本文目录一览：

• 1、木马，是通过什么把信息传回来的，E-AMIL吗？具体
• 2、木马病毒与远程监控都必须遵循TCP/IP协议吗
• 3、计算机木马的原理
• 4、我想知道什么是木马 木马都是病毒么 具体一些 谢谢
• 5、木马病毒的来源

木马，是通过什么把信息传回来的，E-AMIL吗？具体

木马一般是以窃取信息和远程控制被入侵主机为目的的。一旦植入被入侵主机后，木马一般会在记录被窃取的信息后由邮件方式或一些远程控制程序输出到入侵者的电脑中，所以从原理上讲在传输层应该要使用TCP协议而非UDP协议。

我们在处理或了解木马程序的时候一般都是从系统进程或端口去分析和控制，不会在使用TCP或是UDP协议方面对其进行控制。相应的攻击有相应的特征，比如ICMP FLOOD使用的是UDP协议，SYN FLOOD使用的是TCP协议，ARP攻击所用的是ARP协议。但是几乎所有攻击都离不开以下两点中的其中一点。

1、大流量数据：在短时间内发送或接收大流量的数据。如果使用科来的话在端点一栏的“总流量”中可以清楚的看出。

2、多连接：几百、上千的连接，且这类连接是单向的，要么只有接收的包，要么只有发送的包，在科来的“矩阵”一栏中也可以很清楚的看出。

在其它地方也会显示相应信息，如“报表”栏里。

当然，攻击一般具有的特征就是使用高端口，当然也有使用正常端口的（1024以下）。

木马病毒与远程监控都必须遵循TCP/IP协议吗

只要是网络连接 就都遵循网络 7层模型 TCP/IP属于网络层的协议。

计算机木马的原理

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入你的电脑的是它的“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

众所周知，基于TCP/IP协议接入互联网的电脑有0到65535共256×256个端口。通常我们上网的时候，电脑通过139端口与外界保持联系。运行了木马程序的“服务器”以后，你的电脑就会有另一个或几个端口被打开，使黑客可以利用这些打开的端口进入你的系统，你的系统安全和个人隐私也就全无保障了！

木马如此“泛滥”，究竟我们怎么样才能知道我们的电脑被种上了木马呢？

计算机木马一般由两部分组成，服务端和控制端，也就是常用的C/S（CONTROL/SERVE）模式。

服务端（S端Server）：远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏，这就要看种木马的人怎么想和木马本身的功能，这些控制功能，主要采用调用Windows的API实现，在早期的dos操作系统，则依靠DOS终端和系统功能调用来实现（INT 21H），服务段设置哪些控制，视编程者的需要，各不相同。

控制端（C端Client）也叫客户端，客户端程序主要是配套服务段端程序的功能，通过网络向服务端发布控制指令，控制段运行在本地计算机。

正像历史上的“特洛伊木马”一样，被称作“木马”的程序也是一种掩藏在美丽外表下打入我们电脑内部的东西。确切地说，“木马”是一种经过伪装的欺骗性程序，它通过将自身伪装吸引用户下载执行，从而破坏或窃取使用者的重要文件和资料。

木马程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它的主要作用是向施种木马者打开被种者电脑的门户，使对方可以任意毁坏、窃取你的文件，甚至远程操控你的电脑。木马与计算机网络中常常要用到的远程控制软件是有区别的。虽然二者在主要功能上都可以实现远程控制，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性。木马则完全相反，木马要达到的正是“偷窃”性的远程控制，因此如果没有很强的隐蔽性的话，那么木马简直就是“毫无价值”的。因此判别木马与远程控制的两个重要标准是其使用目的和隐蔽性。

我想知道什么是木马 木马都是病毒么 具体一些 谢谢

木马实际上是一种远程控制软件，国外叫特洛依，名字的来源是由于古代攻城的时候，由埋伏在城里的“特洛依”，国外的叫法，应该是伪装的起来的兵士，接应城外的军队攻克城堡。所以“木马”一词应该含有“隐蔽”和“接应”的意思。

国外比较有名的木马是前几年流行的“冰河”，这是一个比较优秀的国产木马。现在木马有很多种，象“广外幽灵”，“蓝色火焰”，“网络神偷”等，最近又新出一个比较优秀的国产木马程序－“灰鸽子”。

木马的神奇之处在于其隐蔽性和强大的网络通讯功能。在现在，很多木马已经变成了病毒的一种，成为各种杀毒软件追杀的对象。不过这只限于那些知道的木马，又很多未知或新出的木马程序一时还查杀不了。

木马是一种运行在计算机中的程序，一个木马程序通常由两部分组成：客户端和服务端。服务端是运行在被控制计算机上的程序，通常做得很小而且很隐蔽，以病毒的形式存在，开机的时候可以自动随计算机启动，没有专门的查杀软件或者不经过细致的分析很难查杀。而客户端则是安装在控制方使用机器上的一个程序，通常都做成图形界面，这样，在安装了客户端的机器上就可以操纵安装了服务端的机器（或者称中了木马病毒的机器），象查看对方的屏幕，窃取对方的密码，让对方死机等等，总之，凡是程序可以达到的功能，木马都可以做到，这就是所谓的远程控制，即用一台机器控制另外一台机器，只要这两台机器可以互相访问。

木马的传输协议一般采用TCP/IP通讯协议，象常用的QQ通讯软件，也是采用该协议，还有采用UDP协议的。

木马一般都是很隐蔽的，现在的木马功能越来越强，而且不容易发现，中了木马的机器是很危险的，因为你很有可能已经被另外一个人操纵了你的机器，这样你的密码等机密就可能泄漏。

对付木马比较有效的办法是安装防火墙，但防火墙也不安全，因为有些木马已经有针对性地破坏防火墙的某些功能，可以穿过防火墙和外界发生连接。

很多电脑初学者被人装了木马程序也不知道，所以，安全问题是最重要的，除了用杀毒软件查杀外，还要平时留心一点，这样能更有效的保护你的信息不致泄漏。

它可以远程控制，可以匿名控制远程计算机，窃取数据

例如"神速木马"( Trojan.Mumu )它可以盗取“奇迹”和“传奇”账号的密码的木马病毒。

该病毒运行后将从体内放出PSIpcScan对所在网段的系统进行ipc密码破解（带有一个简单密码字典）

当发现有破解出的密码后，病毒将自己复制到对方的系统利用psexec并启动。病毒还将盗取到的账

号密码发送到.com上指定的信箱。

手动清除方法：

先用任务管理器杀死last.exe进程和mumu.exe进程。

注册表清除：

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Folder Service

键值为：qjinfo.exe

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kernel

键值为：%winDir%bboy.exe

文件清除：

%windir%bboy.exe

%systemdir%last.exe

%systemdir%bboy.dll hook函数（盗密码）

%systemdir%mumu.exe

%systemdir%qjinfo.ini 记录下的游戏账号密码

瑞星建议

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报， 这样才能真正保障计算机的安全

还有"QQ木马"( Trojan.Pwd.Oicq.c )这是一个盗窃oicq密码的木马。病毒将自己拷贝到系统目录，命名为SCANREGW.EXE，并登记为自启动，随windows启动而运行。挂结钩子，不停的取得窗口标题，如果和oicq相关，记录oicq密码。还会提示用户：去看看我的照片。

也有比较常见的特洛伊木马 (Zelu特洛伊木马)Zelu特洛伊木马是以一个名为Y2K.EXE的可执行文件进入计算机系统。病毒发作后，它会遍历所有驱动器记录的文

件，并用以下信息覆盖所有文件：

" This file is sick! It was contaminated by the radiation liberated...

by the explosion of the atomic bomb... "。

随着受破坏的文件被覆盖，这些文件的内容将不能再恢复且永远丢失。

现象：

当此特洛伊木马执行后，它将显示如下字符："ChipTec Y2K - Freeware Version"，同时屏幕中心显示如下状态信息：

- Timer

- Device Drivers

- File System

- BIOS

屏幕底部显示以下内容：

Y2K Copyright (C) 1999 - 2002 ChipTec

All Rights Reserved

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。

答案 就是一个隐藏在你电脑里监视你电脑的软件,也可以说是病毒

木马就是一种程序。黑客利用此程序达到控制你电脑的目的。盗各种帐号。恶意破坏之类

木马病毒的来源

您好

1，木马病毒是人为编写的带有破坏性的程序。

2，传播途径很广，例如：邮件、网站、下载等等都可以传播木马。

3，防止中毒的办法也很简单，就是到腾讯电脑管家官网下载一个电脑管家。

4，然后开启电脑的时候，顺便也开启电脑管家就可以了，电脑管家拥有16层实时防护功能，可以从上网安全、应用入口、系统底层等全方位保护电脑安全不受木马病毒侵袭，

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难