Question

请教编程高手

一、有什么方法可以清除木马，而保留原文件。如很多木马病毒把文件夹修改成后缀名为 “.exe”的执行文件。
二、和一有些相似，有些本身就是执行程序，如何把木马与程序脱离，保留原来程序的有效运行。
三、在沙盘中运行带木马的程序，是否真的有效？
四、如果知道木马占用的端口，从电脑或者路由器上予以控制，是否可以阻止木马将信息上传？
第三点没问清楚，在沙盘中运行带木马的程序，是否真的有效防止木马上传其窃取的账号等信息？

Answer 1

一、首先你要了解木马如何捆绑文件的。如果是一般文件，木马一般是把原来的文件删了再把自己需要的文件覆盖上去，或是更改原文件，调用启动时运行自身文件。文件夹就更加容易做了，只需要知道所有文件夹名，然后就是弄出与文件夹相同的图标的可执行文件，在把原文件夹隐藏。文件夹的木容易清除，只要显示所有文件及系统文件，把。exe文件删了，目录下的没有用的.inf删了 把文件夹设置为显示即可。
二、执行程序的话。如ie 一般是在他启动时自动加载木马。可以在文件属性-目标 更改。有的更是可以用原来的ie.exe执行文件，和自身的木马捆绑，加花 、 加壳。在目标机器上把原ie删了复杂过去。其实这样的话，要解压 解壳，用into setup ，和一些加花工具可以做到，效果可能不是很好。不如直接从别人拷相同版本的 安全文件覆盖还好。一些木马更可以和显示桌面绑定一起运行。（windows\explorer.exe）那就很麻烦。一旦他的文件被改，木马又会改回来。用冰剑是很不错，功能强大，可以把所有进程杀了，覆盖安全explorer.exe 把所有可疑启动项删了。
三、沙盘的确不错，有效，可以做测试用，类似虚拟机，不过他可以自身还原
四、知道木马占用端口，直接把电脑该端口禁了是可以阻止上传，还不如用冰剑 把木马结束掉。

追问

结束掉了，但是程序也不能运行了。

追答

第三，是否真的有效防止木马上传 很多时候不能阻止 只能用于测试木门效果如何查杀等

结束 explorer.exe 或其它exe 找个安全的覆盖 在到任务管理器 文件 - 新建任务 - 找到 explorer启动就行了

Answer 2

木马和病毒是不同的。木马是独立执行程序。病毒是嵌入到正常文件中的。
因此你的问题应该是说的病毒。现在很多杀毒软件都是直接删除带毒文件。以前江民杀毒可以清除文件中的病毒而保留文件的。现在基本不行了。
如果手工清除的话，必须要有很深的汇编功底和pe文件知识，这几乎是不可能的任务，就算高手也不行，必须是顶尖高手才行。因为现在的病毒编写者也是高手中的高手。
木马清除就简单多了，一般高手都行。当然那些很厉害的木马还是难清除的。

Answer 3

直接下载病毒测试包不就行了；第二个问题用金山或者36.急救箱解决，上面会显示病毒名称要是需要再下载一个这种病毒；3，在沙盘运行病毒完全没问题；4，可以，把端口关了就行

Answer 4

呵呵，这个我还真不懂，我也很想学习一下这方面的知识呢