木馬也稱特洛伊木馬，有相當(dāng)部分的網(wǎng)絡(luò)入侵是通過木馬來實(shí)現(xiàn)的。木馬的危害性在于它對電腦強(qiáng)大的控制能力。一旦木馬的服務(wù)端被植入了計(jì)算機(jī)，那么木馬客戶端的擁有者就可以像操作自己的機(jī)器一樣控制你的計(jì)算機(jī)，這不前幾天筆者的一位好友就讓“廣外女生”給黑了一把，可憐的他被折磨了兩天后，最后只能忍痛割愛重裝了系統(tǒng)。

他的遭遇使我產(chǎn)生了一個(gè)想法，如果我們能為自己的“愛機(jī)”接種一個(gè)“木馬疫苗”，那么就不那么容易被黑了！

★理論篇

疫苗是為了防御，且只能針對已知的木馬進(jìn)行防御。

木馬病毒都有兩個(gè)共同特征，也是它們的共同的弱點(diǎn)：

1. 它們都需要向本地計(jì)算機(jī)植入木馬程序文件；

2. 它們都需要激活木馬“服務(wù)端”才能運(yùn)行生效。

我們只要破壞其中的任何一個(gè)條件就能使木馬無法運(yùn)行，比較起來破壞木馬程序文件要容易得多。木馬病毒不是老想在計(jì)算機(jī)中植入木馬服務(wù)端程序文件嗎？我們何不“將計(jì)就計(jì)”，利用Windows操作系統(tǒng)“不允許在同一目錄下創(chuàng)建兩個(gè)文件名完全相同的文件”這一特性，在病毒要植入木馬文件的所有位置都放上一個(gè)與木馬文件完全同名的0字節(jié)文件，然后對這些假木馬的屬性、訪問權(quán)限進(jìn)行最嚴(yán)格的限制，這樣，木馬在植入時(shí)就會(huì)因?yàn)椴荒苄薷奈募　?br>
★應(yīng)用篇

下面以最為普及的木馬病毒“冰河”為例，為大家介紹如何人工為“愛機(jī)”植入木馬病毒“疫苗”。

首先來看看“冰河”木馬病毒的特性：

一旦激活了冰河的服務(wù)端程序G-Server.exe,那么它將在C：\Windows\system目錄下生成Kernel32.exe和Sysexplr.exe兩個(gè)文件。即使刪除了Kernel32.exe，只要你打開TXT文本文件，Sysexplr.exe就會(huì)被激活，它會(huì)再次生成一個(gè)Kernel32.exe，這樣冰河就會(huì)又回來了！這就是冰河屢刪不止的原因。

根據(jù)這一原理：（這里要注意的是：首先要確保你的“愛機(jī)”沒有感染該木馬程序），我們就先在C：\Windows\system的目錄下建立Kernel32.exe和Sysexplr.exe的兩個(gè)空文件，過程如下：點(diǎn)擊[開始]→[控制面板]→[文件夾選項(xiàng)]，選擇“查看”選項(xiàng)卡(如圖1)，找到“隱藏已知文件擴(kuò)展名”選項(xiàng)，把它前面的對勾去掉。新建文本，將文件名（包括“擴(kuò)展名”）改成Kernel32.exe和Sysexplr.exe，然后將文件屬性設(shè)為只讀、系統(tǒng)。在 Windows NT/2000/XP中，如果是多用戶系統(tǒng)，將訪問權(quán)限設(shè)置為“everyone”都“拒絕訪問”（注意：該文件的其他繼承權(quán)限也要作相應(yīng)的設(shè)置）。

對付其他木馬也都可如法炮制。要說明的是，人工為“愛機(jī)”植入木馬病毒“疫苗”做法只是在沒有安裝殺毒軟件時(shí)的應(yīng)急措施。平時(shí)的安全防范，更加重要。另外，對系統(tǒng)進(jìn)行上述處理時(shí)，應(yīng)當(dāng)完全弄清楚木馬“服務(wù)端”的工作機(jī)制，盡可能地把它的所有攻擊門路都堵死，否則這個(gè)“疫苗”會(huì)失效的