90后程序员入侵67万台计算机

‘壹’ 程序员删库跑路是多是出于什么心态

这一切的缘由还是因为加班压力山大，试问经常加班到公司只剩自己是什么感觉，这没人能体会。

互联网圈子里，一直以来都流传着“删库跑路”的段子。很多程序员会把 “删库跑路”当做发泄工作压力的口头禅。然而现实中，这两年程序员删库跑路的新闻层出不穷。删库对一个公司的影响不言而喻，可能会导致系统瞬间崩溃，所有相关功能瘫痪，接着就是公司无法估计的经济损失。跑路的程序员也被抓，可以说是两败俱伤。

‘贰’ 90后做“颜值检测”软件实为窥人隐私，最终得到了什么处罚

90后做“颜值检测”软件实为窥人隐私，最终得到了什么处罚？下面就我们来针对这个问题进行一番探讨，希望这些内容能够帮到有需要的朋友们。

据执行法官详细介绍，李某被扣留的计算机及其三手机，人民法院最后还将根据物理学方法开展完全催毁。以上诸多个人行为对策，都最大限度地保障了公民个人信息不容易被修复，不容易被再度运用。

在个人信息维护案子中引进环境公益诉讼规章制度，既能缓解个人的消费者维权压力，与此同时还能提升违法违纪的成本费，对抵制个人信息行业的违法违纪个人行为有着关键实际意义。

近些年，刑法修正案（九）、民法及其个人信息保障法等，都是在大力加强对个人信息的保障幅度。多位阶好几部法律法规将具有多种维护功效，让个人信息在搜集、储存、应用、生产加工、传送等各阶段获得全传动链条维护，最后创建并逐步完善一个全面的个人信息法律法规保障管理体系。

‘叁’ 程序员电脑上装360安全卫士吗

360是个好东西啊，作为一名程序员必须诋毁他。矛盾吧？在以前，总觉得360可以杀毒，可以关闭进程，可以清理缓存，修复漏洞。总之，新电脑第一个软件就是他了。

可自从当了程序员以后，一切都变了。发现病毒不是想象中的那个样子，也没有那么可怕，甚至都敢在没杀毒软件的时候浏览非法网站了。发现病毒其实也是程序，在某些特定情况才会发生，何况病毒也并没有那么多，根本没有那么容易感染。既然都是程序，属于自己管辖的东西，他怎么会肆虐。

反而，以前的电脑反应很快的，新装后不久经常能看到各种卡顿，各种漏洞，时长更新。当了程序员以后放下了对360的执着，不再拥有他的时候。电脑速度明显提升好几个等级。

经常会被人带去修电脑，说电脑卡顿，新买不久。到了才发现电脑上网络卫士，360杀毒，qq电脑管家，金山杀毒，2345杀毒。各种杀毒软件开了一堆。有些是自己下载的，有些是被绑定下载的。平常人不知道利害，只觉得杀毒多了安全。其实不然。

每个杀毒软件都会在后台开启服务与进程，有一些核心组件无法手动关闭，全部自动开启。4核的电脑因为杀毒软件后台自动运行各种检测，恐怕只能当一核电脑使用了。甚至一核都分不出来。随时都能看到cpu占用率百分之80以上。

杀毒软件更多时候是互相排斥的，不是你死就是我亡的境地。互相在一起导致电脑内部不停的运算，运算原因就是要打死对手产品。内部斗争喋喋不休，哪里有闲工夫来运行你的 游戏 ，视频，工作？本身电脑内存有限，能用8G以上的一般都是计算机工作者或者 游戏 高端玩家，本身内存就不够，杀毒软件大部分的占用，导致效率低下，卡死也就再正常不过了。

至于进程，打开管理器一一关闭即可，普通人不认识，所以关闭不了。但是杀毒软件能关吗？能关对吗？也不一定，毕竟程序都是死的，经常会有写好的文档被误删，当做病毒处理。也有真正的病毒程序运行杀毒软件检测不出来，一切都正常。计算机进程等级更高的服务，杀毒软件无法关闭。病毒软件新出的查不出，是因为每个杀毒软件都是使用一个病毒库比对计算机内部程序，如果匹配，就报病毒，查杀，否则默认没有。所以程序永远是程序，病毒是程序，杀毒软件也是程序，就看谁更高级了。

只要平时注意使用习惯，杀毒软件毫无用处。反而会占用大量内存，降低电脑效率。杀毒软件其实说白了就是一个伪病毒软件而已。

目前来说360安全卫士比较好用，它是当前功能最强、效果最好、最受用户欢迎的上网必备安全软件。360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能，并独创了“木马防火墙"功能，依靠抢先侦测和云端鉴别，可全面、智能地拦截各类木马，保护用户的帐号、隐私等重要信息

我猜楼主问这个问题背后的动机是：作为程序员装360安全卫士是不是显得比low！~我觉得完全没必要，只要你觉得好用即可。

我来谈下我个人的经历和看法，只是个人的。

作为一员程序员，从360开始免费的时候就开始使用了，至到前不久还一直使用360安全了卫士，360有些功能还是很方便的，比如开机优化，垃圾清理、插件清理等。

当然也有很烦的时候，偶尔弹出个框，一不小心就安装了360全家桶，这点我有点不能忍。

期间也换过腾讯的电脑管家，主要是为QQ升级！~~！感觉上比360差了一点点，时间有点久，具体忘了是什么原因后来又换回360。

至到有一天，电脑不知道为什么开机后运行个几分钟就突然卡死，动不了。重启，重装系统也没用，整个人都崩溃了....

安装了几次系统，发现只要一装360安全卫士就不行，后来果断卸载，系统OK，因为是WIN10系统，所以直接使用了自带的安全软件：Windows Defender，到目前为止，一切安好！

操作系统：win10 企业版

很多人说“ 360 安全卫士”（以下简称 360 ）是流氓软件，但也有 2.6 亿人每天在用 360 ，可以说 360 一直以来都是绯闻不断。那她到底好不好，程序员电脑上需不需要装 360 ？

我的理解是根据自己的需求来，不要妄下断论，因为不管是普通计算机使用者也好，程序员也罢，鞋合不合适，只有脚知道。

PS: 送给程序员们一个价值 888 元的大礼包，点我头像，关注，看我个人介绍免费获取。

一、360 自我介绍

我，“ 360 安全卫士”是一款由奇虎360公司推出的安全杀毒软件。我是在卡巴斯基、江明杀毒软件、金山毒霸等众多武林高手中杀出重围，冲出一片天的免费杀毒帮手。当然了，现在的我除了体检、杀木马，还有清理垃圾，软件管理和电脑急救等多样功能。

二、什么时候该用她

1.当我们的电脑没有其他杀毒软件，为了不至于裸奔的时候。我们可以使用“ 360 安全卫士”来帮我们管理电脑的安全。也正因为 360 的出现，才使得像卡巴斯基、江明杀毒软件、金山毒霸等众多收费杀毒软件败下阵来，才使得我们可以免费使用工具来帮我们保护电脑。这点上，360 着实为我们带来了利好。

2.需求一般，又力求方便简单。那么下载个 360 安全卫士就足够了，他没有那么的繁琐操作，都是简单的点击处理就能帮助电脑进行病毒控制和木马的检查。其实程序员也一样，在要求不那么苛刻的情况下，大家都善于将这些事情交给第三方工具帮我们管理电脑。

3.清理垃圾和拯救系统 bug 。360 安全卫士可以帮助我们清理掉一些难以直接能找到的系统垃圾、软件安装和资源备份垃圾。同时，现在的安全卫士里也可以下载到相当一部分常用的简单的软件，且都已进行了相对的安全认证。这里提示一下大家，在下载应用软件的时候，尽量在官网下载，其他平台下载，就一定要仔细看清楚了，避免被第三方平台绑定一堆“意外之喜”的软件和广告，更有甚者会携带一些病毒。

当然了，还有一个功能，可以帮助我们解决一些系统 bug 之类的问题，比如“上不了网”、“电脑桌面图标消失”之类。

所以，我们可以在不被诱导安装有用无用全家桶的情况下，细心点根据自己所需来取舍安装 360 系列产品。“用其好，避其坏。”

三、什么时候不用她

1.当你只是用 360 安全卫士来进行电脑杀毒，而你的电脑上已经有了其他更好、更专业的杀毒软件，那你就完全没必要再安装个 360。再或者你有足够的技术水平和精力可以很好的保护自己电脑，那么你的裸机跑起来可能还更快。

2.当 360 与有些软件不兼容，这些软件无法在有 360 存在的情况下使用时，当你厌倦了 360 的首页爱篡改、全家桶大礼包偷偷送、卸载不彻底、占有 CPU 太严重的时候，你可以考虑弃之另寻欢。

综合而言，万事不能绝对，但要有原则。而至于“ 360 安全卫士”这个无关大雅之事，我们完全可以不用极端态度待之，我们只需按照自己的需求，选择适合自己的“鞋子”。

如上是我的一点想法。你怎么看待这个问题，朋友？

“程序员”和“360安全卫士”这两个概念，题主你可能至少对于其中的一个有误解，首先，程序员并不是什么高不可攀的职业，我这么说的意思是程序员并不一定对于Windows、Linux、macOS的使用习惯毫无盲点、驾驭系统的经验不一定很丰富，安全架构一清二楚、潜在的和已有的漏洞，以及对应的攻击方式和原理都胸有成竹，否则的话你要问的应该计算机系统安全专家，他们当中的门槛要比一般的程序员要更高。

从定义来说，程序员所指的是工作是将方案和策划在软件层面实现的群体，换句话说他们的强项在于通过自己熟悉的语言和相对应的库，在熟悉的平台上实现需要实现的功能，虽然程序员也需要自我学习能力，但是他们本质上是执行者，当然我不能排除其中拔尖者身兼众家之长、对知识融会贯通之大牛对于自己手中的机器就好像自己的手指一样轻松控制，但是就一般的从业者而言，安全领域并不一定是他们的必需。

再说说360安全卫士，虽然你没有说明，但是我估计你想问的应该是其中的安全防护、病毒查杀能力是不是普通用户不可或缺的（这里暂不考虑竞争对手的产品）。然而事实是，无论是微软定期针对操作系统发布的安全补丁（其实不只是360，很多安全卫士提供的补丁都是来源于微软，用户会尝试关闭系统更新而接受第三方软件提供的安全布冯），还是针对系统运作方式、攻击机理作出的防御，都是普通用户和程序员很难通过自己的力量和网络的渠道直接抵御的，充其量是通过熟悉系统而自己清理硬盘当中的垃圾文件而已。

综上所述，在安全风险面前，“即使”是程序员也需要安装360安全卫士，但如果说是自己有没有兴趣、喜不喜欢这款软件，那么说的又是另一个问题。

360和管家对于大部分人来说，需求早已经从安全转移到了小工具，比如系统优化，比如软件卸载，又比如垃圾清理等等。

对于目前最新的操作系统来说，一个Windows defender足矣，免费而且不装什么全家桶给你，也不要求你登录什么帐号，加速等级。就是单纯的保障系统安全。

在现在这个时代，真正的传统意义上的病毒并不能给制作者和发布者带来多大利息，风险超高，利润又高不到哪去，所以制作病毒并不划算。大量存在的是各种木马，木马也是病毒的一种但是可以隐蔽的隐藏在电脑中提供后门，导致用户数据丢失，帐号被盗。

所以想要有效的保障电脑安全第一条就是时刻保证防火墙是开启的，没有登记的程序便必须经过用户的允许才能通过。

安全是从意识上开始的，任何程序都建立在人制造和人使用上的，如果仅仅把电脑的安全建立在某款软件上，遇到病毒库没有的病毒，还是有很高的风险。

我的电脑上就装有360安全卫士，但360杀毒没有装。

安装360的卫土目的不是为了杀病毒，而是有如下用途。

删除不需要的软件，有些软件特别是垃圾很隐藏，在控制面板里边面跟本人显删不掉。

安装操作系统的补丁，360在这方面好用。

当硬盘满时，可以删除临时文件或者大数据文件，对硬盘进行清理。

总的来说360卫士还算可以，但千万不要用它目的作为杀毒。

@编程保姆 电脑本身是没病毒的，但如果你把它当做杀毒工具的时候，你的电脑就有病毒了。

如果不是前端HTML开发人员那么98%不敢装，尤其是搞C++的，360那套垃圾机制能让你啥都干不成，而且编译出来的程序换台机器可能会出现各种奇怪的问题，一切的原因就是360在你的系统上乱改注册表，还安装了很多虚拟驱动（系统级的），导致原生编译器编译的时候会出现很多权限错误或者注册表错误，或者内存冲突的问题

360是流氓软件，前身是3721，正是360开启了中国IT行业无底线模式。这个行业已经没有道德底线了，不管3721，拉到用户就是胜利，所以各位电脑用户们，你们家的电脑开机之后就各种弹窗，各种火箭加速清理垃圾，释放内存等等，应接不暇。开初还觉得新鲜，觉得是好事，可是电脑是拿来工作 娱乐 生活的，不是培养成电脑高手的。普通用户不需要知道清理内存不需要垃圾文件清理，可惜国内用户都被绑架了，上网若干浏览器抢夺默认浏览器头衔，一不小心就被主页劫持成hao123等，你的上网行为都被监视着，如果你浏览某类型商品，以后广告推介就是这类商品居多。

所以想安安静静做个电脑小白的朋友们，拒绝360从自己开始做起，如果你仅仅是电脑上看个电影听歌做个文案，买个苹果电脑最省心，实在不想花钱，就请人给自己电脑装个黑苹果电脑系统，这样再也没有弹窗，没有内存报警，浏览器打开网页速度是秒开。有的人说我是电脑小白啥都不懂，我怕不习惯苹果操作呢，我想说的是既然是小白说明电脑不熟悉，也就没有根生地固改不了的习惯，苹果电脑强迫自己使用一个星期就习惯了，遇到不懂的问题，正品苹果电脑可以打电话咨询，黑苹果用户可以网络解决方案。

现在使用苹果电脑的程序员不在少数，而且还是程序员中的高收入哦，因为苹果电脑上没有360生存的土壤，所以这程序员自然就不会安装360。这也从侧面证实了苹果电脑系统的优越性。

绿色屏幕是为了护眼，整天写程序，就懒得折腾电脑了，怎么简单怎么来

‘肆’ 当年制作超级病毒“熊猫烧香”的程序员，13年过去，现在咋样了

尤记得2007年年初之时，笔者最爱听周杰伦的歌曲。那时候网络已经开始普及，网吧里满是玩CS的人，只有笔者这个奇葩跑进网吧里抄周杰伦的歌词，那时候对电脑还不是很熟悉，还没见过世面。

结果搜着搜着抄着抄着，也不知怎么的， 突然电脑就出现了一个弹窗，然后就回到了桌面，只看到几只烧香的熊猫，而后就是无数弹窗席卷了整个桌面，电脑完全动弹不得，笔者还以为是自己弄坏了电脑呢。

过了几天才知道，原来是当时整个网吧电脑都感染了一种叫做“熊猫烧香”的病毒。再关注了一下新闻之后才发现，原来“受害者”远远不止我一个，全国整整有几百万人的电脑都着了道！

“熊猫烧香“病毒在当时震惊了整个世界，此病毒因为会将exe文件图标替换为”熊猫烧香“的样子而得名。一旦电脑感染”熊猫烧香“，就可能出现大量弹窗，导致电脑蓝屏或者无限重启等等现象，在当时”熊猫烧香“完全相当于电脑杀手了。

因为危害巨大，“熊猫烧香“很快惊动了警方，警方一方面开始向大众普及”预防病毒“的方法，一方面全力抓捕病毒制作者。终于在2007年2月3日时，”熊猫烧香“制作者李俊在企图潜逃的过程中被抓获。

而李俊的故事也告诉我们，正所谓“君子爱财，取之有道“，靠着坑蒙拐骗赚到的钱，到最后终究还是会竹篮打水一场空。李俊本身的能力在当年就不错，如果能够踏踏实实干事走正道的话，也就不至于像现在这样无人问津了。

‘伍’ 镡婄尗鐑ч欐槸浠涔堢梾姣掞纻褰揿勾瀵硅＄畻链轰骇鐢熶简澶氩ぇ镄勫嵄瀹筹纻

璇磋捣镡婄尗鐑ч欙纴浼拌¤缮链変笉灏戜汉瀵逛簬杩欎釜镟剧粡缁栾＄畻链虹郴缁熷甫𨱒ョ牬鍧忔у奖鍝岖殑䦅呮瘨璋堜箣镩插彉锛屽摢镐曟槸鏀惧湪鏁翠釜涓锲戒簰镵旂绣铡嗗彶涓婏纴镡婄尗鐑ч欎緷镞у彲浠ヨ存帓镄勪笂鍓崭笁锛岀敋镊虫帓鍦ㄧ涓閮戒笉涓鸿繃銆傜紪鍐椤畠镄勪汉镟存槸鍦ㄨ繖涓浜嬩欢涔嫔悗锛岃缃戝弸浠绉颁箣涓烘瘨鐜嬨

1982骞7链埚嚭鐢熶簬婀栧寳鐪佹︽眽甯傛柊娲插尯𨱒庨泦琛楃殑浠栵纴鍜屽ぇ閮ㄥ垎80钖庝竴镙锋垚涓轰简绗涓镓逛簰镵旂绣镄勭敤鎴凤纴浣嗕笉钖屼簬澶ч儴鍒嗗彧鏄灏嗙数鑴戝綋鎴愬ū涔愰”鐩镄勪汉锛屾潕鍐涘逛簬璁＄畻链烘妧链链夌潃杩囦汉镄勫ぉ璧嬶纴铹惰屽彲𨱍灭殑鏄杩欎竴浠藉ぉ璧嬶纴鏄鍦ㄤ粬璇鍏ユч斾箣钖庢墠琚浼椾汉镓鍙戠幇銆

链鍒濈殑𨱒庝缪鍙鏄涓浣嶈昏繃涓ゅ勾涓涓掳纴杩为珮涓閮芥病链轰细涓婏纴鏁村ぉ娌夎糠缃戝惂镄勨滃樊瀛︾敓钬濓纴鍦ㄨ讳简涓ゅ勾涓涓撴瘯涓氩悗锛岃哄ぇ镄勬︽眽杩炰竴涓姘存偿宸ョ殑宸ヤ綔閮戒笉镶缁欎粬锛屽悗𨱒ュ湪缃戝惂锻嗙殑镞堕棿涔呬简锛屼粬瓒婃潵瓒婄尽鎱旷▼搴忓憳镄勫伐浣溿备负姝わ纴浠栦笉𨱍滃彧韬鍗椾笅骞垮窞鍜屾繁鍦筹纴涓轰简灏辨槸鑳藉湪闾ｉ噷镓惧埌娆ｈ祻镊宸辩殑钬滀集涔悫濓纴浣嗕粬镄勪绠瀛﹀巻闄愬埗浜呜佹澘浠瀵逛粬镄勬兂璞″姏锛屼粬镄勬眰镵岀亩铡嗕竴娆℃＄煶娌夊ぇ娴枫

阆阆囧埌镄勫㖞鐪煎氢简锛屼粬蹇冮噷鍙嶈屾湁涓涓鍧氩畾镄勫喅瀹氾细寮勫嚭涓涓鐢佃剳䦅呮瘨锛岃╀粬浠璁よ瘑璁よ瘑鎴戯紒娌℃湁浜鸿兘𨱍冲埌锛屽綋鍒濆勾浠24宀佺殑𨱒庝缪锛屼细鎺璧蜂竴鍦鸿╀腑锲芥暣涓浜掕仈缃戦兘涓轰箣锷ㄨ崱镄勮僵铹跺ぇ娉銆

镞堕棿𨱒ュ埌2006骞12链堬纴涓绉嶈绉颁负钬滃凹濮嗕筜钬濈殑鏂板瀷䦅呮瘨鍦ㄤ簰镵旂绣涓婂紑濮嬬垎鍙戯纴涓嶈繃鍦ㄥ綋骞寸数鑴戠梾姣掓垨钥呰寸数鑴戜腑䦅呮瘨鍑犱箮鏄镓链夌绣姘戜滑镄勫繀缁忛桩娈碉纴镓浠ヨ繖涓镞跺欑殑灏煎嗕筜杩樻湭琚缃戣︿互鍙婄绣鍙嬩滑楂桦害閲嶈嗭纴浠ヨ呖浜庣暀缁欎简钬滃凹濮嗕筜钬濆ぇ瑙勬ā镓╂暎镄勬椂闂达纴钥屾椂闂翠粎浠呰繃铡讳袱涓链堬纴钬滃凹濮嗕筜钬濅究浠ヨ繀闆蜂笉鍙婃帺钥充箣锷挎劅镆揿叆渚典简鏁扮栌涓囧彴鐢佃剳锛屽苟涓旇缮𨰾ユ湁浜嗕竴涓镊宸辩殑涓揿睘澶栧彿钬灭唺鐚鐑ч欌濓纴涓庢浘缁忓悓镙烽庨浔涓镞剁殑𨱔伴附瀛愮梾姣掔浉姣旂唺鐚鐑ч欐洿鍏峰囨潃浼ゅ姏浠ュ强镰村潖镐э纴涓镞﹁镒熸煋瀵逛簬缃戞皯浠𨱒ヨ寸粷瀵规槸𨱔鹃毦镐ф墦鍑汇

杩欎箞澶氩勾杩囧幓锛屾浘缁忛偅涓浠や汉闂婚庝抚鑳嗙殑镡婄尗鐑ч欙纴宸茬粡鎴愪负璁稿氱▼搴忓憳镓嬩腑镄勫皬鐜╁叿鍜岃尪浣欓キ钖庣殑绗戣皥锛屽氨镀忔棤鏁版浘缁忎护浜烘潫镓嬫棤绛栫殑䦅呮瘨涓镙凤纴闅忕潃鎶链镄勮繘姝ワ纴濡备粖涔熷彧鑳芥拨涓鸿繃铡伙纴浣嗕簰镵旂绣镄勬睙婀栵纴骞朵笉浼氩洜涓烘潕淇婄殑绂诲幓钥屼骇鐢熷氩ぇ镄勬敼鍙桡纴鐩稿弽镄勬洿澶氱殑绮惧僵鏁呬簨姝ゆ椂姝ｅ湪杩欎竴𨱒℃椂闂寸嚎涓涓嶆柇镄勯厺閰跨潃銆

浣嗕笉璁哄备綍鍙戝𪾢锛屽畨鍏ㄨ繖涓锻介樼殑閲嶈佹у湪浜掕仈缃戣屼笟涓姘歌繙閮芥槸浣嶅垪棣栦綅锛屽湪杩欎釜缃戠粶镞朵唬涓锛屽备綍淇濋㱩鏁版嵁瀹夊叏銆佺郴缁熷畨鍏ㄣ佷俊鎭瀹夊叏绛夌瓑锛屾槸鎴戜滑鍦ㄥ彂灞曚腑棣栬佸幓钥冭槛镄勯梾棰樸傝嫢鎭ㄩ渶瑕佷简瑙ｇ绣缁滃畨鍏ㄤ骇鍝侊纴璇稿傞槻𨱔澧欍佸畨鍏ㄥ¤°佸畨鍏ㄦ娴嬬瓑绛夛纴鍙浠ュ叧娉ㄥ拰绉佷俊灏忕紪鍝︼纴钖勭嶅ぇ铡备换浣犳写阃夛纴浼樻儬锷涘害涔熺粷瀵瑰嚭涔庢偍镓鏂欙紒

‘陆’ 请高手解答！木马是什么它有多少种有什么办法去防预它被木马入侵后有什么现象

什么是木马?
特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。
所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。
参考资料：http://bbs.51ww.com/365000/ShowPost.aspx
回答者：完颜康康 - 探花 十一级 9-18 12:40

--------------------------------------------------------------------------------

DLL 木马揭秘

相信经常玩木马的朋友们都会知道一些木马的特性，也会有自己最喜爱的木马，不过，很多朋友依然不知道近年兴起的“DLL木马”为何物。什么是“DLL木马”呢？它与一般的木马有什么不同？

一、从DLL技术说起

要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS系统大行其道的日子里。在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。静态链接技术让劳累的程序员松了口气，一切似乎都很美好。可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推销员，不管你想不想要宣传单，他都全部塞到你的手上来。写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。

时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的方法来解决代码重复的难题。后来，Windows系统出现了，时代的分水岭终于出现。Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的方法，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。完成需要的功能后，这个DLL停止运行，整个调用过程结束。微软让这些库文件能被多个程序调用，实现了比较完美的共享，程序员无论要写什么程序，只要在代码里加入对相关DLL的调用声明就能使用它的全部功能。最重要的是，DLL绝对不会让你多拿一个花瓶，你要什么它就给你什么，你不要的东西它才不会给你。这样，写出来的程序就不能再携带一大堆垃圾了——绝对不会让你把吃剩的东西带回家，否则罚款，这是自助餐。

DLL技术的诞生，使编写程序变成一件简单的事情，Windows为我们提供了几千个函数接口，足以满足大多数程序员的需要。而且，Windows系统自身就是由几千个DLL文件组成，这些DLL相互扶持，组成了强大的Windows系统。如果Windows使用静态链接技术，它的体积会有多大？我不敢想。

二、应用程序接口API

上面我们对DLL技术做了个大概分析，在里面我提到了“接口”，这又是什么呢？因为DLL不能像静态库文件那样塞进程序里，所以，如何让程序知道实现功能的代码和文件成了问题，微软就为DLL技术做了标准规范，让一个DLL文件像奶酪一样开了许多小洞，每个洞口都注明里面存放的功能的名字，程序只要根据标准规范找到相关洞口就可以取得它要的美味了，这个洞口就是“应用程序接口”（Application Programming Interface），每个DLL带的接口都不相同，尽最大可能的减少了代码的重复。用Steven的一句话：API就是一个工具箱，你根据需要取出螺丝刀、扳手，用完后再把它们放回原处。在Windows里，最基本的3个DLL文件是kernel32.dll、user32.dll、gdi32.dll。它们共同构成了基本的系统框架。

三、DLL与木马

DLL是编译好的代码，与一般程序没什么大差别，只是它不能独立运行，需要程序调用。那么，DLL与木马能扯上什么关系呢？如果你学过编程并且写过DLL，就会发现，其实DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，这就是DLL木马的概念。也许有人会问，既然同样的代码就可以实现木马功能，那么直接做程序就可以，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序的进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，它很难被查到。

四、DLL的运行

虽然DLL不能自己运行，可是Windows在加载DLL的时候，需要一个入口函数，就如同EXE的main一样，否则系统无法引用DLL。所以根据编写规范，Windows必须查找并执行DLL里的一个函数DllMain作为加载DLL的依据，这个函数不作为API导出，而是内部函数。DllMain函数使DLL得以保留在内存里，有的DLL里面没有DllMain函数，可是依然能使用，这是因为Windows在找不到DllMain的时候，会从其它运行库中找一个不做任何操作的缺省DllMain函数启动这个DLL使它能被载入，并不是说DLL可以放弃DllMain函数。

五、DLL木马技术分析

到了这里，您也许会想，既然DLL木马有那么多好处，以后写木马都采用DLL方式不就好了吗？话虽然是这么说没错，但是DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，你需要了解更多知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。
如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。
DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种方法进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程-_-

远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了，你确定要关闭Windows吗？

3.木马的启动

有人也许会迫不及待的说，直接把这个DLL加入系统启动项目不就可以了。答案是NO，前面说过，DLL不能独立运行，所以无法在启动项目里直接启动它。要想让木马跑起来，就需要一个EXE使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。

启动DLL木马的EXE是个重要角色，它被称为Loader，如果没有Loader，DLL木马就是破烂一堆，因此，一个算得上成熟的DLL木马会想办法保护它的Loader不会那么容易被毁灭。记得狼狈为奸的故事吗？DLL木马就是爬在狼Loader上的狈。

Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的方法（rundll32.exe [DLL名],[函数] [参数]）像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。

有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。

4.其它

到这里大家也应该对DLL木马有个了解了，是不是很想写一个？别急，不知道大家想过没有，既然DLL木马这么好，为什么到现在能找到的DLL木马寥寥无几？现在让我来泼冷水，最重要的原因只有一个：由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会出错崩溃。别紧张，一般的EXE也是这样完蛋的，但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的是系统进程哦，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，写得多了自己都烦躁……

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在，只要杀了狼，狈就不能再狂了。而DLL木马本体比较难发现，需要你有一定编程知识和分析能力，在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL，可是对新手来说……总之就是比较难啊比较难，所以，最简单的方法：杀毒软件和防火墙（不是万能药，切忌长期服用）。