電腦被侵入哪些信息會被收集

㈠ 黑客攻擊後是不是電腦里所有信息都被盜取

一般不可判仿能，黑客攻擊只不過是獲取自己想要的信息，達到自己要達到的目的。難道你電腦里敬基面的東西對他來說都是有用的嗎？不可能吧。我想沒有人會這樣做，也沒有人願意這掘稿纖樣做。

㈡ 電腦被黑客監控資料會不會被拷貝或者瀏覽

肯定會啊，不然黑客侵入你的電腦干什麼，黑客侵入電腦就是要盜竊裡面的資料。

㈢ 十大終極黑客入侵事件，造成信息被盜,你了解多少

作為大家都熟悉卻又不了解的黑客，在互聯網發展的多年歷史上一直扮演著臭名昭著的形象，對著社會的發展，產生了嚴重的影響，這里就為大家盤點一下，網路上十大終極黑客入侵事件，排名不分先後。

三、熊貓燒香病毒

這是我們最為熟悉的病毒了，由李俊編寫，2007年開始在網路上迅速傳播，這款病毒有著自動傳播、自動感染硬碟和強大破壞力的病毒，並且還會刪除系統的備份文件，所有的.exe可執行文件都會變成熊貓燒香的標志，這也是在我國破獲的首例計算機病毒的大案件。

四、索尼影視遭受襲擊

可能是超朝鮮有關的黑客為了讓索尼影業取消發行，對索尼影業發大規模的網路攻擊，導致索尼影業的數據以及企業機密曝光，甚至是電腦出現故障，郵件持續凍結等，因此，索尼影業公司的聯合董事長艾米·帕斯卡（Amy Pascal）已經辭職。

五、歐洲二十國峰會入侵

在2013年12月，一名黑客利用釣魚的方式將惡意的軟體植入到了歐洲二十國峰會的電腦之中，黑客從其中竊取了很多提議。

六、西方400萬政府雇員資料被竊

西方政府於2017年遇到了史上最大的黑客襲擊事件，400萬的聯邦現任雇員和前任雇員的資料被竊取。

七、黑客用10萬電腦攻擊Spamhaus

2012年3月，歐洲的反垃圾郵件阻止Spamhaus早遇到了史上最強大的網路攻擊，在攻擊之中，黑客使用了近十萬台伺服器，最高帶寬高達300GB沒秒，使得整個歐洲區的網速都因此而大幅度緩慢。

八、Hertland1.3億張信用卡信息被盜

這是有史以來最大的信用卡盜刷事件，在此過程中，黑客從支付巨頭Heartland盜取了超過1.3億張信用卡的卡號和賬戶信息，並且在此次的事件發生之後，Heartland以及一些其他的信用卡公司支付了大量美元的相關賠款。

九、Conficker蠕蟲感染千萬電腦

這是史上襲擊最廣的病毒感染時間，漫延到了全球200多個國家數千萬的個人電腦，其中以英國政府使用的電腦受到的沖擊最為眼中，並且Conficker蠕蟲感染電腦之後，會通過共用網路，進行傳播，還可以使得所有的安全軟體癱瘓，並且下載垃圾文件堆積電腦硬碟。

十、震網病毒破壞離心機

這是最新的病毒之一，可用於最新的電子戰爭之中的一種虛嫌武器。可以通過感染電腦，造成電腦操控機器的損毀，主要是為了破壞伊朗的核試驗進行，在這次的事件之中，伊朗4000台多離心機，損毀了超過五分之一，目前在全球的網路之中任然存在潛伏。

㈣ 電腦泄露信息會泄露什麼

電腦泄露信息會一般會有幾類：一是賬戶信息，二是重要升級機密信息，三是隱私信息。

㈤ 怎樣判斷電腦是否被入侵

分類: 電腦/網路
問題描述:

怎樣判斷電腦是否被入侵？請說詳細點。謝謝`

解析:

病毒與軟、硬體故障的區別和聯系

電腦出故障不只是因為感染病毒才會有的，個人電腦使用過程中出現各種故障現象多是因為電腦本身的軟、硬體故障引起的，網路上的多是由於許可權設置所致。我們只有充分地了解兩者的區別與聯系，才能作出正確的判斷，在真正病毒來了之時才會及時發現。下面我就簡要列出了分別因病毒和軟、硬體故障引起的一些常見電腦故障症狀分析。

症狀 病滲絕毒的入侵的可能性 軟、硬體故障的可能性

經常死機：病毒打開了許多文件或佔用了大量內存；不穩定（如內存質量差，硬體超頻性能差等）；運行了大容量的軟體佔用了大量的內存和磁碟空間；使用了一些測試軟體（有許多BUG）；硬碟空間不夠等等；運行網路上的軟體時經常死機也許是由於網路速度太慢，所運行的程序太大，或者自己的工作站硬體配置太低。

系統無法啟動：病毒修改了硬碟的引導信息，或刪除了某些啟動文件。如引導型病毒引導文件損壞；硬碟損壞或參數設置不正確；系統文件人為地誤刪除等。

文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞；硬碟損壞；文件快捷方式對應的鏈接位置發生了變化；原來編輯文件的軟體刪除了；如果是在區域網中多表現為伺服器中文件存放位置發生了變化，而工作站沒有及時涮新服器的內容（長時間打開了資源管理器）。

經常報告內存不夠：病毒非法佔用了大量內存；打開了大量的軟體；運行了需內存資源的軟體；系統配置不正確；內存本就不夠（目前基本內存要求為128M）等。

提示硬碟空間不夠：病毒復制了大量的病毒文件（這個遇到過好幾例，有時好端端的近10G硬碟安裝了一個WIN98或WINNT4.0系統就說沒空間了，一安裝軟體就提示硬碟空間不夠。硬碟每個分區容量太小；安裝了大量的大容量軟體；所有軟體都集中安裝在一個分區之中；硬碟本身就小；如果是在區域網中系統管理員為每個用戶設叢則姿置了工作站用戶的"私人盤"使用空間限制，因查看的是整個網路盤的大小，其實"私人盤"上容量已用完了。

軟盤等設備未訪問時出讀寫信號：病毒感染；軟盤取走了還在打開曾經在軟盤中打開過的文件。

出現大量來歷不明的文件：病毒復制文件；可能是一些軟體安裝中產生的臨時文件；也或許是一些軟體的配置信息及運行記錄。

啟動黑屏盯讓：病毒感染（記得最深的是98年的4.26，我為CIH付出了好幾千元的代價，那天我第一次開機到了Windows畫面就死機了，第二次再開機就什麼也沒有了）；顯示器故障；顯示卡故障；主板故障；超頻過度；CPU損壞等等

數據丟失：病毒刪除了文件；硬碟扇區損壞；因恢復文件而覆蓋原文件；如果是在網路上的文件，也可能是由於其它用戶誤刪除了。

鍵盤或滑鼠無端地鎖死：病毒作怪，特別要留意"木馬"；鍵盤或滑鼠損壞；主板上鍵盤或滑鼠介面損壞；運行了某個鍵盤或滑鼠鎖定程序，所運行的程序太大，長時間系統很忙，表現出按鍵盤或滑鼠不起作用。

系統運行速度慢：病毒佔用了內存和CPU資源，在後台運行了大量非法操作；硬體配置低；打開的程序太多或太大；系統配置不正確；如果是運行網路上的程序時多數是由於你的機器配置太低造成，也有可能是此時網路上正忙，有許多用戶同時打開一個程序；還有一種可能就是你的硬碟空間不夠用來運行程序時作臨時交換數據用。

系統自動執行操作：病毒在後台執行非法操作；用戶在注冊表或啟動組中設置了有關程序的自動運行；某些軟體安裝或升級後需自動重啟系統。

通過以上的分析對比，我們知道其實大多數故障都可能是由於人為或軟、硬體故障造成的，當我們發現異常後不要急於下斷言，在殺毒還不能解決的情況下，應仔細分析故障的特徵，排除軟、硬體及人為的可能性。

病毒的分類及各自的特徵

要真正地識別病毒，及時的查殺病毒，我們還有必要對病毒有一番較詳細的了解，而且越詳細越好！

病毒因為由眾多分散的個人或組織單獨編寫，也沒有一個標准去衡量、去劃分，所以病毒的分類可按多個角度大體去分。

如按傳染對象來分，病毒可以劃分為以下幾類：

a、引導型病毒

這類病毒攻擊的對象就是磁碟的引導扇區，這樣就能使系統在啟動時獲得優先的執行權，從而達到控制整個系統的目的，這類病毒因為感染的是引導扇區，所以造成的損失也就比較大，一般來說會造成系統無法正常啟動，但查殺這類病毒也較容易，多數殺毒軟體都能查殺這類病毒，如KV300、KILL系列等。

b、文件型病毒

早期的這類病毒一般是感染以exe、等為擴展名的可執行文件，這樣的話當你執行某個可執行文件時病毒程序就跟著激活。近期也有一些病毒感染以dll、ovl、sys等為擴展名的文件，因為這些文件通常是某程序的配置、鏈接文件，所以執行某程序時病毒也就自動被子載入了。它們載入的方法是通過插入病毒代碼整段落或分散插入到這些文件的空白位元組中，如CIH病毒就是把自己拆分成9段嵌入到PE結構的可執行文件中，感染後通常文件的位元組數並不見增加，這就是它的隱蔽性的一面。

c、網路型病毒

這種病毒是近幾來網路的高速發展的產物，感染的對象不再局限於單一的模式和單一的可執行文件，而是更加綜合、更加隱蔽。現在一些網路型病毒幾乎可以對所有的OFFICE文件進行感染，如WORD、EXCEL、電子郵件等。其攻擊方式也有轉變，從原始的刪除、修改文件到現在進行文件加密、竊取用戶有用信息（如黑客程序）等，傳播的途經也發生了質的飛躍，不再局限磁碟，而是通過更加隱蔽的網路進行，如電子郵件、電子廣告等。

d、復合型病毒

把它歸為"復合型病毒"，是因為它們同時具備了"引導型"和"文件型"病毒的某些特點，它們即可以感染磁碟的引導扇區文件，也可以感染某此可執行文件，如果沒有對這類病毒進行全面的清除，則殘留病毒可自我恢復，還會造成引導扇區文件和可執行文件的感染，所以這類病毒查殺難度極大，所用的殺毒軟體要同時具備查殺兩類病毒的功能。

以上是按照病毒感染的對象來分，如果按病毒的破壞程度來分，我們又可以將病毒劃分為以下幾種：

a、良性病毒：

這些病毒之所以把它們稱之為良性病毒，是因為它們入侵的目的不是破壞你的系統，只是想玩一玩而已，多數是一些初級病毒發燒友想測試一下自己的開發病毒程序的水平。它們並不想破壞你的系統，只是發出某種聲音，或出現一些提示，除了佔用一定的硬碟空間和CPU處理時間外別無其它壞處。如一些木馬病毒程序也是這樣，只是想竊取你電腦中的一些通訊信息，如密碼、IP地址等，以備有需要時用。

b、惡性病毒

我們把只對軟體系統造成干擾、竊取信息、修改系統信息，不會造成硬體損壞、數據丟失等嚴重後果的病毒歸之為"惡性病毒"，這類病毒入侵後系統除了不能正常使用之外，別無其它損失，系統損壞後一般只需要重裝系統的某個部分文件後即可恢復，當然還是要殺掉這些病毒之後重裝系統。

c、極惡性病毒

這類病毒比上述b類病毒損壞的程度又要大些，一般如果是感染上這類病毒你的系統就要徹底崩潰，根本無法正常啟動，你保分留在硬碟中的有用數據也可能隨之不能獲取，輕一點的還只是刪除系統文件和應用程序等。

d、災難性病毒

這類病毒從它的名字我們就可以知道它會給我們帶來的破壞程度，這類病毒一般是破壞磁碟的引導扇區文件、修改文件分配表和硬碟分區表，造成系統根本無法啟動，有時甚至會格式化或鎖死你的硬碟，使你無法使用硬碟。如果一旦染上這類病毒，你的系統就很難恢復了，保留在硬碟中的數據也就很難獲取了，所造成的損失是非常巨大的，所以我們進化論什麼時候應作好最壞的打算，特別是針對企業用戶，應充分作好災難性備份，還好現在大多數大型企業都已認識到備份的意義所在，花巨資在每天的系統和數據備份上，雖然大家都知道或許幾年也不可能遇到過這樣災難性的後果，但是還是放鬆這"萬一"。我所在的雀巢就是這樣，而且還非常重視這個問題。如98年4.26發作的CIH病毒就可劃歸此類，因為它不僅對軟體造成破壞，更直接對硬碟、主板的BIOS等硬體造成破壞。

如按其入侵的方式來分為以下幾種：

a、源代碼嵌入攻擊型

從它的名字我們就知道這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最後隨源程序一起被編譯成可執行文件，這樣剛生成的文件就是帶毒文件。當然這類文件是極少數，因為這些病毒開發者不可能輕易得到那些軟體開發公司編譯前的源程序，況且這種入侵的方式難度較大，需要非常專業的編程水平。

b、代碼取代攻擊型

這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也少見，它主要是攻擊特定的程序，針對性較強，但是不易被發現，清除起來也較困難。

c、系統修改型

這類病毒主要是用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中的部分功能，由於是直接感染系統，危害較大，也是最為多見的一種病毒類型，多為文件型病毒。

d、外殼附加型

這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當於給程序添加了一個外殼，在被感染的程序執行時，病毒代碼先被執行，然後才將正常程序調入內存。目前大多數文件型的病毒屬於這一類。

有了病毒的一些基本知識後現在我們就可以來檢查你的電腦中是否含有病毒，要知道這些我們可以按以下幾個方法來判斷。

1、反病毒軟體的掃描法

這恐怕是我們絕大數朋友首選，也恐怕是唯一的選擇，現在病毒種類是越來越多，隱蔽的手段也越來越高明，所以給查殺病毒帶來了新的難度，也給反病毒軟體開發商帶來挑戰。但隨著計算機程序開發語言的技術性提高、計算機網路越來越普及，病毒的開發和傳播是越來越容易了，因而反病毒軟體開發公司也是越來越多了。但目前比較有名的還是那麼幾個系統的反病毒軟體，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、諾頓等。至於這些反病毒軟體的使用在此就不必說敘了，我相信大家都有這個水平！

2、觀察法

這一方法只有在了解了一些病毒發作的症狀及常棲身的地方才能准確地觀察到。如硬碟引導時經常出現死機、系統引導時間較長、運行速度很慢、不能訪問硬碟、出現特殊的聲音或提示等上述在第一大點中出現的故障時，我們首先要考慮的是病毒在作怪，但也不能一條胡洞走到底，上面我不是講了軟、硬體出現故障同樣也可能出現那些症狀嘛！對於如屬病毒引起的我們可以從以下幾個方面來觀察：

a、內存觀察

這一方法一般用在DOS下發現的病毒，我們可用DOS下的"mem/c/p"命令來查看各程序佔用內存的情況，從中發現病毒佔用內存的情況（一般不單獨佔用，而是依附在其它程序之中），有的病毒佔用內存也比較隱蔽，用"mem/c/p"發現不了它，但可以看到總的基本內存640K之中少了那麼區區1k或幾K。

b、注冊表觀察法

這類方法一般適用於近來出現的所謂黑客程序，如木馬程序，這些病毒一般是通過修改注冊表中的啟動、載入配置來達到自動啟動或載入的，一般是在如下幾個地方實現：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

等等。

c、系統配置文件觀察法

這類方法一般也是適用於黑客類程序，這類病毒一般在隱藏在system.ini 、wini.ini（Win9x/WinME）和啟動組中，在system.ini文件中有一個"shell="項，而在wini.ini文件中有"load= "、"run= "項，這些病毒一般就是在這些項目中載入它們自身的程序的，注意有時是修改原有的某個程序。我們可以運行Win9x/WinME中的msconfig.exe程序來一項一項查看。具體也可參考我的《通通透透看木馬》一文。

d、特徵字元串觀察法

這種方法主要是針對一些較特別的病毒，這些病毒入侵時會寫相應的特徵代碼，如CIH病毒就會在入侵的文件中寫入"CIH"這樣的字元串，當然我們不可能輕易地發現，我們可以對主要的系統文件（如Explorer.exe)運用16進制代碼編輯器進行編輯就可發現，當然編輯之前最好還要要備份，畢竟是主要系統文件。

e、硬碟空間觀察法

有些病毒不會破壞你的系統文件，而僅是生成一個隱藏的文件，這個文件一般內容很少，但所佔硬碟空間很大，有時大得讓你的硬碟無法運行一般的程序，但是你查又看不到它，這時我們就要打開資源管理器，然後把所查看的內容屬性設置成可查看所有屬性的文件（這方法應不需要我來說吧？），相信這個龐然大物一定會到時顯形的，因為病毒一般把它設置成隱藏屬性的。到時刪除它即可，這方面的例子在我進行電腦網路維護和個人電腦維修過程中見到幾例，明明只安裝了幾個常用程序，為什麼在C盤之中幾個G的硬碟空間顯示就沒有了，經過上述方法一般能很快地讓病毒顯形的。

㈥ 電腦被惡意入侵，抓包，被竊取信息！求好心人幫忙！！！

大多入侵都是病毒和木馬，首先就是查殺病毒木馬，在不確定是否能殺干凈的情況下，又沒有了什麼值得備份的文件那就乾脆格盤，最好什麼文件都不要備份。畢竟你的重要文件已經被猛臘盜取，旁悔實在不放心就換硬碟。現在硬碟便宜。既然是針對性的入侵，那麼可以一一運知正排除，用戶IP也是一種可以入侵的路徑，換種讓他想不到的路徑上網，比如使用朋友的ip上網。希望能幫到你

㈦ 假如計算機中病毒了,是不是會被竊取一些電腦中的信息啊

病毒一般不會竊取你的信息的，只會破壞你的計算機系統

都是黑扒大族客之類的愛搞這樣的事，你只要裝上防火牆一般春弊都沒事的，斷仿汪開網路肯定竊取不掉你的信息了

㈧ 我的電腦老是被提醒收到ARP入侵攻擊，可以從攻擊源MAC地址中得到什麼信息

MAC地址就是電腦信息,一台電腦只有一個MAC地址。如果網管有能力，順著MAC地址就可以找到那台電腦。反制就不用了，因為你裝一個ARP防火牆就可以解決了，對方就算不停地攻擊，你也不會受到任何的損害，雖然防火牆可以顯示他的攻擊。其次的話，可能他是中木馬了自己不知道，這本身就是對他的一個懲罰，就像一個人生病了，而且是傳染性的，就有可能傳染給你，但你不會因此懲罰他，只需要做好個人防護工作就OK。

㈨ 黑客入侵電腦和竊取信息都是用木馬嗎

什麼是木馬?
特洛伊木馬(以下簡稱木馬)，英文叫做「Trojan house」，其名稱取自希臘神話的特洛伊木馬記。
它是一種基於遠程式控制制的黑客工具，具有隱蔽性和非授權性的特點。
所謂隱蔽性是指木馬的設計者為了防止木馬被發現，會採用多種手段隱藏木馬，這樣服務端即使發現感染了木馬，由於不能確定其具體位置，往往只能望「馬」興嘆。
所謂非授權性是指一旦控制端與服務端連接後，控制端將享有服務端的大部分操作許可權，包括修改文件，修改注冊表，控制滑鼠，鍵盤等等，而這些權力並不是服務端賦予的，而是通過木馬程序竊取的。

從木馬的發展來看，基本上可以分為兩個階段。
最初網路還處於以UNIX平台為主的時期，木馬就產生了，當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統文件中，用跳轉指令來執行一些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網路和編程知識。
而後隨著WINDOWS平台的日益普及，一些基於圖形操作的木馬程慎答序出現了，用戶界面的改善，使使用者不用懂太多的專業知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現，而且由於這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。
所以所木馬發展到今天，已經無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。

鑒於木馬的巨大危害性，我們將分原理篇，防禦與反擊篇，資料篇三部分來詳細介紹木馬，希望大家對特洛伊木馬這種攻擊手段有一個透徹的了解。

原 理 篇

基礎知識
在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明,因為下面有很多地方會提到這些內容。
一個完整的木馬系統由硬體部分，軟體部分和具體連接部分組成。
(1)硬體部分：建立木馬連接所必須的硬體實體。 控制端：對服務端進行遠程式控制制的一方。 服務端：被控制端遠程式控制制的一方。 INTERNET：控制端對服務端進行遠程式控制制，數據傳輸的網路載體。
(2)軟體部分：實現遠程式控制制所必須的軟體程序。 控制端程序：控制端用以遠程式控制制服務端的程序。 木馬程序：潛入服務端內部，獲取其操作許可權的程序。 木馬配置程序：設置木馬程序的埠號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程序。
(3)具體連接部分：通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務端IP：即控制端，服務端的網路地址，也是木馬進行數據傳輸的目的地。 控制端埠，木馬埠：即控制端，服務端的數據入口，通過這個入口，數據可直達控制端程序或木馬 程序。

木馬原理
用木馬這種黑客工具進行網路入侵，從過程上看大致可分為六步(具體可見下圖)，下面我們就按這六步來詳細闡述木馬的攻擊原理。

一.配置木馬
一般來說一個設計成熟的木馬都有木馬配置程序，從具體的配置內容看，主要是為了實現以下兩方 面功能：
(1)木馬偽裝：木馬配置程序為了在服務端盡可能的好的隱藏木馬，會採用多種偽寬賀慧裝手段，如修改圖標 ，捆綁文件，定製埠，自我銷毀等，我們將在「傳播木馬」這一節中詳細介紹。
(2)信息反饋：木馬配置程序將就信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址，IRC號 ，ICO號等等，具體的我們將在「信息反饋」這一節中詳細介紹。

二.傳播木馬
(1)傳播方式:
木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發送出 去, 收信人只要打開附件系統就會感染木馬;另一種是軟體下載，一些非正規的網站以提供軟體下載為 名義， 將木馬捆綁在軟體安裝程序上，下載後，只要一運行這些程序，木馬就會自動安裝。
(2)偽裝拍型方式:
鑒於木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑製作用,這 是木馬設計者所不願見到的,因此他們開發了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目 的。
(一)修改圖標
當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告 訴你,這也有可能是個木馬程序,現在 已經有木馬可以將木馬服務端程序的圖標改成HTML,TXT, ZIP等各種文件的圖標,這有相當大的迷 惑性,但是目前提供這種功能的木馬還不多見,並且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。
(二)捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的 情況下 ,偷偷的進入了系統。至於被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。
(三)出錯顯示
有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序, 木馬的 設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務 端用戶打開木 馬程序時,會彈出一個如下圖所示的錯誤提示框(這當然是假的),錯誤內容可自由 定義,大多會定製成 一些諸如「文件已破壞，無法打開的！」之類的信息，當服務端用戶信以 為真時,木馬卻悄悄侵入了 系統。
(四)定製埠
很多老式的木馬埠都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 埠就 知道感染了什麼木馬,所以現在很多新式的木馬都加入了定製埠的功能,控制端用戶可 以在1024---65535之間任選一個埠作為木馬埠(一般不選1024以下的埠)，這樣就給判斷 所感染木馬類型帶 來了麻煩。
(五)自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件後，木馬 會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下)，一般來說 原木馬文件 和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那麼中了木馬 的朋友只要在近來 收到的信件和下載的軟體中找到原木馬文件,然後根據原木馬的大小去系統 文件夾找相同大小的文件, 判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬後，原木馬文件將自動銷毀，這 樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工 具幫助下，就很難刪除木馬了。
(六)木馬更名
安裝到系統文件夾中的木馬的文件名一般是固定的，那麼只要根據一些查殺木馬的文章,按 圖索驥在系統文件夾查找特定的文件,就可以斷定中了什麼木馬。所以現在有很多木馬都允許控 制端用戶自由定製安裝後的木馬文件名，這樣很難判斷所感染的木馬類型了。

三.運行木馬

服務端用戶運行木馬或捆綁木馬的程序後,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的 系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然後在注冊表,啟動組,非啟動組中設置好木馬 的觸發條件 ,這樣木馬的安裝就完成了。安裝後就可以啟動木馬了，具體過程見下圖：

(1)由觸發條件激活木馬

觸發條件是指啟動木馬的條件,大致出現在下面八個地方:
1.注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run 和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。
2.WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini，用文本方式打開，在[windows]欄位中有啟動 命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini，用文本方式打開，在[386Enh],[mic]， [drivers32]中有命令行,在其中尋找木馬的啟動命令。
4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種載入方式一般都 需要控制端用戶與服務端建立連接後，將已添加木馬啟動命令的同名 文件上傳 到服務端覆蓋這兩個文件才行。
5.*.INI:即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬 啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。
6.注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產 木馬「冰河」就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將「C :\WINDOWS \NOTEPAD.EXE %1」該為「C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1」，這時你雙 擊一個TXT文件 後，原本應用NOTEPAD打開文件的，現在卻變成啟動木馬程序了。還要說明 的是不光是TXT文件 ，通過修改HTML，EXE，ZIP等文件的啟動命令的鍵值都可以啟動木馬 ，不同之處只在於「文件類型」這個主鍵的差別，TXT是txtfile,ZIP是WINZIP，大家可以 試著去找一下。
7.捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後控制端用戶用工具 軟體將木馬文件和某一應用程序捆綁在一起，然後上傳到服務端覆蓋原文件，這樣即使 木馬被刪 除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。
8.啟動菜單:在「開始---程序---啟動」選項下也可能有木馬的觸發條件。

(2)木馬運行過程

木馬被激活後，進入內存，並開啟事先定義的木馬埠，准備與控制端建立連接。這時服務端用 戶可以在MS-DOS方式下，鍵入NETSTAT -AN查看埠狀態，一般個人電腦在離線狀態下是不會有埠 開放的，如果有埠開放，你就要注意是否感染木馬了。下面是電腦感染木馬後，用NETSTAT命令查 看埠的兩個實例：

其中①是服務端與控制端建立連接時的顯示狀態，②是服務端與控制端還未建立連接時的顯示狀態。

在上網過程中要下載軟體，發送信件，網上聊天等必然打開一些埠，下面是一些常用的埠：
(1)1---1024之間的埠：這些埠叫保留埠，是專給一些對外通訊的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木馬會用保留埠作為木馬埠 的。
(2)1025以上的連續埠：在上網瀏覽網站時，瀏覽器會打開多個連續的埠下載文字，圖片到本地 硬碟上，這些埠都是1025以上的連續埠。
(3)4000埠：這是OICQ的通訊埠。
(4)6667埠：這是IRC的通訊埠。 除上述的埠基本可以排除在外，如發現還有其它埠打開，尤其是數值比較大的埠，那就要懷疑 是否感染了木馬，當然如果木馬有定製埠的功能，那任何埠都有可能是木馬埠。

四.信息泄露:

一般來說，設計成熟的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝後會收集 一些服務端的軟硬體信息，並通過E-MAIL，IRC或ICO的方式告知控制端用戶。下圖是一個典型的信息反 饋郵件。

從這封郵件中我們可以知道服務端的一些軟硬體信息，包括使用的操作系統，系統目錄，硬碟分區況， 系統口令等，在這些信息中，最重要的是服務端IP，因為只有得到這個參數，控制端才能與服務端建立 連接，具體的連接方法我們會在下一節中講解。

五.建立連接：

這一節我們講解一下木馬連接是怎樣建立的 。一個木馬連接的建立首先必須滿足兩個條件：一是 服務端已安裝了木馬程序；二是控制端，服務端都要在線 。在此基礎上控制端可以通過木馬埠與服 務端建立連接。為了便於說明我們採用圖示的形式來講解。

如上圖所示A機為控制端，B機為服務端，對於A機來說要與B機建立連接必須知道B機的木馬埠和IP地 址，由於木馬埠是A機事先設定的，為已知項，所以最重要的是如何獲得B機的IP地址。獲得B機的IP 地址的方法主要有兩種：信息反饋和IP掃描。對於前一種已在上一節中已經介紹過了，不再贅述，我們 重點來介紹IP掃描，因為B機裝有木馬程序，所以它的木馬埠7626是處於開放狀態的，所以現在A機只 要掃描IP地址段中7626埠開放的主機就行了，例如圖中B機的IP地址是202.102.47.56，當A機掃描到 這個IP時發現它的7626埠是開放的，那麼這個IP就會被添加到列表中，這時A機就可以通過木馬的控 制端程序向B機發出連接信號，B機中的木馬程序收到信號後立即作出響應，當A機收到響應的信號後， 開啟一個隨即埠1031與B機的木馬埠7626建立連接，到這時一個木馬連接才算真正建立。值得一提 的要掃描整個IP地址段顯然費時費力，一般來說控制端都是先通過信息反饋獲得服務端的IP地址，由於 撥號上網的IP是動態的，即用戶每次上網的IP都是不同的，但是這個IP是在一定范圍內變動的，如圖中 B機的IP是202.102.47.56，那麼B機上網IP的變動范圍是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索這個IP地址段就可以找到B機了。

六.遠程式控制制：

木馬連接建立後，控制端埠和木馬埠之間將會出現一條通道，見下圖

控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,並通過木馬程序對服務端進行遠 程式控制制。下面我們就介紹一下控制端具體能享有哪些控制許可權，這遠比你想像的要大。
(1)竊取密碼：一切以明文的形式，*形式或緩存在CACHE中的密碼都能被木馬偵測到，此外很多木馬還 提供有擊鍵記錄功能，它將會記錄服務端每次敲擊鍵盤的動作，所以一旦有木馬入侵， 密碼將很容易被竊取。
(2)文件操作：控制端可藉由遠程式控制制對服務端上的文件進行刪除,新建,修改,上傳,下載,運行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平台上所有的文件操作功能。
(3)修改注冊表：控制端可任意修改服務端注冊表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這 項功能控制端就可以禁止服務端軟碟機，光碟機的使用，鎖住服務端的注冊表，將服務端 上木馬的觸發條件設置得更隱蔽的一系列高級操作。
(4)系統操作：這項內容包括重啟或關閉服務端操作系統，斷開服務端網路連接，控制服務端的滑鼠， 鍵盤，監視服務端桌面操作，查看服務端進程等，控制端甚至可以隨時給服務端發送信 息，想像一下，當服務端的桌面上突然跳出一段話，不嚇人一跳才怪
三者差異，其實現在已經越來越小了。
蠕蟲，現在具體指那些通過漏洞或者電子郵件等快速傳播的程序，它們大都以快速傳播為目的，以此躲避徹底查殺，蠕蟲一般很少感染可執行文件。
當攻擊者進入你的系統後，它會放置一個木馬，或者，攻擊者會欺騙你運行木馬。木馬的作用是幫助攻擊者更加容易地操作你的電腦，它們很少自行破壞文件，因為它們一般要長期待在你的系統中。
病毒，最大類的東西，按照現在的分類趨勢，病毒幾乎能夠涵蓋木馬和蠕蟲，它泛指那些對用戶有害的程序，又特指其中會自我傳播的那一部分。早期的，一般意義的病毒是指會感染文件的文件型病毒。

㈩ 電腦被黑客侵入後會出現哪些現象

第一標志：電腦頻繁隨機彈出窗口。如果你電腦有這樣的現象，你可能已經遭到黑客攻擊了。您的系統已經遭到破壞。惡意軟體可繞過瀏覽器的抑制隨機彈出窗口anti-up的機制。

第四標志：您搜索的頁面，跳轉到其他網頁。許多黑客通過重新定向，讓你跳轉到其他網站，而這個網站並不是你想瀏覽的網站。當你點擊網頁時，黑客即可獲取利益。如果您既有假工具欄程序，又被重新定向。你應該仔細察看你的系統，刪拿皮敗除惡意程序軟體，以擺脫跳轉握鎮到其他網頁的狀況。