众所周知，木马对电脑有着强大的控制能力。木马都有一个客户端和一个服务端，一旦木马的服务端被植入了计算机，那么木马客户端的拥有者就可以像操作自己的机器一样控制你的计算机，因而利用木马进行入侵也就成为很多入侵者非常喜欢的方式。如果我们能采用某种办法阻止木马的植入，就可以防患于未然，将可能的损失降到最低。

所有的木马病毒要成功地运行，都要具备两个条件，这也就成为了它们的共同的弱点：第一，需要向目标计算机植入木马服务端程序；第二，需要激活木马服务端程序。

针对木马病毒的弱点，我们的目标就是要破坏其中的一个木马要运行成功的条件，这样就能使木马无法运行，从而达到免疫的效果。木马病毒首先要在目标计算机中植入木马服务端程序文件，在Windows操作系统中是不允许在同一目录下创建两个文件名完全相同的文件的，我们可以根据对木马感染的案例进行分析，然后在要植入木马文件的所有位置都放上一个与木马文件完全同名的0字节文件，然后对这些文件的各项参数进行设置，这样，木马病毒在植入时就会因为不能修改文件而失败。也就相当于免疫方法中的感染标识免疫，文件夹中已经存在相同文件名的文件则标志着已经被感染，所以木马服务端就不会被“二次种植”，从而避免了木马的感染。

下面针对冰河木马，介绍如何进行木马的免疫。

冰河木马的原理

通过对冰河木马感染案例的分析，我们发现，如果激活了冰河木马的服务端程序G-Server.exe，那么它将在目标计算机的C：＼Windows＼system目录下生成两个可执行文件：Kernel32.exe和Sysexplr.exe。如果你仅仅是找到并删除Kernel32.exe，并不能像你想象的那样已经清除了冰河木马，只要你打开任何一个文本文件，Sysexplr.exe就会被激活，它会再次生成一个Kernel32.exe，这就导致了冰河木马的屡删不止。了解了这些之后我们就可以在计算机系统没有被感染时针对冰河木马的感染原理对其进行免疫。

人工免疫步骤

在计算机没有感染冰河木马程序的前提下，首先在控制面板的文件夹选项中选择查看选项卡，取消系统默认的“隐藏已知文件扩展名”选项。然后在C：＼Windows＼system的目录下，新建两个TXT文本文件，将文件名(包括“扩展名”)改成Kernel32.exe和Sysexplr.exe最后将文件属性设为只读、隐藏。在Windows NT/2000/XP中，如果系统有多个用户，则将访问权限设置为“everyone”都“拒绝访问”，其他继承权限也作相应的设置。这样木马服务端程序在将要生成Kernel32.exe和Sysexplr.exe时会发现文件已经存在，就不会再次生成Kernel32.exe和Sysexplr.exe并认为木马已经在以前的某个时间成功种植，这样计算机也就不会感染上冰河木马，从而起到了免疫的效果。