来源有两种，电脑上的木马。一种是自己不小心，运行了包括有木马的顺序，另一种情况是网友”送给你好玩”顺序。所以，以后要小心了要弄清楚了什么顺序再运行，装置容易排除难呀

他人和你聊天，网络上冲浪。发电子邮件，必需要有共同的协议，这个协议就是TCP/IP协议，任何网络软件通讯都基于TCP/IP协议。如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出，TCP/IP协议规定，电脑可以有256乘以256扇门，即从065535号“门”TCP/IP协议把它叫作“端口当你发电子邮件的时候，E-mail软件把信件送到邮件服务器25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的现在看到写的东西，进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，上网的时候，就是通过这个端口与外界联

也是---系的黑客不是神仙。

通过端口进入你电脑

那么黑客就可以通过139端口进入你电脑，黑客是怎么样进入你电脑的呢？当然也是基于TCP/IP协议通过某个端口进入你个人电脑的如果你电脑设置了共享目录。注意！WINDOWS有个缺陷，就算你共享目录设置了多少长的密码几秒钟时间就可以进入你电脑，所以，最好不要设置共享目录，不允许别人浏览你电脑上的资料。除了139端口以外，如果没有别的端口是开放的黑客就不能入侵个人电脑。那么黑客是怎么样才会进到电脑中来的呢？答案是通过特洛伊木马进入你电脑。如果你不小心运行了特洛伊木马，电脑的某个端口就会开放，黑客就通过这个端口进入你电脑。举个例子，有一种典型的木马软件，叫做netspy.EⅩE如果你不小心运行netspy.EⅩE那么它就会告诉WINDOWS以后每次开电脑的时候都要运行它然后，netspy.EⅩE又在电脑上开了一扇“门”门”编号是7306端口，如果黑客知道你7306端口是开放的话，就可以用软件偷偷进入到电脑中来了特洛伊木马本身就是为了入侵个人电脑而做的藏在电脑中和工作的时候是很隐蔽的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS自身没有监视网络的软件，所以不借助软件，不知道特洛伊木马的存在和黑客的入侵。接下来，奇奇就让你利用软件----

如何发现自己电脑中的木马

现在知道netspy.EⅩE打开了电脑的7306端口，奇奇再以netspy.EⅩE为例。要想知道自己的电脑是不是中netspy.EⅩE只要敲敲7306这扇“门”就可以了先打开C:\WINDOWS\WINIPCFG.EⅩE顺序找到自己的IP地址（比方你IP地址是10.10.10.10然后打开浏览器，浏览的地址栏中输入 http://10.10.10.10:7306/如果浏览器告诉你连接不上，说明你电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.EⅩE版本，那么你电脑中了netspy.EⅩE木马了这是最简单最直接的方法，但是需要你知道各种木马所开放的端口，奇奇已知下列端口是木马开放的73067307730812345123451234631337668081119910但是就算你熟悉了所有已知木马端口，也还是不能完全防范这些木马的需要----

进一步查找木马

于是用工具把它端口修改了经过修改的木马开放的7777端口了现在再用老办法是找不到netspy.EⅩE木马了于是可以用扫描自己的电脑的方法看看电脑有多少端口开放着，奇奇曾经做了一个试验：知道netspy.EⅩE开放的7306端口。并且再分析这些开放的端口。

其中139端口是正常的首先找个端口扫描器，前面讲了电脑的端口是从065535为止。奇奇推荐“代理猎手”上网以后，找到自己的IP地址，现在请关闭正在运行的网络软件，因为可能开放的端口会被误认为是木马的端口，然后让代理猎手对065535端口扫描，如果除了139端口以外还有其他端口开放，那么很可能是木马造成的

可以进一步分析了用浏览器进入这个端口看看，排除了139端口以外的端口。会做出什么样的反映，可以根据情况再判断了

需要半个多小时傻等了现在好了汉化了一个线程监视器，扫描这么多端口是不是很累。Tcpview.EⅩE可以看电脑有什么端口是开放的除了139端口以外，还有别的端口开放，就可以分析了如果判定自己的电脑中了木马，那么，就得----

硬盘上删除木马

但是不能删除netbu木马。最简单的方法当然是用杀毒软件删除木马了Netvrv病毒防护墙可以帮你删除netspy.EⅩE和bo.EⅩE木马。

下面就netbu木马为例讲讲删除的经过。

netbu木马的客户端有两种，简单介绍一下netbu木马。开放的都是12345端口，一种以M

576字节）一种以SysEdit.EⅩE为代表（494,ring.EⅩE为代表（472.592字节）

Mring.EⅩE就告诉WINDOWS每次启动就将它运行，Mring.EⅩE一旦被运行以后。WINDOWS将它放在注册表中，可以打开C:\WINDOWS\REGEDIT.EⅩE进入HKEY_LOCA L_MA CHINE\Softw

再到WINDOWS中找到Mring.EⅩE删除。注意了Mring.EⅩE可能会被黑客改变名字，are\Microsoft\Windows\CurrentVersion\Run找到Mring.EⅩE然后删除这个健值。字节长度也被改变了但是注册表中的位置不会改变，可以到注册表的这个位置去找。

可以找包含有“netbu字符的可执行文件再看字节的长度，另外。查过了WINDOWS和其他一些应用软件没有包含“netbu字符的被你找到文件多半就是Mring.EⅩE变种。

并不加到WINDOWS注册表中，SysEdit.EⅩE被运行以后。也不会自动挂到其他顺序中，于是有人认为这是傻瓜木马，奇奇倒认为这是最最可恶、最最阴险的木马。别的木马被加到注册表中，就有痕迹可查了就连专家们认为最最凶恶的BO木马也可以轻而易举地被我从注册表中删除。

只要你不碰这个软件，而SysEdit.EⅩE要是挂在其他软件中。SysEdit.EⅩE也就不发作，一旦运行了被安装SysEdit.EⅩE顺序SysEdit.EⅩE也同时启动了奇奇在自己的电脑中做了这样一个实验，将SysEdit.EⅩE和C:\WINDOWS\SYSTEM\A bcwin.EⅩE**起来，Abcwin.

当我开启电脑到上网，ex智能ABC输入法。只要没有打开智能ABC输入法打字聊天，SysEdit.EⅩE也就没有被运行，就不能进入我12345端口，如果我什么时候想打字了一旦启动智能ABC输入法（Abcwin.EⅩE那么**Abcwin.EⅩE上的SysEdit.EⅩE也同时被运行了12345端口被打开，他人就可以黑到电脑中来了同样道理，SysEdit.EⅩE可以被**网络传呼机、信箱工具等网络工具上，甚至可以**拨号工具上，电脑中的几百的顺序中，知道会在什么地方发现它吗？所以我说这是最最阴险的木马，让人防不胜防。

特别是SysEdit.EⅩE能发现12345端口被开放，有的时候知道自己中了netbu木马。并且可以用netbu客户端软件进入自己的电脑，却不知道木马在什么地方。这时候，可以检视内存，请打开C:\WINDOWS\DRWA TSON.EⅩE然后对内存拍照，检查“高级视图”中的

顺序”栏中列出的就是正在运行的顺序，任务”标签。要是发现可疑的顺序，再看“路径”栏，找到这个顺序，分析它就知道是不是木马了SysEdit.EⅩE虽然可以隐藏在其他顺序后面，但是C:\WINDOWS\DRWA TSON.EⅩE中还是表露了

要知道自己的电脑中有没有木马，好了来回顾一下。只要看看有没有可疑端口被开放，用代理猎手、Tcpview.EⅩE都可以知道。要查找木马，一是可以到注册表的指定位置去找，二是可以查找包括相应的可执行程序，比方，被开放的端口是7306就找包含“netspi可执行程序，三是检视内存，看有没有可以的顺序在内存中。