《“木马”天下》
《“木马”天下》 目前在网络中有一种叫做木马的病毒程序木马也叫特洛伊木马,讲的是古希腊士兵化装后藏在敌方城市的木马内，夜晚出来打开城门把军队引进来的故事。那么如今我们所说的木马程序，也和这个故事相似，但是这个木马程序攻击的不是城市，而是您的电脑。 浙江省浦江县广播电视局的一名工作人员，2004年11月12号，洪政下班回家，他象往常一样打开电脑浏览股市的情况。当时，我说怎么我们帐户上面的股票都没了，后来我老婆过来了，我问她你有没有动，她说没动，今天没动。我说怎么会没了呢，我们原来买的是广电电子，股票一股都没了，卖掉了，当时买的是广电电子是21100股，11.792元买一股。 一共累计多少钱? 还有一股是科大创新是2千股，这个成本是14.024元，两个资金总共是20多万，他有人把我股票卖掉了。 洪政股票帐户上金额高达二十几万的股票不知何时被人抛售一空，换成了一堆一文不名的垃圾股，直接损失达8万多元。 我的帐户和密码他们怎么会知道的。 洪政怀疑自己的密码和帐户是被人盗用了，于是，赶快到当地公安机关报了警，而当时，警方已经接到了多个股民的报案，从2004年10月中旬至11月下旬，短短一个多月的时间内，长沙、南昌、深圳、广州、杭州等地的警方相继接到一些股民报案，这些股民纷纷表示自己股票账号上的资金被别人非法操控。 这次电脑打开，就是进入我股票的操作的这个系统进去，一看吓了一跳，有一个就是宜宾纸业给我买进了两万多，一般我是买几千的，他一下子两万多时候，吓了一跳，我想出事情了，好像有黑客袭击了。 那么在刚开始接到股民报案的时候，我们都认为这个很有可能是一些股民的误操作，但是当这个报案股民越来越多的时候，引起了中国证监会和我们公安部的高度重视。然后针对各地案发的线索汇总起来，各种线索露出以后，有一些线索出现在我们江西省南昌市。 警方在排查中发现了一个疑点，那就是犯罪嫌疑人上网作案的地点是移动的，由此判断犯罪嫌疑人很有可能使用的是手提电脑。然而，顺着这条线索往下查，仍然无法确定犯罪嫌疑人的具体方位。 那么我们通过在互联网上的一些虚拟身份的一些含量的搜索，我们比对了网上线索和我们真实作案人的活动轨迹的一个比对。 通过与股民们交谈，警方发现丢失帐号的股民有一个共同的特点，就是这些人都曾经登陆过一个类似北京首放的网站，“北京首放”是全国著名的股票咨询网站，而股民们登陆的这个网址与北京首放在书写上相似，但却并不相同。警方怀疑这个假冒的首放网站很有可能被植入了木马程序，股民一旦点击这个网站，自己的帐号、密码信息就会泄露出去。于是，南昌警方开始锁定这个网站。通过网络侦测，这个网络木马大盗上网卡的ｉｐ地址显示作案的地点在安徽省前山县。 2004年12月中旬，南昌警方经过侦测发现犯罪嫌疑人活动的地点在安徽省前山县，在当地警方的协助下，确定了犯罪嫌疑人正呆在一个宾馆里，随后警方采取行动，将正在网上用木马病毒实施作案的三名犯罪嫌疑人抓获。这个曾经给股民带来恐慌的惊动公安部的网络大盗,让人很难以与眼前的这三个二十来岁的毛头小伙联系起来。 起先凭兴趣，就是一直感觉这个好玩，又能赚到钱，所以就这样玩了。 张勇原来是南昌学院计算机系的学生，因贪玩无心学习，刚读完大一，就被学校开除了，被学校开除以后的张勇，凭借自己在计算机上的天赋，在网上靠出售自己编的软件程序赚钱，三年的时间，他就赚了十多万元钱，手里有了点积蓄，张勇又想炒股票发财，而这次他炒股失败了，不甘心的张勇就动起了歪脑筋。 就是一开始，我自己以正常的去上网亏了钱，亏了钱之后就正好想到了我利用这种技术可以拿到人家的帐号去操作这个股市来获利。 熟知网络技术的张勇在网上注册了一个假冒的北京首放网站，并在里面放置了木马病毒。 “木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。 就这样股民只要点击假冒的首放网站，股民的帐户、密码网络交易情况便会统统在张勇等人的掌握之中。北京首放网站是一个指导股民炒股的著名的网站，那么犯罪嫌疑人张勇是如何假冒的首放网站的呢？ 那么有一个知名网站，叫做首放网站，它就多一个英文一个g，它这个少了一个英文g，那么人家误以为是首放网站，因为首放网站是一个知名网站，误认为是首创网站以后，这些股民在网上交易的股民会点击这个网站，股民的帐户和密码操作的整个流程他会记录下来，那么自动发送到他的指定帐户上，记录帐户以后，他就知道被害人有多少股票，有多少钱。 象洪政这样的股民就是毫无戒备地浏览了犯罪嫌疑人张勇在网上注册的假冒的北京首放网站。把自己的帐户和密码泄露出去都不知道。 一开始没感觉不一样的地方。 现在呢？ 现在感觉到有不一样的地方，后面少了一个g，拼音字母少了一个g。 设置好了这个木马程序陷阱之后，张勇邀来中学同学王浩和邹亮帮忙。 张勇啊，张勇操盘的，他是专门负责在股市上操盘，那个王浩是专门去取钱，还有开那个cdma卡，我负责是整理邮箱的（股民）密码帐号。 2004年10月18日，张勇等三人来到长沙市，经过事先的筹借，三人出资5万元作为初期的投资。之后，三人出钱制作了一张假***，在国泰君安证券长沙五一东路营业部开设了股票账号。 10月20日，三人用假***开设的股票账号以12.30元的均价购入成交量小的股票金宇车城4000股。次日，使用盗来的股票账号和密码将股民吴某、周某股票账号内的股票全部以低价抛出，获取资金后，大量购进了22万股金宇车城的股票，将这支冷门的股票恶意抬高了价格，随后张勇又将其他股民股票账户内剩余的资金，以13.44元的高价购入自己手中的4000股金宇车城股票。从中获差价利润4000多元。 自己投了五万块钱进去操纵，就真的就获利4000多块钱，这是第一次。 什么都在自己控制之中。 不费吹灰之力，一天就获利几千元，巨额利益的诱惑使得三人越走越远。从２００５年１０月到１１月一个月的时间里，他们通过低价抛出、高价买进股票的交易方式，疯狂操纵全国各地５０多位股民的股票帐户，盗卖、盗买他人的股票价值达一千多万，给他人造成了直接经济８９万元，并且从中获利３８万元。被盗的人不止我一个。 股民洪政“被盗人据他们（公安）说有53个损失也挺多的现在关键的问题我们（要求）一个吗惩罚犯罪分子利用高科技来犯罪要惩罚他们，再一个弥补我们的损失。 他（张勇）要实施盗窃，要达到他窃取他人财物的目的话，就必须通过这个木马程序，通过网络来实现的，通过网络，还必须通过证券交易系统，这个就是跟一般的盗窃罪相比较的话，就比较特殊，也比较少见，这个来说实际都是很少见的这种作案手法，我们提起公诉的时候是以盗窃罪来定罪的。 是有点违规，违反了证券的规则，但是不会认为是盗窃，还有判重刑这一类的。 被告人邹亮 我的意思是，我是反正不认为我们这种行为是能定性为盗窃。 北京大学法学院教授白建军 如果说把人家的股票从账户里，利用高科技的手段偷出来，去低价买入自己高价抛出的股票，从中获利的行为，不是偷的话那么可以设想，你把别人家的电视机29寸的。 大彩电盗走了然而呢，换回来一个9寸的黑白（电视机），难道不是偷吗，其实道理都是一样的，显然是一种秘密占有。 他为什么说定他盗窃罪呢？他一方面是把被害人的财产低价抛出，高价去买他的财产，这样就造成了被害人差价的损失，这个差价的一部分利润就转给被告人的帐户上，那么他实际上取得了被害人的一个财产所有权，所以我认为这个是构造盗窃罪最主要的方面。 北京大学法学院教授白建军 换句话说他是利用股票市场，利用了证券市场实施的特殊的，科技含量比较高的盗窃，但是科技含量再高再利用了，或者别的什么市场，仍然改变不了他是盗窃刑法上的属性。 ２００５年７月２８号，南昌人民检察院指控犯罪嫌疑人张勇、王浩、邹亮犯盗窃罪，向南昌市人民中级法院提起公诉，２００５年９月8号，全国第一例利用木马程序犯罪案在南昌市人民中级法院一审开庭，审判长宣读了判决结果。 江西省南昌市中级人民法院刑二庭庭长潘荣健 判决如下：请起立，一，被告人张勇犯盗窃罪，判处无期徒刑，剥夺政治权利终身，并处没收个人全部财产。 另两名被告人王浩、邹亮也分别以盗窃罪判处13年、12年的有期徒刑。 据了解,全国第一例判决利用木马程序犯罪案的三名被告人张勇、王浩、邹亮分别提出了上诉。而本案中受害的50多名股民的损失还没有着落。 据有关部门统计，2004年给个人电脑用户造成损害的病毒，网络木马程序的数量占到了半数以上，木马，它的传播途径主要是通过聊天软件、浏览网页和网络下载等，专家建议，不要随便点击和下载oicq、m 等聊天软件和不明来历的网站、网页，用户的个人电脑上要建立好防火墙，如果遭受黑客和木马程序的入侵，要及时对个人的信息、资料、密码做适当修改来确保安全。 【读者群：31976024】 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。 《荷马史诗》的特洛伊战记，故事说的是希腊人围攻特洛伊城十年后仍不能得手，于是阿迦门农受雅典娜的启发:把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时，高大的木马正好卡在城门间，进退两难。夜晚木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。 鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 【一、基础知识】 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 (2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。 【二、传播木马】. (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件***程序上，下载后，只要一运行这些程序，木马就会自动***。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个***程序上,当***程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024——65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。 (五)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指***完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。 (六)木马更名 ***到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制***后的木马文件名，这样很难判断所感染的木马类型了。 【三.运行木马】 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行***。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的***就完成了。***后就可以启动木马了，具体过程见下文： ①由自启动激活木马 自启动木马的条件,大致出现在下面6个地方: 1.注册表:打开主键,在其中寻找可能是启动木马的键值。 2.目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。3.目录下有个配置文件，用文本方式打开，在]中有命令行,在其中寻找木马的启动命令。 4.:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 6.启动菜单:在“开始——程序——启动”选项下也可能有木马的触发条件。 ②由触发式激活木马 1.注册表:打开文件类型\d主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT下的键值,将“C:”该为“1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以试着去找一下。 2.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被***上去了。 3.自动播放式:自动播放本是用于光盘的，当插入一个电影光盘到光驱时，系统会自动播放里面的内容，这就是自动播放的本意，播放什么是由光盘中的AutoRun.inf文件指定的，修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘，在U盘或硬盘的分区，创建Autorun.inf文件，并在Open中指定木马程序，这样，当你打开硬盘分区或U盘时，就会触发木马程序的运行。 木马作者还在不断寻找“可乘之机”这里只是举例，又有不断的自启动的地方被挖掘出来。 (2)木马运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT-AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查看端口的两个实例： 其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。 在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口： (1)1——1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。 【四.信息泄露】 一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功***后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立连接，具体的连接方法我们会在下一节中讲解。 【五.建立连接】 这一节我们讲解一下木马连接是怎样建立的。一个木马连接的建立首先必须满足两个条件：一是服务端已***了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。 假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000——202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。 【六.远程控制】 木马连接建立后，控制端端口和木马端口之间将会出现一条通道。 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。 (1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。 (2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪 木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术.“木马”不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为“木马”程序. 一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好像有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能. 还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内?也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马! 有要学盗号的要木马的要QB的进啊220.189.195.*09:5861.163.80.* 271谁有能盗取CSOL的盗号木马j92914966209:02117.35.28.* 761DNF被骗的人进来117.69.213.*07:44122.159.199.* 117775收到号徒弟211.140.18.*07:34122.159.199.* 57143盗号木马远控834333040mguiotui8-11124.167.23.* 76781██出游戏箱子挂量技术传授等QQ97633471hackykkcn8-11hackykkdos 848142★出售热门网络游戏信封★信誉有目共睹★群号：4808887121.204.214.*8-11mh3525 189074盗QQ木马……诚心的来222.247.62.*8-11jigbrgs 44043出售各类木马以及远程控制，要的联系QQ12679342鄂A38678-11jigbrgs 37741木马远程控制全部免杀363575894cghjnhj8-11jigbrgs 102351远程控制，盗网游，QQ等等，密码破解，攻击非正规服务器221.205.159.*8-11jigbrgs 51443盗加QQ1098004932xiaotian03068-11jigbrgs 282◆◆◆◆◆◆◆DNF木马出售◆◆◆◆◆◆◆125.81.162.*8-11125.81.155.* 211出售信件和盗号可以演示如果你的号丢了可以找我QQ1054155769123.12.128.*8-11219.132.145.* 1406找人接盗号活220.175.152.*8-10125.93.82.* 1353专业教人盗号。诚信第一。速度第二。59.53.130.*8-10125.93.82.* 90出售淘宝交易和5173交易骗人手发买东西少给钱QQ1054155769123.4.211.*8-10123.4.211.* 50出售淘宝交易骗人手段先教一小步淘宝号必须有钱QQ1054155769123.4.211.*8-10123.4.211.* 130盗各种网络号和QQ号QQ1054155769飞跃工做室代连各种大型游戏123.12.128.*8-9123.12.128.* 40出售天龙征途信封其他没代连天龙和征途成心的在出售盗号木马123.12.128.*8-9123.12.128.* 2147教盗各种游戏号10分钟叫你学会。QQ529784108骗人死我包你满意123.12.134.*8-9218.76.86.* 59022本人帮盗网游任何游戏号！！！诚心收《徒弟》·····120.86.114.*8-9124.225.145.* 482悬赏：寻一盗号高手盗取一征途游戏资料，号称最难盗取的。123.54.28.*8-9114.240.61.* 160帮我盗个号122.233.184.*8-9122.233.184.* 192◥◣★◢◤▇长期收各类游戏点卡,寻求合作、即时结款▇123.55.107.*8-9222.88.182.* 200找个师傅教盗游戏号苏州的可以当面教58.211.34.*8-9—— 270找个师傅教我58.211.34.*8-9—— 2243203000收DNF木马生成器淘宝交易.好用可以长期合作222.170.59.*8-9—— 882教学~刷7钻Q币·会员~+563706131h152520078-9—— 170找师傅117.25.177.*8-8—— 580谁能教我盗号啊教个大概就可以了剩下的我自己学222.132.200.*8-8—— 200请人盗个QQ号价格商量***15178790421请速度联系222.181.162.*8-8222.181.162.* 2746求购盗号软件jwd52538-8120.5.9.* 37512我要免费拜永久的师傅，要学盗号！！！124.67.203.*8-8123.169.42.* 39718收徒弟，教盗号。耐心教。郑州可当面教。115.56.102.*8-8117.23.253.* 392324QQ盗号木马原理（代码）昊月天威8-7113.87.51.* 491找个免费交我盗号的师傅我就跟他混了60.171.9.*8-7113.87.51.* 1327至盗号者米耐