确保无线上网的安全法则

记录下该木马文件的位置（可用“查找”功能定位，并记录下来），然后重新启动机器（直到机器被重新启动前木马依然是存活着的），重新启动后，木马程序本身依然存留在硬盘上，然后直接象删除普通程序一样删除掉——这个方法的要点就是先禁止木马的启动然后再行杀除，好处是操作简单，不需要借助其他软件，特别是在Win98下默认是无法查看某些进程的，因此用这个方法相当方便，坏处则是对某些木马无效——某些木马在运行的时候会定期查看设置的启动项是否还存在，若是不存在的话会自动修改过来，属于比较强硬的做法，于是第一种杀除方法就无法应对这样的木马了；第2种方法是先通过进程管理器查看，记录并终止运行可疑程序（不光是注册表/配置文件里的木马启动项，有时候木马程序本身会运行一个附带的独立监视程序来防止自己被改写

　　因此需要非常熟悉自己的机器上的固定正常运行程序才能准确判断，当然还有一个做法是非关键进程都杀——天缘在给朋友机器手工杀木马的时候常这样），之后再到启动项目里去杀除掉相关的启动项目，重新启动机器后再把刚才记录下的进程进行仔细查看，把确认为木马的文件删除掉。这个方法好处当然就是比较容易杀掉一些定期检查/回写启动项目的疑难木马，不过对用户的操作要求比较高一些。

　　以上2种方法如果掌握了，基本上就能把目前的木马全部手工杀除掉，但遇到木马使用2个程序互相关联/检查启动，或者是在加载基本驱动阶段时以驱动程序方式嵌入的木马程序时候用上面提到的2种方法都无效。在Win2000/xp中，启动机器的时候会加载system32/drivers目录下的驱动，而如果这些驱动中含有恶意程序，那么它可以做到改写i/o，让Windows修改某些文件无效，或让操作某一注册表无效，目前这一技术在病毒中尚未看到先例，但颇有争议的3721已经成功地运用了该技术，相信在不久的将来一些功力深厚的病毒作者也会运用到此技术。天缘在这里预先提一下对该类病毒的删除方法——由于病毒已改写i/o，故最好的做法是在非windows环境中将其删除，具体的做法是用软盘/光驱引导启动，或者利用vFloppy等工具配合boot引导程序制作一个小型虚拟引导盘，进行杀除工作。

　　杀毒遗留：由于木马程序并不一定只有一个可执行文件，因此如果利用手工查杀的方法，或许会有一些木马留下的dll，ocx等资源文件留下，副作用没什么，但是会残留在硬盘上。杀毒软件严格意义上来说只是杀除了一些比较流行的主流木马，对待一些不太流行的木马是视而不见的，专业的木马查杀工具能杀除90%左右的木马，但剩下的10%高技术的木马也无法查杀——如上文提到采用3721那种加载到system32/drivers下的木马在windows上改写文件/注册表的读写，则无法在windows环境下查杀。

　　病毒防御：对待木马，防止感染远比事后杀除更为重要——重要的文件/资料/帐号已经被获取了，即使把木马杀了也无事于补。木马的进驻，除了利用系统漏洞，大多采用欺骗方式——记得一句古话：“便宜莫贪”。网络上初认识的朋友热情地给你发他的照片，四处标榜着的免费游戏外挂，一些小站点吹嘘的精品软件，一些情色站点的专用播放器，一些所谓“安全站点”的所谓黑客工具。

　　世界上没有绝对免费的事，以上提到的这些事情中的确有一些是免费的，当更多的是木马程序，或者利用程序捆绑技术，将正常程序和木马程序捆绑在一起的。如非必要尽量不要在这些地方进行下载。总想贪图便宜，会吃大亏的——生活中如此，网络上同样是！网络上喜欢你6位qq号的人远比觉得你帅的人多；网络上喜欢你40级帐号的人远比喜欢你在游戏中造型的人多；网络上希望你作他肉机的人远比他做你肉机的人多。总之一句话，无事献殷勤——大多非奸即盗！对待漏洞或权限设置不当的，在后面蠕虫病毒部分一并介绍。

　　3．蠕虫病毒 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　繁殖，繁殖，再繁殖，利用系统漏洞，通过网络感染感染其他计算机，繁殖，繁殖，再繁殖。此类病毒深得“乾坤生两仪，两仪生四象，四象生八卦”之能，每台受感染的机器，本身又以病毒发送者的身份将蠕虫病毒送向四面八方。

　　病毒描述：这类病毒的本质特征之一就是透过网络主动进行感染，本身不具有太多破坏特性，以消耗系统带宽、内存、CPU为主。这类病毒最大的破坏之处不是对终端用户造成的麻烦，而是对网络的中间设备无谓耗用。例如网络中的交换机/路由器/DNS服务器/邮件服务器常常是蠕虫病毒爆发的最大受害者——“互联网瘫痪了！？”——2003年1月的SQL蠕虫爆发就是最好的例证。

　　病毒浅析：在以前，编写这类病毒的技术要求相当高。1988年，前面提到的“磁芯大战”之子罗伯特.莫里斯在发现了几个系统漏洞后，编写了一个精巧的程序，短短时间便将当时的大半个互联网瘫痪。由以上可以看出，蠕虫的出现，传播，感染是需要系统漏