如发现有乱码，请点击下面链接浏览原文
正文摘录:

每次我照着黑客x档案上介绍的方法在百度上搜索漏洞，都会发现找到的网址有很多都已经被挂上_厂网马，真是令我郁闷(真希望以后能够第一个拿到杂志呀)，在此严重鄙视那些入侵网站挂马的人，这种作法有违原生态的黑客精神。就以O6年第1l期的杂志来说吧，当我看到网趣购物那篇文章时，我就试着照杂志上讲的来寻找测试目标，结果就意外的中了木马。我在百度中用关键字“QQ：81447932”进行搜索，考虑到前儿页可能已经被其他读者测试过了，有可能已经被挂马，我就翻到了后几页寻找目标，没想到我这么小心还是中马了。当我点击图l中的第一个链接时，弹出的窗口很长时间都没有显示出内容，而鼠标却一直显示着后台运行状态。我的第一个反应就是坏了，有木马。我连忙将那个窗口关掉，但是已经迟了，木马早已在我的电脑里安家落户了。??i董誓≯／j攮蚤、-《《女—g√0tj?ht印.』，一嘶ducom，s}h=0＆5J一时n=10“e=gb23128(t=啪wd=0Q％3A88ai盈西浚高蒜罟竖竖生一..；曼鏖堕】：地互盛誊撒网上购物蔓魉鹈闯查看程序运行环境☆AsP+AccESS+Fs0功能支持∞须)、JmaIJ(瓦『选)o☆服务嚣攮作幕统简体中文、∥j丌M。t‘“w。r…雌荐使用)提示请尽量使用，∞联车.rm在每天的工作时闻均会在拽。发布人Admm发布时间。_堋6年6月24日此新闻已被。}冀q-‘“r”一“*。∥％一一v…0川百謦卜嚼程序运行环境☆AsP+AccESS蚱s0功能支持泄须)、Jmal{(百r选b注增强版中在数据库备份，弘几M8’4牡‘叠(椎律使用1提示请尽量使用：‘，il联系.0在每天的工作时间均会在拽。发布人恒伟网络发布时间2005年10月31日此。，州畦“∽『、一∽1gw、_|1=，0“’’-一州Lh伺‘√.匿瑷‘睁蹦图1根据我的经验，碰到木马、病毒时千万不要慌，一定要冷静下来仔细分析。就如同警察办案一样，、留意“凶手”留_F的蛛丝马迹，通过一条条线索，不断的判断推敲，联想贯穿整个“行凶”过程，直到最终找到“真凶”。既然是在浏览网页时中的木马，那么在IE的临时文件夹里就一定还有木马。我打开IE，选择“工具”，“Inter11et选项”，“常规”，选择“InternetI临时文件”中的“设置”，然后在“设置”菜单中选择“查看文件”，IE的临时文件夹就会打开了。果然不出所料，狐狸尾巴马上就露出来了，名字竟然是wm.exe，连傻瓜都看得出这是个网马，而后面显示的“http：／／www.jg666.net／wm／wm.exe”也清楚的告诉了我们网马的地址，如图2。ll…s0，ll…；0，Lm—Ilvems0，L肌一ll—s0，Lmzht中：J，wwwlpc2n…f口t…yht[口“ad5-veqq.[0mm…q’ht∞：ymds¨esttqq…m…wⅫn=ht[口：／『ads‰ntqq…m…sq’uln=ht∞：，fads¨e5ttqq…m…5qⅫn=ht∞：ffadsBvettqq…m…5g’一立件文件文件立件文件文件I篓H5Tcounter5ehttpf『W州qsuo…』m5tm6ps∞07f5ervkt卅sT(0unter5ervIet’g∞unter夏件I蠊os』…啪…№岫，，…I口c2n…』0sf立件睦电i暖曩ncIpf¨州1q666n吐，Wm，Wme×e应用程序图2网马是找到了，但它列底在我们的电脑里做Ij，些什么，我们还不清楚。使用系统配置实用程序查看启动项和系统服务，也没有发现什么可疑的，使用冰刃也没有发现可疑的进程。我把wm.exe从IE的临时文件夹下复制了出来，使用PEiD查看，发现程序是使用B0rlandDelphi6.07.O编写的，没有加壳保护，免