本文目录一览：

• 1、什么是木马
• 2、三国中谁的马最好？什么名字？
• 3、马航飞机马方在隐藏什么

什么是木马

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。

一、木马的危害

相信木马对于众多网民来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！

木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！

广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

二、木马原理

特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。

为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种：

1.)在任务栏里隐藏

这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.)在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。

3.)端口

一台机器由65536个端口，你会注意这么多端口么？而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么？

4.)木马的加载方式隐蔽

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。

5.)木马的命名

木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使用原来的名字。谁不知道这是个木马程序呢？所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除么？还有的就是更改一些后缀名，比如把dll改为dl等，你不仔细看的话，你会发现么？

6.)最新隐身技术

目前，除了以上所常用的隐身技术，又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同，它基本上摆脱了原有的木马模式—监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况，DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作

在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面跟着程序，比如：

run=c:windows ile.exe

load=c:windows ile.exe

这个file.exe很可能就是木马程序！

修改文件关联

修改文件关联是木马们常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则TXT文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河。“冰河”就是通过修改HKEY_CLASSES_ROOT xtfileshellopenmmand下的键值，将“C:WINDOWSNOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”，这样当你双击一个TXT文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标，要小心喽。对付这类木马，只能经常检查HKEY_CLASSES_ROOT文件类型shellopenmmand主键，查看其键值是否正常。

捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样：shell=Explorer.exe file.exe，注意这里的file.exe就是木马服务端程序！

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。

再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，它们起到加载驱动程序的作用，但也是添加木马程序的好场所。

利用注册表加载运行

如下所示的注册表位置都是木马喜好的藏身之处，赶快检查一下，有什么程序在其下：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；

HKEY_USERS.DefaultSoftware

MicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。

在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，它也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

“反弹端口”型木马的主动连接方式

什么叫“反弹端口”型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机发出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是，与一般的木马相反，“反弹端口”型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址:1026，客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值，因此只要留意注册表的变化就不难查到它们。

尽管木马很狡猾，善于伪装和隐藏自己，达到其不可告人的目的。但是，只要我们摸清规律，掌握一定的方法，还是能够防范的。消除对木马的恐惧感和神秘感。其实，只要你能加倍小心，加强防范，相信木马将会离你远去

三、木马防范工具

防范木马可以使用防火墙软件和各种反黑软件，用它们筑起网上的马其诺防线，上网会安全许多。

网上防火墙软件很多，推荐使用“天网防火墙个人版”。它是一款完全的免费的软件

，安装成功后，它就变成一面盾牌图表缩小到任务来的系统托盘里，并时刻监视黑客的一举一动，当有黑客入侵时，它就会自动报警，并显示入侵者的IP地址。

用鼠标双击盾牌图标，就会弹出天网的控制台，控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签，会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务，但UDP端口服务还开放着，别人无法通过端口的漏洞来入侵，它阻挡了几乎所有的蓝屏攻击和信息泄漏问题，并且不会影响普通网络软件的使用)

在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑，天网防火墙会将其自动拦截，并告警提示，同时在控制台的“安全纪录”里会将连接者的IP，协议，来源端口，防火墙采取的操作，时间记录等攻击信息显示出来。

在控制台的“检测”、“关于”标签里主要有安全漏洞的说明，防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络，点一下控制台上的“停”就可以了。

四、木马的查杀

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

1.)检查注册表

看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2.)检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！

3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的

三国中谁的马最好？什么名字？

【马作的卢，霹雳弦惊】

虽然不及赤兔马那么声名显赫，可的卢的知名度却因为辛弃疾一首词中的“马作的卢飞快，弓如霹雳弦惊”而大为提高。不过辛弃疾自然不是乱给它吹牛的，的卢马的确有其骄人之处。而其在三国历史中最显眼的一处便是背负刘备跳过阔数丈的檀溪，这一跳便奠定了其三国名马的地位，也使刘备对其更是刮目相看。

此马原为刘表手下降将张武所有，后来张武造反，走投无路的刘备正好以同为皇室宗亲的身份与刘表认了亲戚并投靠刘表，这个时候便主动请缨亲征。等到短兵相接，刘备望见张武坐骑“极其雄俊，”，大为赞赏赞曰：“此必千里马也”，赵云即时领会了主公的意图，挺枪而出，“不下三合”，便斩将夺马。等到凯旋班师，刘表见了这匹马，也禁不住赞不绝口。刘备正愁无一报答刘表，于是欲将此马送给刘表。不料，刘表谋士蒯越认为此马“左目下有泪槽，额边生白点，名为‘的卢’，骑则妨主。”还说“张武骑此马而亡”就是证明，吓得刘表赶紧找借口还给了刘备，于是这匹战马又跟随了刘备。刘表的幕宾伊籍将此马“妨主”的消息透露给了刘备，刘备却不予采纳。后来蔡瑁欲设计谋害刘备，伊籍又向刘备报信，刘备慌忙从酒席中逃走，骑上的卢却是慌不择路走错了路，结果便来到了檀溪。前是阔越数丈的檀溪后是追兵，刘备在这个时候才想起伊籍的卢妨主的劝告，加鞭抽打的卢边失声痛哭：“的卢，的卢！果然害我！”那马忽然从水中涌身而起，一越三丈，飞上对岸，完成了的卢最富传奇意义的演出。这之后刘备更加不相信“的卢妨主”的预言了，对这匹救命的宝马无限珍爱，后来出兵入蜀之际因见庞统坐骑老弱，为了显示自己对庞统的重视而将自己珍爱的宝马的卢赠送给了庞统。谁知庞统无福消受，刚骑上的卢便被敌人当作刘备在落凤坡被乱箭射死，从此后的卢马也失去了踪迹。

个人认为的卢为白色。虽然找不到确切的说法来源。唯有句：如同一头玉狮。其实关于妨主这一说，有许多都是让人难以相信的。战乱时期弱肉强食，马的主人频繁死亡应该说是一件很正常的事情。特别是名马，人人欲占为己有，于是也就只有靠不断地将马的主人击杀的手段而达到目的了。所以按照这个意义来说，被称为“妨主”的名马却往往是最好的马，正是因为大家的互相争斗才会导致“妨主”的事情发生，而无论怎么说马都是很无辜的。的卢马可以一跃三丈从水中飞起已经足以证明其非凡的能力，就其这一跃就应该将其算在“佑主”马的行列之中了。

【绝影无影】

绝影与爪黄飞电均为曹操坐骑。关于这两匹名马无论是正史还是野史都鲜有涉及。绝影马在《魏书》中有所提及：“公所乘马名绝影，为流矢所中，伤颊及足，并中公右臂。世语曰：昂不能骑，进马于公，公故免，而昂遇害”。这是曹操征讨张绣时发生的事情，张锈假降，的机会而反攻曹之。这一战是曹操除赤壁之外最惨痛的一次败绩。在这一战中，曹操损失一个儿子（曹昂），一个侄子（曹安民），一员虎将（典韦），还有一匹良驹（绝影），可谓损失惨重。 而这一战本来是可以避免的，连曹操一世奸雄都没有预料到会出现这场战争：曹操征讨张绣，张绣已献城投降曹操。曹操对张绣大为赞赏，张绣也心存感念，本来可以说是皆大欢喜的事情。可惜曹公大胜之后欣喜过度，安逸无聊。一日与其侄子路行见女子倚车观望。曹细观之。其侄子善察颜，将此女献与操之。此女邹氏为张绣婶母。邹氏为回避张锈，操与其搬至大营，在营中饮酒行乐。此事被张绣得知后大为恼怒。其本就心不甘降，于是将曹反之。操无预计，况大将典韦被胡车灌醉偷走了短把青铜戢。曹操被打得措手不及，险些丧命，全靠着绝影逃了出来。而绝影据说是大宛名马，身上中了三箭竟然仍能奋蹄疾驰，而且速度极快（绝影之名或许就是因为其速度快而得的，意为其速度快的连影子都跟不上了），最后被乱箭射中眼睛才倒了下去。曹操再转乘长子曹昂的马逃跑,而绝影马便在这一战中完成了其所有的使命。事后操摆灵位对天祭奠绝影痛哭失声。

【爪黄飞电】

爪黄飞电的出场就更是稀少了，宛如昙花一现，仅仅在“许田射猎”时出现了一次，其余便很少看到了。曹操骑着爪黄飞电在许田陪同汉献帝打猎，结果献帝屡次射鹿不中，请丞相射之。曹操取过献帝的弓箭坐在爪黄飞电上，一箭便射中了鹿，群臣看射鹿之箭以为献帝所射，齐呼万岁。曹操骑着马在献帝前面接受朝贺，傲视群雄不可一世，而这匹爪黄飞电也无疑为其增色不少。光看其名字就显得与众不同，气势磅礴，也惟独只有曹操这样的枭雄也才可以配得上这匹马。可能因为这匹马的气质高贵非凡，却不适合作战，所以曹操一般在作战中是不会乘其出征的，而会在凯旋回朝的时候骑乘以显示其与众不同的气势。更多的时候爪黄飞电给人一种花瓶的感觉。所以爪黄飞电并未有显示其速度的机会。

作为乱世的三国，和作为乱世三国的名将，几乎都会有一匹名马伴随其左右，跟随其驰骋。除了赤兔、的卢、绝影、爪黄飞电以为尚有许多名马出现在这个乱世，

[编辑本段]其他

【夜照玉狮子】长坂坡上，令赵云七进七出，而落于不败，落入陷坑生，而又能飞跃而起的那匹马，名叫【夜照玉狮子】；这匹马头至尾一丈二，蹄至背八尺多，大蹄腕儿．细七寸，竹签耳朵刀螂脖，干棒骨，开前胸，就象欢龙一样。为什么叫“玉兰白龙驹”呢?因为这匹马和普通马不一样。马的左耳朵里边有一块记，就象一朵玉兰花一样，其实这不是记，是角，犄角。马肚子一边有四个旋儿，其实这不是旋儿，是鳞。头上长角，肚下生鳞，都说那不是马，是龙，起码是龙种。这匹玉兰白龙驹还有一个美名，叫“赛龙雀”．龙雀，就是传说中的风神。赛龙雀是怎么回事?这要从汉武帝时说起。当时西域有个乌孙国，乌孙国的大宛马非常出名，远近各国没有不知道的。大宛马跑起来比风神还快，所以都叫牡马超龙雀。这种马也叫天马，“天马行空，独往独来”，就从这儿来的。汉武帝派张骞出使乌孙国，乌孙国王知道汉武帝爱马，就送给汉武帝十几匹大宛马。赵云的这匹马．就是纯种大宛马赛龙雀。

【乌云踏雪】关外名驹，千里绝群，张飞之马，长坂桥上与三将军共退大魏雄师，为马中英雄。以黑著称的张飞，马的名字很有气势，“王追”，一个王者的追随者。 据说，此马和他人一般的黑，估计若是晚上出行，没有人能看得见，如用来偷袭，绝对是一本千万利的事。这马与楚霸王的乌骓马倒是有得一比，主人同样是猛人，马儿同样是猛马。非常之人骑得是非常之马，也只有非常之马才载得动非常之人。关公曾说过：“贱躯颇重，马不能载，因此常瘦。”因而常马是不适合其骑坐。同为“万人敌”的张飞也应如是，凡马又怎能匹配，他那冲天的豪气。

曹洪曾有一匹马名为【白鹤】。（后有白鸽马）当时人称：“凭空虚跃，曹家白鹤”；

那匹刘备送给庞统而使庞统送出命的马，名为【白龙驹】（是否此马就为“的卢”不得而知）；

张辽威震逍遥津时，骑得那匹马是【灰影】；

当时，孙权被逼无奈跃马跳过断桥，骑的是【快航】；

孙权还有另一匹名马，“驰骤烈风举帆之疾”，故名【惊帆】 ；

智可比诸葛亮，曹操称“吾之子房”的郭嘉的马的名字叫【白雪】；

与此马名字相对应的，东吴那“打不死”之周泰骑的马叫【黑云】；

以黑著称的张飞，马的名字很有气势——【王追】（也有称乌椎）；

“生命力持久”、活跃在三国后期舞台的张的坐骑也之马为：【奔雷】；

老谋深算的司马懿，马的名字为【乌孙】；

名气稍差，一刀砍死魏延的马岱，却骑了一匹好马，名为【汗血】，此马是否就是传说中的汗血宝马不得而知；

魏延呢，也不差，足以唬人，【乌骓】，楚霸王复生矣；

火烧八百里连云，一战成名的陆逊，坐骑很符合他的儒将气质，名为【白鸽】；

大诗人陈思王曹植，也有一匹和绝影一样的“大宛良马”，名为【紫骍】；

杀得曹操割须弃袍，名列五虎将之一的马超，马名却很奇特——【里飞沙】。不晓得这和锦马超有西凉血统是否有关；

老当益壮、弥尔益坚的黄忠，马的名字气势非凡，一听就有气势，【燎原火】 ；

曹真之马，曹真曾用此马与司马懿打赌。河套马种，耐力惊人，速度飞快，奔跑如行云流水，譬如白矾顺流。三国名马之一。它也叫【惊帆】；

马航飞机马方在隐藏什么

马方在第一时间就是失联的3月8号1点左右，没有发出失联的技术请求，一直到8点多，毫无头绪。而这个时间段，长7个小时之久，飞机事实上还在飞行！

如马方哪怕在2点钟求助飞机发动机、波音公司寻求技术支持，发动机制造商可以立刻开启针对这架飞机的寻址服务，在他们只是一个常规跟踪手段而已，那样飞机失联时间就及时停止，至少会重新回到卫星的监控下，争取到飞机燃油耗尽前的6个小时！无论是出动军机还是对空联系都来得及。

即使最恶劣的事情发生，也能及时赶到第一现场。

这就是马方隐瞒不报的恶果，历史上空前的商业飞机失联时间和最高的搜救费用。