黑客常用兵器之木马篇

"Flags"=dword:00000302

"Type"=dword:00000000

"Path"="A:\" 《-----路径是A到F

"Parm2enc"=hex:

"Parm1enc"=hex:

"Remark"="黑客帝国"

”

“这就对了，然后你在浏览器的地址栏输入\111.111.111.1CJT_C$。”

“啊！居然把我的C盘目录文件显示出来了。”

“现在你把CJT_C$改成matrix然后重启计算机，接着在浏览器的地址栏输入\111.111.111.1matrix。”

“前辈也显示C盘目录文件了，很奇怪的是，在我的电脑里面硬盘看上去并没有共享啊？”

“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot计算机。”

“嘻嘻，硬盘共享已显示出来了。那么如何防止这种木马那？”

“哈哈哈哈，这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部删掉。如果你还放心不下，也可以把windowssystem下面的Vserver.vxd（Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序）删掉，再把[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD下的VSERVER键值删掉。这样就可以了。另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的〖系统文件检查器〗，通过〖开始菜单〗－〖程序〗－〖附件〗－〖系统工具〗－〖系统信息〗－〖工具〗可以运行〖系统文件检查器〗，用〖系统文件检查器〗可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了，就有可能是木马，提取改动过的文件可以保证你的系统安全和稳定。”

六

“此外很多人中木马都会采用如下手段：

1．先跟你套近乎，冒充成漂亮的美眉或者其他的能让你轻信的人，然后想方设法的骗你点他发给你的木马。

2．把木马用工具和其它的软件捆绑在一起，然后在对文件名字进行修改，然后修改图标，利用这些虚假的伪装欺骗麻痹大意的人。

3．另外一种方法就是把木马伪装好后，放在软件下载站中，着收渔翁之利。

所以我这里提醒你一些常见的问题，首先是不要随便从小的个人网站上下载软件，要下也要到比较有名、比较有信誉的站点，通常这些网站的软件比较安全。其次不要过于相信别人，不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等，而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文件后缀名的默认设置，这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是，如果有一天你突然发现自己的计算机硬盘莫名其妙的工作，或者在没有打开任何连接的情况下，猫还在眨眼睛，就立刻断线，进行木马的搜索。”

“多谢前辈赐教，晚生无以为报，就送给前辈一个电子贺卡作为答谢吧。”

“好的，不错很漂亮。”

“哈哈哈哈，前辈没有发现自己的硬盘在转吗？你的木马端口秘籍我已经得到了，前辈你真是聪明一世糊涂一时，我的贺卡中夹着一个木马，而且就是冰河，前辈没有想到吗？”

“你…………”（晕倒过去）