘清理工具

cleanmgr

磁盘碎片整理程序

dfrg.msc

磁盘管理

diskmgmt.msc

磁盘分区管理器

diskpart

显示属性

control desktop

显示属性

desk.cpl

显示属性的外观选项卡

control color

Dr. Watson系统诊断工具

drwtsn32

Driver Verifier Manager

verifier

事件查看器

eventvwr.msc

文件签名验证

sigverif

快速查找

findfast.cpl

文件夹选项

control folders

字体文件夹

control fonts

字体文件夹

fonts

空档接龙游戏

freecell

游戏控制

joy.cpl

组策略编辑器(XP专业版)

gpedit.msc

红心大战游戏

mshearts

Iexpress向导

iexpress

索引服务

ciadv.msc

Internet属性

inetcpl.cpl

IP配置实用程序(显示连接配置) ipconfig /all

IP配置实用程序(显示DNS缓存内容) ipconfig /displaydns

IP配置实用程序(删除DNS缓存内容) ipconfig /flushdns

IP配置实用程序(释放全部(或指定)适配器的由DHCP分配的动态IP地址) ipconfig /release

IP配置实用程序(为全部适配器重新分配IP地址) ipconfig /renew

IP配置实用程序(刷新DHCP并重新注册DNS) ipconfig /registerdns

IP配置实用程序(显示DHCP Class ID) ipconfig /showclassid

IP配置实用程序(修改DHCP Class ID) ipconfig /setclassid

Java控制面板(如果已经安装)

jpicpl32.cpl

Java控制面板(如果已经安装)

javaws

键盘属性

control keyboard

本地安全设置

secpol.msc

本地用户和组

lusrmgr.msc

从Windows注销

logoff

微软聊天程序

winchat

扫雷游戏

winmine

鼠标属性

control mouse

鼠标属性

main.cpl

网络连接

control netconnections

网络连接

ncpa.cpl

网络安装向导

netsetup.cpl

记事本 notepad

Nview桌面管理器(如果已经安装)

nvtuicpl.cpl

对象包装程序

packager

ODBC数据源管理器

odbccp32.cpl

屏幕键盘

osk

AC3解码器(如果已经安装)

ac3filter.cpl

密码属性

password.cpl

性能

perfmon.msc

性能

perfmon

电话与调制解调器选项

telephon.cpl

电源选项属性

powercfg.cpl

打印机和传真

control printers

打印机文件夹

printers

TrueType造字程序

eudcedit

Quicktime(如果已经安装)

QuickTime.cpl

区域和语言选项

intl.cpl

注册表编辑器

regedit

注册表编辑器

regedit32

远程桌面 mstsc

可移动存储

ntmsmgr.msc

可移动存储操作请求

ntmsoprq.msc

策略的结果集 (XP专业版)

rsop.msc

扫描仪与相机

sticpl.cpl

任务计划

control schedtasks

Windows安全中心

wscui.cpl

服务

services.msc

共享文件夹

fsmgmt.msc

关闭Windows

shutdown

声音和音频设备属性

mmsys.cpl

蜘蛛牌游戏

spider

SQL Client客户端网络实用工具

cliconfg

系统配置编辑器

sysedit

系统配置实用程序

msconfig

系统文件检查工具(立即扫描) sfc /scannow

系统文件检查工具(下次启动时扫描) sfc /scanonce

系统文件检查工具(每次启动时扫描) sfc /scanboot

系统文件检查工具(返回默认设置) sfc /revert

系统文件检查工具(清除文件缓存) sfc /purgecache

系统文件检查工具(设置缓存大小=x)

sfc /cachesize=x

系统属性

sysdm.cpl

任务管理器

taskmgr

Telnet客户端

telnet

用户帐户管理

nusrmgr.cpl

辅助工具管理器

utilman

Windows防火墙

firewall.cpl

Windows放大镜

magnify

Windows管理体系结构

wmimgmt.msc

Windows系统安全工具

syskey

运行Windows更新

wupdmgr

漫游Windows XP

tourstart

写字板

write

assoc 显示或修改文件扩展名关联。

at 计划在计算机上运行的命令和程序。

attrib 显示或更改文件属性。

break 设置或清除扩展式 ctrl+c 检查。

cacls 显示或修改文件的访问控制列表(acls)。

call 从另一个批处理程序调用这一个。

cd 显示当前目录的名称或将其更改。

chcp 显示或设置活动代码页数。

chdir 显示当前目录的名称或将其更改。

chkdsk 检查磁盘并显示状态报告。

chkntfs 显示或修改启动时间磁盘检查。

cls 清除屏幕。

cmd 打开另一个 windows 命令解释程序窗口。

color 设置默认控制台前景和背景颜色。

comp 比较两个或两套文件的内容。

compact 显示或更改 ntfs 分区上文件的压缩。

convert 将 fat 卷转换成 ntfs。您不能转换当前驱动器。

copy 将至少一个文件复制到另一个位置。

date 显示或设置日期。

del 删除至少一个文件。

dir 显示一个目录中的文件和子目录。

diskcomp 比较两个软盘的内容。

diskcopy 将一个软盘的内容复制到另一个软盘。

doskey 编辑命令行、调用 windows 命令并创建宏。

echo 显示消息，或将命令回显打开或关上。

endlocal 结束批文件中环境更改的本地化。

erase 删除至少一个文件。

exit 退出 cmd.exe 程序(命令解释程序)。

fc 比较两个或两套文件，并显示不同处。

find 在文件中搜索文字字符串。

findstr 在文件中搜索字符串。

for 为一套文件中的每个文件运行一个指定的命令。

format 格式化磁盘，以便跟 windows 使用。

ftype 显示或修改用于文件扩展名关联的文件类型。

goto 将 windows 命令解释程序指向批处理程序中某个标明的行。

graftabl 启用 windows 来以图像模式显示扩展字符集。

help 提供 windows 命令的帮助信息。

if 执行批处理程序中的条件性处理。

label 创建、更改或删除磁盘的卷标。

md 创建目录。

mkdir 创建目录。

mode 配置系统设备。

more 一次显示一个结果屏幕。

move 将文件从一个目录移到另一个目录。

path 显示或设置可执行文件的搜索路径。

pause 暂停批文件的处理并显示消息。

popd 还原 pushd 保存的当前目录的上一个值。

print 打印文本文件。

prompt 更改 windows 命令提示符。

pushd 保存当前目录，然后对其进行更改。

rd 删除目录。

recover 从有问题的磁盘恢复可读信息。

rem 记录批文件或 config.sys 中的注释。

ren 重命名文件。

rename 重命名文件。

replace 替换文件。

rmdir 删除目录。

set 显示、设置或删除 windows 环境变量。

setlocal 开始批文件中环境更改的本地化。

shift 更换批文件中可替换参数的位置。

sort 对输入进行分类。

start 启动另一个窗口来运行指定的程序或命令。

subst 将路径跟一个驱动器号关联。

time 显示或设置系统时间。

title 设置 cmd.exe 会话的窗口标题。

tree 以图形模式显示驱动器或路径的目录结构。

type 显示文本文件的内容。

ver 显示 windows 版本。

verify 告诉 windows 是否验证文件是否已正确写入磁盘。

vol 显示磁盘卷标和序列号。

xcopy 复制文件和目录树。

appwiz.cpl------------添加删除程序

control userpasswords2--------用户帐户设置

cleanmgr-------垃圾整理

cmd--------------命令提示符可以当作是 windows 的一个附件，ping，convert 这些不能在图形环境下 使用的功能要借助它来完成。

cmd------jview察看java虚拟机版本。

command.com------调用的则是系统内置的 ntvdm，一个 dos虚拟机。它完全是一个类似 virtual pc 的 虚拟环境，和系统本身联系不大。当我们在命令提示符下运行 dos 程序时，实际上也 是自动转移到 ntvdm虚拟机下，和 cmd 本身没什么关系。

calc-----------启动计算器

chkdsk.exe-----chkdsk磁盘检查

compmgmt.msc---计算机管理

conf-----------启动 netmeeting

control userpasswords2-----user account 权限设置

devmgmt.msc--- 设备管理器

diskmgmt.msc---磁盘管理实用程序

dfrg.msc-------磁盘碎片整理程序

drwtsn32------ 系统医生

dvdplay--------启动media player

dxdiag-----------directx diagnostic tool

gpedit.msc-------组策略编辑器

gpupdate /target:computer /force 强制刷新组策略

eventvwr.exe-----事件查看器

explorer-------打开资源管理器

logoff---------注销命令

lusrmgr.msc----本机用户和组

msinfo32---------系统信息

msconfig---------系统配置实用程序

net start (servicename)----启动该服务

net stop (servicename)-----停止该服务

notepad--------打开记事本

nusrmgr.cpl-------同control userpasswords，打开用户帐户控制面板

nslookup-------ip地址侦测器

oobe/msoobe /a----检查xp是否激活

perfmon.msc----计算机性能监测程序

progman--------程序管理器

regedit----------注册表编辑器

regedt32-------注册表编辑器

regsvr32 /u *.dll----停止dll文件运行

route print------查看路由表

rononce -p ----15秒关机

rsop.msc-------组策略结果集

rundll32.exe rundll32.exe %systemroot%system32shimgvw.dll,imageview_fullscreen----启动一个空白的windows 图片和传真查看器

secpol.msc--------本地安全策略

services.msc---本地服务设置

sfc /scannow-----启动系统文件检查器

sndrec32-------录音机

taskmgr-----任务管理器（适用于2000／xp／2003）

tsshutdn-------60秒倒计时关机命令

winchat--------xp自带局域网聊天

winmsd---------系统信息

winver-----显示about windows 窗口

wupdmgr-----------windows update

黑客是什么？木马程序是什么？

一名黑客(hacker)是一个喜欢用智力通过创造性方法来挑战脑力极限的人，特别是他们所感兴趣的领域，例如电脑编程或电器工程。

黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。

黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。

但到了今天，黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。

黑客和骇客根本的区别是：黑客们建设，而骇客们破坏。

黑客一词一般有以下四种意义：

一个对（某领域内的）编程语言有足够了解，可以不经长时间思考就能创造出有用的软件的人。

一个恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人。这个意义常常对那些符合条件(1)的黑客造成严重困扰，他们建议媒体将这群人称为“骇客”(cracker)。有时这群人也被叫做“黑帽黑客”。

一个试图破解某系统或网络以提醒该系统所有者的系统安全漏洞。这群人往往被称做“白帽黑客”或“匿名客”(sneaker)或红客。许多这样的人是电脑安全公司的雇员，并在完全合法的情况下攻击某系统。

一个通过知识或猜测而对某段程序做出（往往是好的）修改，并改变（或增强）该程序用途的人。

“脚本小孩”则指那些完全没有或仅有一点点骇客技巧，而只是按照指示或运行某种骇客程序来达到破解目的的人

木马程序是指潜伏在电脑中，受外部用户控制以窃取本机信息或者控制权的程序。

危害

危害本机信息安全：木马程序多数有恶意企图，例如盗取QQ帐号、游戏帐号甚至银行帐号，将本机作为工具来攻击其他设备等

占用系统资源，降低电脑效能

查杀

一般使用专门的木马查杀工具来杀除，例如木马克星、ewido、费尔托斯特等软件。

目前的杀毒软件多数也可以查杀大量木马，但在杀除木马方面没有上述软件更专业，因而推荐两者配合使用。

对于最新出现的木马，有时也可以到网络搜寻特定的查杀工具来处理。

[编辑]防范

使用防火墙软件可以有效降低被木马攻击的危险性，例如ZoneAlarm、天网等。

[编辑]木马知识

[编辑]传播方式

通过邮件附件、程序下载等形式传播：不要随意使用来历不明的程序，因为可能被修改过含有木马。

通过伪装网页登录过程，骗取用户信息进而传播木马

通过攻击系统安全漏洞传播木马：大量黑客使用专门的黑客工具来传播木马。

[编辑]表现

出现与系统现有文件类似的文件名或进程名。

运用msinfo32.exe，发现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等项中出现不明键值。

有可疑进程访问网络。

有若干Rundll32.exe进程

[编辑]原理

[编辑]木马与其他程序的区别

木马与病毒的区别：木马一般不像电脑病毒一样大量自我繁殖，也并不刻意感染其他程序。病毒程序以大量传播为乐趣，而木马程序以侵入特定电脑并获得权限为目的。

木马与adware（恶意广告软件）的区别：adware是一类特定的木马，受广告发布者控制，在用户电脑上不断弹出广告内容。

木马与远程控制程序的区别：远程控制程序公开、善意地控制其他电脑，以完成某些工作；木马程序则是潜伏的、恶意的程序。