智能木马案过程详细_心理木马程序方案设计

如何编写木马程序?

怎样编写木马程序

您好

建议您不要去学习使用木马病毒，是属于违法犯罪行为。而且，如果您接收了木马病毒，那么该病毒会自动在您的电脑中优先运行。

建议您到腾讯电脑管家官网下载一个电脑管家。

在平时使用电脑的时候，打开电脑管家，可以受到电脑管家16层实时防护的保护和云智能预警系统，可以在木马活动早期侦测并阻断木马的破坏行为，通过云查杀技术秒杀最新流行木马。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

腾讯电脑管家企业平台：zhidao.baidu/c/guanjia/

如何编写木马程序？？

你想干什么？如果你只想玩玩，建议你学一下vbs脚本或bat脚本，如果你想把脚本做成exe程序，最简单的 *** 就是把脚本压缩到自解压文件里，再用16进制编辑器修改一下某个数值，就成功了。

如果你想干坏事，嘻嘻，木马也不是那么好写的，首先你要成为一个出色的程序员，不仅要打好C语言基础，更要精通汇编语言和计算机硬件以及操作系统原理，逻辑思维要强，当然要学的还很多，如mfc，C#等等，所以，如果你不是非常痴迷于编程，我劝你玩玩就行了，当然，更不要走上违法犯罪的道路吆！

good luck。

呀，还有，请采纳我吧，宝贝儿，嘻！

如何编写木马程序

如果对电脑感兴趣的话可以学习下，一般软件开发工程师都是学的高级语言，但是如果写木马，我们一般是要接触低级语言的，低级语言比高级语言学起来枯燥，但学成之后进阶高级语言很快而且比一般的程序员牛逼，高级语言配合底层知识才能写出更好的木马。底层知识越牢固越好。

怎样才能编程木马程序

北上广深这么多程序员，怎么没几个搞这种编程的？

一个原因就是没钱赚，另一个原因就是技术上要求太高。

好好的学编程，从你提这个问题来看，你都还没入门吧。

慢慢学，你会发现学得越多自己越无知，等你有五年以上开发经验的时候，再来看你现在的这个提问的时候，一定会笑话这个时候的自己的。

祝你在开发的路上快速成长！

木马是如何编写的（三）

很高兴为您解答：

木马编写是需要你懂的C++语言

首先是程序的大小问题，本程序经编译链接后得到的可执行文件竟有400多K，用Aspack1.07压了一下也还有200多K。可以看出不必要的Form是应该去掉的；并且尽量由自己调用底层的API函数，而尽量少使用Borland打好包的VCL控件；要尽量使用汇编语言（BCB支持C++和汇编混编），不但速度会加快，而且大小可以小很多，毕竟木马是越小越好。

还有启动方式的选择。出了Win.ini、System.ini之外，也还是那几个注册表键值，如：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

都已被其他的木马用烂了。现在又开始对exe、dll和txt文件的关联程序动手脚了（如冰河和广外女生）。这里涉及到参数传递的问题。得到ParamStr（）函数传来的参数，启动自己后再启动与之关联的程序，并将参数传递给它，这样就完成了一次“双启动”，而受害者丝毫感觉不到有任何异常。具体键值如：

与exe文件建立关联：HKEY_CLASSES_ROOT\exefile\shell\open\mand

与txt文件建立关联：HKEY_CLASSES_ROOT\txtfile\shell\open\mand

与dll文件建立关联：HKEY_CLASSES_ROOT\dllfile\shell\open\mand

等，当然还可以自己扩充。目前还有一种新 *** ：在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Windows

下添加如下键值 "AppInit_DLLs"="Server.dll"，这就把Server.dll注册为系统启动时必须加载的模块（你应该把木马编译成DLL）。下次开机时，木马以动态链接库形式被加载，存在于系统进程中。因为没有它自己的PID（Process ID 进程识别号），所以在NT的任务管理器中也看不见（不过在“系统信息”——“软件环境”——“已加载的32位模块”中还是可以详细看到当前内存中加载的每一个模块的），这样做的目的是可以使自己的程序更加隐蔽，提高木马的生存能力。

木马的功能还可以大大扩充。你可以充分发挥你的想象力——比如上传、下载、新建、改名、移动文件，截图存为jpg文件传回，录音监听成Wav文件，录像成AVI文件，弹光驱，读软驱，关机，重启，不停地挂起，胡乱切换分辨率（烧掉你的显示器），发对话框，不停地打开资源管理器直到死机，杀掉Kernel32.dll进程使机器暴死，交换鼠标左右键，固定鼠标，限制鼠标活动范围，鼠标不听指挥到处乱窜，记录击键记录（记录上网口令，这需要深入了解钩子（Hook）技术，如键盘钩子和鼠标钩子），窃取......

编写木马？

盗号木马~~~~楼主，这不是好玩的东西，不过看在高分悬赏的份上，就告诉你吧。 可以通过 SendMessage 发送 WM_GETTEXT 取得密码框中的值，我们可以利用这一点来完成密码的截取。 使用 Timer 控件，监视 *** 。 用遍查窗口的 *** (EnumWindows)，取得所有的窗口标题(GetWindowText)，判断其中是否为" *** 用户登录"的标题，取 得 *** 登录窗口的子窗口(窗口上的控件)的类名(GetClassName)，然后通过 boBox、Edit 取得用户名和密码(通过 SendMessage 发送 WM_GETTEXT 取得值)。 由于不能判断外部按键事件的发生，只有通过不断的取得密码值，具体 *** 如下： 首先取得 用户名的值，然后不停的取密码的值，再判断窗口的标题是否为用户名，如果为用户名，则最后一次密码的值就是真正的密码，到此程序完成。 程序编制 (1)首先为了避免程序被多次装载，造成系统资源的浪费、及不必要的错误。 声明变量、过程及 API 函数,写在 Module1.bas 文件中 Declare Function CreateFileMapping Lib "kernel32" Alias "CreateFileMappingA" (ByVal hFile As Long, lpFileMappigAttributes As SECURITY_ATTRIBUTES, ByVal flProtect As Long, ByVal dwMaximumSizeHigh As Long, ByVal dwMaximumSizeLow As Long, ByVal lpName As String) As Long '创建一个新的文件映射对象

Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long '关闭一个内核对象

Type SECURITY_ATTRIBUTES

nLength As Long

lpSecurityDescriptor As Long

bInheritHandle As Long

End Type

Const PAGE_READWRITE = 1

Const ERROR_ALREADY_EXISTS = 183

建立判断程序是否多启动的过程

Sub Main()

Dim ynRun As Long

Dim sa As SECURITY_ATTRIBUTES

sa.bInheritHandle = 1

sa.lpSecurityDescriptor = 0

sa.nLength = Len(sa)

ynRun = CreateFileMapping(HFFFFFFFF, sa, PAGE_READWRITE, 0, 128, App.title) '创建内存映射文件

If (Err.LastDllError = ERROR_ALREADY_EXISTS) Then '如果指定内存文件已存在，则退出

CloseHandle ynRun '退出程序前关闭内存映射文件

End

End If

End Sub

(2)即时监视，就需要在系统启动时，程序自启动，这里使用修改注册表的 *** 声明变量、过程及 API......

木马程序是怎么编出来的

一个典型的蠕虫病毒有两个功能型部件：传播和破坏，流行的蠕虫病毒大都是利用操作系统或者应用程序的漏洞（以弱口令和溢出最为常见），但常常并不会对宿主机造成“致命”的破坏。这两个特点使蠕虫病毒比普通电脑病毒传播得更快，影响力更大。一般来说，单一的蠕虫病毒只针对某种特定的漏洞进行攻击，所以一旦这种漏洞得到大范围修补，病毒也就没有了生存空间。

更新这种设计，我把传播部件拆分开来：把扫描、攻击和破坏脚本化，主程序则负责解析这些脚本。例如针对ftp弱口令进行扫描，我们可以定义如下脚本：

code:

uid = iscript-0a21-2331-x #随机唯一编号

using tcp;

port 21;

send “user anonymous”;

send crlf;

send “pass [email protected]”

send crlf;

if (find “200”) resulrt ok;

next;

[copy to clipboard]

解析了这段脚本后（我想这种脚本是很容易读懂的），我们再定义一系列的过程，把我们的蠕虫体upload上去，一次完整的传播动作就完成了。如果是溢出漏洞，为了简单起见我们可以采集远程溢出的数据包，然后修改ip地址等必要数据，再转发溢出数据包进行溢出（这种情况下要实现connect-back就不容易了，不过这些具体问题就待有心人去研究吧），例如：

code:

using raw;

ip offset at 12;

send “\x1a\xb2\xcc” ……

[copy to clipboard]d

主程序在完成传播后留下一个后门，其他宿主机可以通过这个后门与本地的蠕虫病毒同步传播脚本，这样每次有新的漏洞产生，宿主机的传播方式可以很快地得到升级。我们当然不会仅满足于这样一个蠕虫程序，扫描/攻击脚本的传播过程也是需要仔细处理的。

我们希望适应力（fitness）最强的脚本得到广泛的应用（看起来有点类似 蚁群算法 和 ga），所以我们要求得每个个体的fitness，当它和另一个体取得联系的时候就可以决定谁的传播脚本将取代另一个：

fitness = number of host infected / number of host scanned

但也不能仅凭fitness就修改传播脚本，我个人觉得一个合适的概率是75%，20%的机会保持各自的传播脚本，剩下的5%则交换脚本。这样在维持每种脚本都有一定生存空间的情况下使适应性更好的个体得到更多的传播机会，同时，一些在某种 *** 环境下适应性不强的脚本也有机会尝试不同的 *** 环境。

木马程序是怎么写出来的？

您好：

建议您不要编写木马程序，木马程序会对您和别人的电脑造成损害的，如果您曾编写过此类不安全的软件的话，为了您电脑的安全，建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧，打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以，您可以点击这里下载最新版的腾讯电脑管家：最新版腾讯电脑管家下载

腾讯电脑管家企业平台：zhidao.baidu/c/guanjia/

怎么 *** 木马程序？

你需要学会编程才能编写木马编写木马更好用vc++。enet/eschool/video/c++/ 这是c++的教程，你学懂了这些皮毛的东西再深入研究内核编程吧如果上面的地址打不开可以到这里pconline/pcedu/empolder/gj/vc/0607/820674

怎么编写一个简单的木马程序?

特洛依木马这个名词大家应该不陌生，自从98年“死牛崇拜”黑客小组公布Back Orifice以来，木马犹如平地上的惊雷， 使在Dos——Windows时代中长大的中国网民从五彩缤纷的 *** 之梦中惊醒，终于认识到的 *** 也有它邪恶的一面，一时间人心惶惶。

我那时在《电脑报》上看到一篇文章，大意是一个菜鸟被人用BO控制了，吓得整天吃不下饭、睡不着觉、上不了网，到处求救！要知道，木马（Trojan）的历史是很悠久的：早在ATT Unix和BSD Unix十分盛行的年代，木马是由一些玩程式（主要是C）水平很高的年轻人（主要是老美）用C或Shell语言编写的，基本是用来窃取登陆主机的口令，以取得更高的权限。那时木马的主要 *** 是诱骗——先修改你的.profile文件，植入木马；当你登陆时将你敲入的口令字符存入一个文件，用Email的形式发到攻击者的邮箱里。国内的年轻人大都是在盗版Dos的薰陶下长大的，对 *** 可以说很陌生。直到Win9x横空出世，尤其是WinNt的普及，大大推动了 *** 事业的发展的时候，BO这个用三年后的眼光看起来有点简单甚至可以说是简陋的木马（甚至在Win9x的“关闭程序”对话框可以看到进程）给了当时中国人极大的震撼，它在中国的 *** 安全方面可以说是一个划时代的软件。

自己编写木马，听起来很Cool是不是？！木马一定是由两部分组成——服务器程序（Server）和客户端程序（Client），服务器负责打开攻击的道路，就像一个内奸特务；客户端负责攻击目标，两者需要一定的 *** 协议来进行通讯（一般是TCP/IP协议）。为了让大家更好的了解木马攻击技术，破除木马的神秘感，我就来粗略讲一讲编写木马的技术并顺便编写一个例子木马，使大家能更好地防范和查杀各种已知和未知的木马。

首先是编程工具的选择。目前流行的开发工具有C++Builder、VC、VB和Delphi，这里我们选用C++Builder（以下简称BCB）；VC虽然好，但GUI设计太复杂，为了更好地突出我的例子，集中注意力在木马的基本原理上，我们选用可视化的BCB；Delphi也不错，但缺陷是不能继承已有的资源（如“死牛崇拜”黑客小组公布的BO2000源代码，是VC编写的，网上俯拾皆是）；VB嘛，谈都不谈——难道你还给受害者传一个1兆多的动态链接库——Msvbvm60.dll吗？

启动C++Builder 5.0企业版，新建一个工程，添加三个VCL控件：一个是Internet页中的Server Socket，另两个是Fastnet页中的NMFTP和NM *** TP。Server Socket的功能是用来使本程序变成一个服务器程序，可以对外服务（对攻击者敞开大门）。Socket最初是在Unix上出现的，后来微软将它引入了Windows中（包括Win98和WinNt）；后两个控件的作用是用来使程序具有FTP（File Transfer Protocol文件传输协议）和 *** TP（Simple Mail Transfer Protocol简单邮件传输协议）功能，大家一看都知道是使软件具有上传下载功能和发邮件功能的控件。

Form窗体是可视的，这当然是不可思议的。不光占去了大量的空间（光一个Form就有300K之大），而且使软件可见，根本没什么作用。因此实际写木马时可以用一些技巧使程序不包含Form，就像Delphi用过程实现的小程序一般只有17K左右那样。

我们首先应该让我们的程序能够隐身。双击Form，首先在FormCreate事件中添加可使木马在Win9x的“关闭程序”对话框中隐藏的......

木马的 ***

概念：特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

原理：“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的Explorer 键值改为Explorer=“C:/WINDOWS/expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY－USERS/＊＊＊＊/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能，更好的办法就是在“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。

然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。

重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

木马一词的来源：

“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从 *** 上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪

请详细介绍一下木马程序及其原理，和解决办法。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的 *** 载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端绦颍嚎刂贫擞靡栽冻炭刂品�穸说某绦颉?木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的 *** 地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行 *** 入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的 *** 载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的 *** 地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行 *** 入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑 *** 用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， *** TP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接 *** 我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的 *** 主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端 *** 连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

《人类木马程序》～自我与人际关系的木马程序及解法

宇宙，生生不息，无边无际，没有时空限制，包罗万象，无限制。

像水一样，水利万物而不争。

像太阳一样，厚德载物，源源不断提供地球生命能量。

像空气一样，看不见摸不着，但是它就是在那里，无私地奉献。

因此他们成为我们人类乃至整个生物界的生命起源。

爱是地球上乃至整个宇宙更大的能量场，爱与不爱之间的距离犹如近在眼前，又犹如远在天涯。取决于能量调频。

          所有木马程序

    起因认为自己不被爱

觉得自己不被爱，包括存在感不足模组，所以怀疑自己不够好   

茫然、自暴自弃、破罐子破摔，包括茫然模组，失败模组，害怕模组，不自信模组。

包括抢快抢先模组争赢模组，反叛模组，控制狂模组，因孤独木马程序而形成的鹤立鸡群，高处不胜寒，救众生救世界模组。

严格控制，鞭策自己达到成功

～以为成功实现目标之后，自己就会变好，就值得被爱～发现成功与名利填补不了内心的空缺。

亚历山大.劳埃德博士说过人类的问题只有两种根源，一个是感到自己不重要，另一个是没有安全感。 前者问题是以男人为重，后者问题的女人为多，于是衍生出一系列的感情问题、亲子问题、亲情问题、身心健康、工作问题等等，陷入死循环，痛不欲生。甚至我们在时空位置上会发生错乱，多年前发生的某件事，导致我们一辈子心结难以打开，心智还停留在痛苦的那一刻，永远长不大。

解决这两个问题的最根本的 *** 是，只要恢复自己原厂设定的自信（自我价值的认同）与安全感，所有的问题都会瞬间消失。

看待问题，从根源去直接超越。

what：不知道自己喜欢什么，能做什么，这是高度控制的父母和教育，使孩子陷入茫然模组的模式，孩子无法自己做决定，不知道自己喜欢什么能做什么。

how：

旧版本不是问题，问题是你要去哪里，所以要花时间去探寻自己的天赋，重新找回自己。

以旁观者视角看清究竟自己在做什么事情的时候会乐此不疲，废寝忘食，然后在那件事情上花时间并享受这个过程，不需要去问任何人的意见，也不需要告诉父母，最重要的是请先不要想失成败。

what：无论再怎么努力都会失败的起因，所以在之后的人生中，总在最关键的时刻让自己失败，比赛前一天身体出状况，拒绝求爱，拒绝资金......

how：改写或重新诠释重置挫败的版本，不要把那件事直接定义成自己，永远都会失败，可以用创意换一个有趣的新版，全是例如，吃慢点对胃比较好，没吃到棒棒糖对牙齿好，否则他已内建的这组木马程序，会一直无意识的破坏他的人生。

还有一个 *** ，把自己拉到高维度，和小时候的自己对话，把当初的那个感觉不被爱，不被肯定的挫败恐惧愤怒的频率调回到爱与信任，用潜意识法输入爱的程序：我爱我自己，我非常认可我自己，对照着镜子练习，不断唤醒内在爱的力量。

结果实践第二种 *** 后，往后若遇到有人跟过去的自己面临类似的问题时，可以无条件的帮助他，因为你帮过去的自己解决问题，未来的你就会遇到在关键时刻出手救你脱困的贵人。

恐惧有三个层次

之一个层次，恐惧事情本身

第二个层次，害怕面对恐惧背后的创伤

第三个层次，恐惧是内在的投射，缺乏安全感，内在匮乏，它是你灵魂功课的真实写照。

what：害怕模组的形成是管教严格的父母，若小孩不是叛逆期，很容易形成另一种极端，完全温驯，久而久之无法自己做主，因为父母会帮他做决定，所以在这些孩子身上，不仅出现了茫然模组，也容易出现害怕模组，他们的口头禅就是，我怕什么什么，我不会什么什么。

how：平时要聆听自己经常重复在说的词是什么，可以用录音笔记录每天的所言所思所行，回放一下，你就会轻易发现自己语言模式或者行为模模式中的木马程序。

许多父母的爱已经被木马程序转化为恐惧频率，以唠叨威胁，恐吓的方式逼孩子听话，久而久之，一代传一代不自知。

恐高并不是怕高，而是怕摔下来，当我们已经是成年人了，要试着把恐惧看深一点，大胆面对它，转化它，现在请你写下你怕在谁面前失败出丑，同时也写下十件令你恐惧，但又感到自己受局限的事，然后深究这些是从哪里来的。

请找到自己害怕的人事物，这些都是围困你已久的木马程序之墙。

举例：如果你怕高，可以请你信任的人陪你走玻璃栈道或坐摩天轮，以开心冒险替代担忧恐惧的频率。

如果你怕黑，黑暗也是连接着恐惧，尝试着和信任的人在黑暗的地方安静的待着，突破黑暗。

种这组木马程序的人口头禅是我可以吗？我真的可以吗？我不行吧，我试试，慢慢跟上......

霍金斯意识能量层级表正向频率带啊，更具基本的标准：勇气肯定/200都达不到。要辨认这个模组很简单，若常觉得别人很骄傲，总是遇到看不起瞧不起，不尊重你的人，或是怕自己被别人洗脑，就表示你内在有不自信恐惧，失去自己甚至自卑的木马程序。

还有一种情况，别人的自信也会 *** 出不自信/自卑者的木马程序，他们认为这些人太骄傲，也经常觉得自己被瞧不起，但自我价值应由自己来决定，与别人无关。

比较严重的自信不足，自卑者甚至都不敢看对方的眼睛，因为他们也怕被看穿。

久而久之，中这个模组的人很容易形成恶性循环，他不自信，别人也不把不放心把她的事事情交给他处理。

一个不信任自己的人，别人也很难相信他。

举例：

我们生活当中，会遇到很多类似“受害者”的人和极端欺凌别人的人，严重的会演变为“觉得自己不值得活着”，类似抑郁症，暴躁症患者。

同样的发射能量频率不同，所达到的结果也不同。

韩国电影《 *** 》，女主母亲难产去世，父亲怪她害死自己的妻子，所以她的潜意识是自己不应该出生，于是她的行为极端，吃饭一粒一粒米吃，将父亲对她的暴力转化为自己对自己的暴力。同样佛陀的父亲在他母亲去世后用爱不是恐惧与愤怒频率。

两者结果完全不同。

爱与不爱犹如近在咫尺，也犹如远在天涯。

how:从现在起，遇到问题不要急着问别人，试着自己去思考解答，以后你就不再是等待答案的提问者，而是自找答案的解答者。

这两个频率差别比较大，升频后久而久之，内在父母才能战胜那顽劣调皮的内在小孩，真正让你不需要在意别人的眼光，你就是你自己。

所有的频率爱与喜悦，焦虑与恐惧其实是代代相传的，所以我们要仔细观察自己的祖父母，外祖父母父母以及亲戚的共同模组，看他们都在害怕，焦虑，担忧什么，自己是否被影响，甚至被植入相同的频率，透过家族史的探索和家族排列来帮助自己找到并解除木马程序。

最终将我们的频率从恐惧与焦虑变为爱与喜悦。

how：偶像就是一面镜子，把自己喜欢这个人的特质写下来，这是在提醒自己也可以发掘的潜能，无需去盲目追求他，化有形为无形。

老师、老板指示，为你引一小段的路灯，重点是自己要达到的目的地，你可以问他人你生命人生的意义使命目的，但是你为什么要问别人，“你家怎么走”？

how：有意识地或在潜意识当中植入，只要离开或者做某事情的事，开始就是要根植做事情由始至终的念头，以第三者的角度看一下这件事情是否结束。

努力追求高学历高成就高明丽王乐，其实最重要的是天赋热忱和实力。

此模板是逆反心理期。“反叛模组”是不顺从父母的意见，坚持走自己的路。

1.反叛之清楚模组

知道自己喜欢什么并坚持到底

.坚持己见，终于成功

.坚持己见，不成功

2.反叛之茫然组

不知道自己喜欢什么，只为了自己的自 *** 不被剥夺，证明自己或者求得关注，一路上为了反对而反对，为了破坏而破坏，破罐子破摔，玉石俱焚。

.独裁模组  完全反叛

what：不信任别人，不用心倾听别人，即使这个意见对他再好。这种人往往会吸引到“自责模组”的人。

how：由他自己全权决定，并全权负责，即使他不满意结果，若愿意自己检讨就没有问题；如果失败了，抱怨别人，不怨自己就是下一种模式。

.抱怨模组  抱怨别人、怪罪别人

what：孩子没有承担责任，父母一味娇惯，把责任推卸给外在，长大后会加入“怪罪别人，责怪外在环境”的抱怨模组。

how：如果有人抱怨，要仔细观察他抱怨的是什么，他到底想要什么或者需要别人帮他解决什么问题。让这类型人了解把时间花在哪里，就是把自己的振动频率定在哪个版本上，就会显化成什么人。因为怎么用时间，决定了我们是谁——我们在生命中练习什么，我们就精通什么。

记得要跳出抱怨，不要以“抱怨”作为跟别人要挟额外补偿或好处的手段，那只会让其他人对你敬而远之。

举例：

抱怨楼上孩子哭闹声———

理解因为婴儿夜哭，如果去理论，其他邻居被吵到，也会烦，做到“己所不欲勿施于人”。

开车被人家挡了路——

我要怎么才不会挡别人的路而不自知。

通过调频从愤怒仇恨150、罪恶谴责30，拉到宽容原谅350。

what：

个性急，总会抢在别人前面去冒险尝试，然后把经验分享给后面的人和追随者。

“快”既是他们的特点、优点，也是他们的盲点、弱点。

how：把眼前窄化冲刺的跑道拉宽、拉高维度，用全景全息，鸟瞰、复验眼、多重视野的方式来破解盲点的局限。

现在请你写下自己有哪些特点，同时也是优点，缺点，弱点，盲点，致命点，有哪些地方需要改善？这些特点形成了你的哪些优势？它造成了现在我过去的哪些问题？

what：抢队，快食，躁动而导致肠胃问题，焦虑症，躁郁症，自律神经失调，做事没有耐心，总觉得自己动作快，别人动作慢。

优势是自己的事情可以很快完成。

问题是与别人无法配合，越催别人做得越不好，因而总吵架，造成人际关系紧张。

how：让自己保持有知觉的缓慢深呼吸，动作尽可能的慢，每天花一点时间稳住自己内部的生命和新的机，让自己保持更高的弹性更深的宁静更高的智慧，更多的爱，更少的框架与束缚，内心强大无惧，身体随时维持纯净平衡，从低频调到高频，让自己跳脱恶性循环，没有比较，也不必让自己变成什么，不会有焦虑的频率带着你抢先冲快，只要将与生俱来的能量释放出来，就能够成为有力量的自己。

让自己慢下来，每天养成晒太阳运动练瑜伽 *** 冥想的习惯，每隔一段时间去度假或禁语闭关是破解抢快抢先模组的 *** 之一。

what：经常出现的关键词有，“适者生存，不适者淘汰“，“赢在起跑线”，“步步为营”，“爱拼才会赢”，“出人头地”，“光宗耀祖、光耀门楣”“人死留名，豹死留皮”“咽不下这口气，要争一口气”“，一定要争取自己的权益”，他们的座右铭是“爱拼才会赢”，因为他们设定了“爱拼”，所以潜意识不断选择创造出瓶颈的竞技场，从而给自己拼搏的机会。

这种“争赢模组”的人最会无事生非，小事化大，星火燎原，一直找战场，直到自己输了为止，只有清除此模组才能大事化小，小事化了。

他们以赢别人来建立自己的存在价值感。（价值观）

“争赢模组”最容易产生“不注意视盲”，他们潜意识只会关注人多的地方或大家在抢的地方。

他们所中的木马程序造成的 问题 就是浪费无所谓的时间去追逐木马设的虚幻目标，等到达时恍然大悟，跑这么快跑到这里到底要做什么。最后就算赢了，因为你并不喜欢，没有热忱，很快就会感到无聊，无趣无动力，然后进入茫然期。

举例：身陷三角关系，特别是事业女强人型的第三者身上，看到他在学校职场生活中总是抢赢资源。所以他必须通过争赢感情来证明自己更好，更美，更值得被爱，若是顺利争赢，成为合法关系，只要频率没有改变，接下来的婆媳关系、与女儿争宠、老公外遇就是后续的问题。

how： 多问自己究竟是要争赢，证明自己是对的，还是让自己快乐，让大家都快乐。

要知道，用这些时间做更重要的事情，别忘了时间比面子更贵。

如果碰到对方中了争赢模式组，你可以试试无条件礼让他，对方有可能会跟你抢着让利。

如果有人辱骂你，你就无条件的认同对方，让他一直赢没多久，他可能就会感到无趣，而离开你就能顺利脱困了。

罗伯特.奥古斯都.马斯特斯提出“灵魂逃避”：有人想要被关注、被尊重，想要权力，也想要金钱 所以让自己借着修行和帮助别人来逃避现实。

之一个有拯救心理情结的，想要帮助更多的人帮助别人，其实是自己的内在，再跟自己的求助，你真正需要的帮助的是自己。内在空虚孤独就是目前最核心也是最主要的木马程序，它逼你成为更优秀的人，好为人师去接受别人的尊重，拿回被控制型父母，拿走的自 *** 利，也 只有把自己逼到高处，让自己鹤立鸡群，才可以掩饰自己孤独的窘境。

第二，自己太优秀，身边的人都配不上你，你看不上别人，远远把别人抛在脑后，所以继续孤独，无意识讨厌嫌弃你的追求者，反而爱慕对自己不理不睬的人，这里有“自卑不自信”模式，所以看不起“爱上自己的人”，反而爱慕“不爱自己的人”。

第三，经常以工作忙，生活忙为由不理会他人来掩饰孤独；

第四，不想求人，有怕被拒绝、怕丢脸的自尊木马程序，这不是真的独立自强，原因是孤独与信任，爱的能量是相反的，所以从孤独发出来的频率，势必与自己、与他人关系的课题。

如果仅仅是通过想“帮助他人”让自己看起来是个帮助弱小的优秀强者，这就是虚假高台，对应等级是第12级渴爱欲望的频率，如果事情发生终止，此时频率就会随时掉下来。

只有在内心充满爱与丰足，宁静喜悦，安详极乐，开悟正觉频率，才能真正做到“大家一起好”。

即使没人认得他也不焦虑、恐慌，也让人识得他不骄傲，不恐惧。

举例，孟晚舟被加拿大拘留，做好视死如归的打算，任正非也做好此生见不到女儿的打算，在国家利益和个人利益，舍小家保大家。

心越真实就越有力量，想要跳脱出这个循环，以帮助者的角度帮助自己解决内心孤独的问题，问自己从出生到现在，孤独感是怎样来的？你真的孤独吗？孤独本身，是不知道自己怎么跟自己相处的木马程序，并不是真正意义上面的孤独?

人出生就本自具足，所有因为害怕孤独怕无聊，怕自己没有价值感而做的事情，是为了填补并逃避，面对自己空虚的时间。

他们总是对孩子们说“你应该如何如何，因为我都是为了你好”，“应该”和“为了你好”都是木马程序的关键词。

何念慈说，凡是你想控制的，其实都控制了，你人活得累，一是太认真，二是太想要。

遇到控制型的父母，无论孩子还是成年人最终都走向两个极端。

一种：自暴自弃（茫然模组，不自信/自卑模组，存在感不足模组）；

另一种：孩子“继承”控制狂，“严于律己”，但是不可能“宽以待人”（愤怒仇恨，恐惧焦虑，罪恶谴责 ，羞愧耻辱）。

例子：他自己从来不迟到，万一迟到了，他就拿自我要求的标准，会让身边人紧张、有压力和害怕。

长期处于控制型，座右铭是“有志者事竟成”“天下无难事，只怕有心人”，总想要完美，所以缺乏变通与弹性，很难与人合作，一旦失控就抓狂。

一旦身边人不符合自己的标准，引发的情绪频率可能是愤怒仇恨，恐惧焦虑，罪恶谴责，羞愧耻辱。

how：

放弃对别人的“要求”，因为控制是“不信任”的焦虑能量投射出来，让对方感觉不被信任，因而没有信心和动力主动把事情做好，随时提醒自己放手，破解这组木马程序的关键词是： 信任生命，信任爱。

不苛责自己，对自己好，百分之百接纳自己，爱自己，爱与喜悦的频率，才能让人如沐春风。

理解大自然中没有“浪费时间”概念，不要让焦躁拖了后腿。

只要清楚“自律控制”的木马程序，不需要鞭策出更好的自己，现在就是原初更好的自己，不需要计划，在更高纬度的层次中，一切都已完美。

怎么样 *** 木马？

*** 时代可不太平，谁没有遭遇过病毒或木马？从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是网友经常懈逅的对象。怎么避免这些“艳遇”是广大用户孜孜以求的目标，不过，“道高一尺，魔高一丈”，“防”永远是落后的，主动消灭它们才是积极主动的。

要消灭它们，首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及木马的入侵招数的文章很多，但都不太全面，编者偶然间发现了一篇作者不详，但内容颇为全面的文章，特意整理出来，希望对大家有所帮助。

一、修改批处理

很古老的 *** ，但仍有人使用。一般通过修改下列三个文件来作案：

Autoexec.bat(自动批处理，在引导系统时执行)

Winstart.bat(在启动GUI图形界面环境时执行)

Dosstart.bat(在进入MS-DOS方式时执行)

例如：编辑C:\\windows\\Dosstart.bat，加入：start Notepad，当你进入“MS-DOS方式”时，就可以看到记事本被启动了。

二、修改系统配置

常使用的 *** ，通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的，涉及范围有：

在Win.ini文件中：

[windows]

load=程序名

run=程序名

在System.ini文件中：

[boot]

shell=Explorer.exe

其中修改System.ini中Shell值的情况要多一些，病毒木马通过修改这里使自己成为Shell，然后加载Explorer.exe，从而达到控制用户电脑的目的。

三、借助自动运行功能

这是黑客最新研发成果，之前该 *** 不过被发烧的朋友用来修改硬盘的图标而已，如今它被赋予了新的意义，黑客甚至声称这是Windows的新BUG。

Windows的自动运行功能确实很烂，早年许多朋友因为自动运行的光盘中带有CIH病毒而中招，现在不少软件可以方便地禁止光盘的自动运行，但硬盘呢？其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容：

[autorun]

open=Notepad.exe

保存后进入“我的电脑”，按F5键刷新一下，然后双击D盘盘符，怎么样？记事本打开了，而D盘却没有打开。

当然，以上只是一个简单的实例，黑客做得要精密很多，他们会把程序改名为“.exe”(不是空格，而是中文的全角空格，这样在Autorun.inf中只会看到“open=”而被忽略，此种行径在修改系统配置时也常使用，如“run=”；为了更好地隐藏自己，其程序运行后，还会替你打开硬盘，让你难以查觉。

由此可以推想，如果你打开了D盘的共享，黑客就可以将木马和一个Autorun.inf存入该分区，当Windows自动刷新时，你也就“中奖”了，因此，大家千万不要共享任何根目录，当然更不能共享系统分区（一般为C:）。

四、通过注册表中的Run来启动

很老套的 *** ，但80%的黑客仍在使用，通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值，可以比较容易地实现程序的加载，黑客尤其方便在带”Once”的主键中作手脚，因此带“Once”的主键中的键值，在程序运行后将被删除，因此当用户使用注册表修改程序查看时，不会发现异样。另外，还有这样的程序：在启动时删除Run中的键值，而在退出时（或关闭系统时）又添加键值，达到隐蔽自己的目的。(这种 *** 的缺点是：害怕恶意关机或停电，呵呵！)

五、通过文件关联启动

很受黑客喜爱的方式，通过EXE文件的关联(主键为：exefile)，让系统在执行任何程序之前都运行木马，真的好毒！通常修改的还有txtfile(文本文件的关联，谁不用用记事本呢？)、regfile(注册表文件关联，一般用来防止用户恢复注册表，例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表，用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序，阻碍用户修复。

六、通过API HOOK启动

这种 *** 较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能（特别提示：木马可不一定是EXE，还可以是DLL、VXD），这样既方便又隐蔽（不上网时根本不运行）。中此绝毒的虫子，只有两种选择：Ghost或重装系统，幸好此毒廖廖无几，实属万虫之幸！

API的英文全称为：Application Programming Interface，也就是应用程序编程接口。在Windows程序设计领域发展初期，Windows程序员所能使用的编程工具唯有API函数，这些函数是Windows提供给应用程序与操作系统的接口，他们犹如“积木块”一样，可以搭建出各种界面丰富，功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石，在它的下面是Windows的操作系统核心，而它的上面则是所有华丽的Windows应用程序。

七、通过VXD启动

此法也是高手专用版，通过把木马写成VXD形式加载，直接控制系统底层，极为罕见。它们一般在注册表[HKEY_ LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VxD]主键中启动，很难发觉，解决 *** 更好也是用Ghost恢复或重新干净安装。

八、通过浏览网页启动

通过此种途径有两种 *** ：

利用MIME漏洞：这是2001年黑客中更流行的手法，因为它简单有效，加上宽带网的流行，令用户防不胜防，想一想，仅仅是鼠标变一下“沙漏”，木马就安装妥当，Internet真是太“方便”了！不过今年有所减少，一方面许多人都改用IE6.0；另一方面，大部分个人主页空间都不允许上传.eml文件了。

MIME被称为多用途Internet邮件扩展（Multipurpose Internet Mail Extensions），是一种技术规范，原用于电子邮件，现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的，在它出现前，邮件内容如果包含声音和动画，就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准，而接收方必须经过解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的 *** ，这与原来的邮件是大大不同的。而现在MIME已经成为了HTTP协议标准的一个部分。

九、利用Java applet

划时代的Java更高效、更方便——不过是悄悄地修改你的注册表，让你千百次地访问黄(黑)色网站，让你关不了机，让你……，还可以让你中木马。这种 *** 其实很简单，先利用HTML把木马下载到你的缓存中，然后修改注册表，指向其程序。

十、利用系统自动运行的程序

这一条主要利用用户的麻痹大意和系统的运行机制进行，命中率很高。在系统运行过程中，有许多程序是自动运行的，比如：磁盘空间满时，系统自动运行“磁盘清理”程序(cleanmgr.exe)；启动资源管理器失败时，双击桌面将自动运行“任务管理器”程序(Taskman.exe)；格式化磁盘完成后，系统将提示使用“磁盘扫描”程序(scandskw.exe)；点击帮助或按F1时，系统将运行Winhelp.exe或Hh.exe打开帮助文件；启动时，系统将自动启动“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。

这为恶意程序提供了机会，通过覆盖这些文件，不必修改任何设置系统就会自动执行它们！而用户在检查注册表和系统配置时不会引起任何怀疑，例如“注册表检查” 程序的作用是启动时检查和备份注册表，正常情况不会有任何提示，那么它被覆盖后真可谓是“神不知、鬼不觉”。当然，这也许会被“系统文件检查器”检查（但勤快的人不多）出来。

黑客还有一高招“偷天换日”！不覆盖程序也可达到这个目的， *** 是：利用System目录比Windows目录优先的特点，以相同的文件名，将程序放到System目录中。你可以试试，将Notepad.exe(记事本)复制到System目录中，并改名为Regedit.exe(注册表编辑器)，然后从“开始”→“运行”中，输入“Regedit”回车，你会发现运行的竟然是那个假冒的Notepad.exe！同样，如果黑客将程序放到System中，然后在运行时调用真正的Regedit，谁知道呢？(这种 *** 由于大部分目标程序不是经常被系统调用，因此常被黑客用来作为被删除后的恢复 *** ，如果某个东东被删除了又出现，不妨检查检查这些文件。)

十一、还有什么“高招”

黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“.exe”就是一例，另外常见的有在修改文件关联时，使用“ ”（ASCII值255，输入时先按下Alt键，然后在小键盘上输入255）作为文件名，当这个字符出现在注册表中时，人们往往很难发现它的存在。此外还有利用字符相似性的，如：“Systray.exe”和“5ystray”(5与大写S相似)；长度相似性的，如：“Explorer.exe”和“Explore.exe”(后者比前者少一个字母，心理学实验证明，人的之一感觉只识别前四个字母，并对长度不敏感)；运行假象则是指运行某些木马时，程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程序，地球人都知道不是什么好东西；但对于一个提示“内存不足的程序，恐怕还在埋怨自己的内存太少哩！