木马病毒的入侵途径有哪些

1、捆绑欺骗。把木马服务端和某个游戏捆绑成一个文件在QQ或邮件发给别人。服务端运行后会看到游戏程序正常打开，却不会发觉木马程序已经悄悄运行，可以起到很好的迷惑作用。而且即使别人以后重装系统了，他还是保存你给他的这个“游戏”的话，还是有可能再次中招。

2、这是教科书式的老式欺骗，方法如下：直接将木马服务端发给对方，对方运行，结果毫无反应（运行木马后的典型表现），他说：“怎么打不开呀！”你说：“哎呀，不会程序是坏了吧？”或者说：“对不起，我发错了！”然后把正确的东西（正常游戏、相片等）发给他，他收到后欢天喜地的就不想刚才该发生的事有什么不对劲了。

3、QQ冒名欺骗。前提：你必须先拥有一个不属于你自己的QQ号。然后使用那个号码给他的好友们发去木马程序，由于信任被盗号码的主人，他的朋友们会毫不犹豫地运行你发给他们的木马程序，结果就中招了。

4、邮件冒名欺骗。和第三种方法类似，用匿名邮件工具冒充好友或大型网站、机构单位向别人发木马附件，别人下载附件并运行的话就中木马了。

5、危险下载点。这是后面几位朋友提到的，蔬菜常用的方法：（据说他已经用这种方法得到了数千台肉鸡）攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载，这样以后每增加一次下载次数，你就等于多了一台肉鸡。或者你干脆把木马捆绑到其它软件上,然后"正大光明"的发布到各大软件下载网站,它们也不查毒,就算查也查不出我写的新木马,然后...我就不用说了,肉机会至少两位数。

6、文件夹惯性点击。把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹，很多人出于连续点击的习惯，点到那个伪装成文件夹木马时，也会收不住鼠标点下去，这样木马就成功运行了。

7、zip伪装。这个方法是最新的，将一个木马和一个损坏的zip包（可自制）捆绑在一起，然后指定捆绑后的文件为zip图标，这样一来，除非别人看了他的后缀，否则点下去将和一般损坏的zip没什么两样，根本不知道其实已经有木马在悄悄运行了。

8、在某个公文包或者可以上传附件的论坛传上捆绑好的木马，然后把链接发给受害者。

9、网页木马法。

木马入侵主要手段

木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序，是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看，木马都是网络客户/服务模式，它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵，一般都要完成“向目标主机传播木马”，“启动和隐藏木马”，“建立连接”，“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征：隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性：隐蔽性是木马的生命力，也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒（或杀马）软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面：

a.不产生图标。木马虽然在系统启动时会自动运行，但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性：木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名，如dll、win、sys、explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常常修改几个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中而已。

(3)顽固性：很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。当木马被检查出来以后，仅仅删除木马程序是不行的，有的木马使用文件关联技术，当打开某种类型的文件时，这种木马又重新生成并运行。

(4)危害性：当木马被植入目标主机以后，攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码，控制系统的运行，进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高，木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式，主要有以下几种：

1)电子邮件（E-mail）进行传播：攻击者将木马程序伪装成E-mail附件的形式发送过去，收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播：一般的木马服务端程序都不是很大，最大也不超过200K，有的甚至只有几K。如果把木马捆绑到其它正常文件上，是很难发现的。一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播：由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面，他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播：这种方法利用Java Applet编写出一个HTML网页，当我们浏览该页面时，Java Applet会在后台将木马程序下载到计算机缓存中，然后修改注册表，使指向木马程序。

4)利用系统的一些漏洞进行传播：如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可把IIS服务器崩溃，并且同时在受控服务器执行木马程序。

5)远程入侵进行传播：黑客通过破解密码和建立IPC$远程连接后登陆到目标主机，将木马服务端程序拷贝到计算机中的文件夹（一般在C:\WINDOWS\system32或者C:\WINNT\system32）中，然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛，但也很容易引起用户的警觉，所以一些新的入侵手段也相继出现，主要有：

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序，然后在目标主机中选择特定目标进程（如系统文件或某个正常运行程序），由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Load Library函数来加载木马DLL，从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动，而使用E-mail传播效率又太低，系统漏洞很快又被打上补丁，所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力，将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性，在网络上大批量地进行传播、复制，这就加快了木马的传播速度，扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害，我们可以从两方面来有效地防范木马：使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是，仍然有一些木马可以绕过防火墙进入目标主机（比如反弹端口木马），还有一些将端口寄生在合法端口上的木马，防火墙对此也无能为力。因此，我们必须要能迅速地查杀出已经入侵的木马。木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件,现在很多杀毒软件能删除网络上最猖獗的木马。但是，由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是：

1)检查主机开放的端口

木马进行通讯时大都会开启一个通讯端口，这个端口一般是用户不常见的。检查端口可以使用专门的端口扫描器，也可以在“命令行提示符”下使用“net stat –an”命令进行查看，如图1所示。除了服务器默认使用的端口外，其它的开放端口都要引起警觉。

因为在注册表中可以设置一些启动加载项目，所以很多木马程序都会利用注册表来启动自己。事实上，只要是Run\RunOnce\RunonceEx\RunServices\RunServicesOnce等都是木马程序加载的入口，如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once；HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run或Run Once或Run Services或RunServicesOnce。检查这些键值下是否有可疑的文件名，如果有，先关闭其进程，再删除键值和相应的应用程序。 对于一些文本(.txt)文件关联木马（比如“冰河”）和应用程序(.exe)文件关联木马（比如“广外女生”），除了以上步骤外，还要将HKEY_Classes_ROOT\txtfile\shell\open\command中的键值改为“c：\windows\notepad.exe %1”以及将HKEY_Classes_ROOT\exefile\shell\open\command中的键值改为“”%1” %*”。

3)检查启动组

虽然木马隐藏在启动组并不是十分安全，但这里的确是自动加载运行的好场所，因此还是有木马在这里驻留。启动组对应的文件夹为“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”，要经常检查这个地方。

除了以上防范措施外，用户上网时应该避免访问一些非正规的网站或者下载文件；在收到带有附件的E-mail时，应该先对附件进行病毒扫描确保安全后再打开。

4 结束语

多年以来，木马与网络安全技术一直较量着，并且不断向前发展。未来的计算机木马将更注重底层的通讯编程，如针对网卡和Modem的通讯编程，这样可以有效地逃过安全检测，对网络安全形成新的威胁，我们对它的防范也将更加困难。

隐蔽性是木马的最大特点.一般有哪些隐蔽手段

1、危害的持续性。

木马病毒和普通病毒不同，只要它存在在我们的电脑中就会持续的盗取我们的信息，而不会被我们明显的察觉。

2、隐蔽性

木马病毒需要隐藏在你的系统之中，在无人知晓的情况下造成危害。如果木马病毒失去了隐蔽性，它也就失去了意义。

怎样让木马隐藏的更好？

一.躲过杀毒软件，悄无声息进入系统

木马要进入用户系统，首先要过杀毒软件这一关。否则一旦杀毒软件报警，木马就无隐蔽性可言了，立马被杀毒软件赶出系统。因此，面对杀毒软件，木马使尽浑身解数，通过各种手段隐藏自己，比较常见的方法有：寄宿于正常文件，木马加壳加密，修改木马特征码。

寄宿于正常文件

这个方法就是将木马程序与正常的文件捆绑在一起，捆绑后会生成一个可执行文件，当运行这个可执行文件时，正常文件和木马程序都会同时运行，这样木马就可以隐藏自己，悄悄进入用户的系统。要让木马实现这样的效果比较简单，只需要下载一个文件捆绑器即可，这里我们以木马老大“灰鸽子”出口的文件捆绑器为例。单击“文件捆绑器”上的“增加文件”按钮，选择一个正常的可执行文件，例如Flash小游戏等。再次单击该按钮将我们的木马程序也添加进来。需要捆绑的文件添加完成后，我们可以在“捆绑器”下方为捆绑后生成的文件指定一个文件图标。最后单击“捆绑文件”，即可将两个文件捆绑成一个可执行文件。

虽然这种方法比较简单，但是效果不佳，碰上杀毒能力强劲的杀毒软件，木马还是会被逮个正着。

二.木马加壳加密

“壳”是一种专门保护软件的程序，当运行一款加过壳的软件时，首先会运行这个软件的壳，壳会将包含在其中的程序进行还原，给予使用。当使用完毕后，壳又会将程序进行加密，整个过程都是在壳的保护过程中进行的。

正因为壳的性质，木马会进行加壳操作以使自身得到加密，这样就给杀毒软件的查杀带来了难度。不过目前主流的杀毒软件都改进了其杀毒引擎，增强了加壳程序的检测，对于加过壳的程序，杀毒软件会先将其脱壳，再进行查杀。因此如果木马使用的是类似ASP、UPX这样的热门加壳软件，那么还是很难逃过杀毒软件的查杀的，除非使用一些冷门的加壳软件。

修改木马特征码

这应该是最为有效的躲避杀毒软件的方法。我们都知道，杀毒软件判定这个程序是否是病毒是通过特征码来决定的，如果在这个程序中有一段代码与杀毒软件中的病毒特征码对上号，那么就判定它是病毒。根据这个原理，我们是否只要让木马的代码与杀毒软件的特征对不上号，就可以躲过杀毒软件的查杀呢？答案是肯定的，修改木马的特征码需要使用16进制编辑器，例如UltraEdit、Winhex等。修改特征码可以采用两种方法：1、直接修改特征码：用16进制编辑器打开木马后，将其中的特征码都替换为0；2、增加跳转指令：在木马特征码处增加一条跳转指令，让程序运行到该处时跳到下一段代码，这样做的目的是使杀毒软件检测时跳过这段代码的检测。

防范：在这一部分，木马的隐藏手段对我们的威胁还是比较小的。只要有足够的安全意识，就可以将木马拒之门外。

首先我们来看看如何对付经过捆绑的木马文件。由于捆绑文件是由两个文件合并生成的，虽然我们只能看到一个文件，但是可以在这个文件的内部找到捆绑的蛛丝马迹。这里我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。单击程序界面上的“扫描”按钮，浏览选择可疑文件，如果程序下方的“包含多个可执行文件”选项被打上钩，这就表示文件被捆绑了。

至于对木马程序进行加壳，曾经是很流行的一种木马隐藏手段，但是随着杀毒软件的升级，木马已经很难再有效地利用这种手段。根据壳的原理我们可以得知，加壳木马运行后，会将其中的木马程序在内存中还原。还原后的木马是不受壳的保护的，因此大部分的杀毒软件都会抓住这个机会，将木马铲除。

如果唯一能对杀毒软件造成一点危害的，就只剩下修改木马特征码这种隐藏手段了。不过不同的杀毒软件提取同一木马程序的特征码是不同的。这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀，如果要躲避多款杀毒软件，就需要修改多处特征码。这会对木马隐藏自己造成一定的困难。因此如果有条件，安装两款杀毒也是一个不错的办法。

三.隐藏窗口、设置文件属性、自我删除

隐藏窗口

木马的服务端程序是一个可执行程序，和我们在Windows上使用的绝大多数的软件相同，都是标准的Win32程序。不同的是，我们运行普通的可执行程序时，会出现软件窗口，我们可以在这个软件窗口中进行操作。而木马的服务端运行后，却没有出现窗口，这是因为木马服务端程序在编写的过程中将其窗口属性设置为隐藏，也就是说，木马服务端运行后的窗口是存在的，只是我们无法看到而已。

设置文件属性

木马为了隐藏在用户系统中生成的文件，通常会设置文件的属性为“隐藏”和“系统”，这样我们就无法在普通模式下看到木马的文件。

自我删除

自我删除是木马最初就具有的一种功能，当运行木马服务端程序后，服务端程序会将自身删除。这样做的目的是清除留下的痕迹，达到隐藏自身的效果。

防范：隐藏窗口和删除自身是木马服务端最常用的功能，虽然可以在一定程度上隐藏自己，但是也会因此而暴露自己。当我们双击一个可执行程序，结果没有出现任何窗口，或者运行后这个可执行文件消失了。那么我们很有可能中了木马，因为这是运行木马服务端最基本的两个特征。

设置文件属性是木马和病毒乐此不疲的隐藏手段，虽然手法简单，但效果不错。破解的方法也比较简单，点击资源管理器的“工具”菜单→“文件夹选项”，切换到“查看”标签，将“隐藏受保护的操作系统文件”前面的钩去掉，同时选择“显示所有文件和文件夹”选项，即可让隐藏的木马文件现形。

四.进程隐藏，遁地于无形

稍懂得安全保护知识的朋友都会通过任务管理器查看是否有可疑进程，以此确定木马的存在。不过随着木马编写技术的提高，在任务管理器中查找木马的方法不再是100%的有效。通过Hook技术编写的木马可以实现进程的隐藏和进程的插入。即使木马在系统中运行，我们在任务管理器中也只能看到正常的进程，而无法看到木马的进程。在了解这种隐藏技术之前，我们有必要先了解一下什么是Hook。

什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序就会收到系统的通知，这时程序就能在第一时间对该事件做出响应，木马程序便抢在函数返回前对结果进行了修改。

传统的进程隐藏技术

在Windows98系统中有一种能将进程注册为服务进程的技术。这种技术称为RegisterServiceProcess。通过这种技术，任何程序的进程都能将自己注册为服务进程，也就是说木马可以将自己的进程注册为服务进程。而服务进程在Windows98中的任务管理器中是不显示的。这样我们就无法通过任务管理器找到木马的进程。

通过Hook的进程隐藏

传统的进程隐藏技术到了Windows2000以后就毫无用武之地，因为在Windows2000以后的系统中，服务进程也是在任务管理器中显示的，例如svchost.exe进程，该进程是一个服务进程，我们可以在Windows2000的任务管理器中看到，而在Windows98下则不可以。此路不通，另寻他路。传统进程隐藏技术落后后，木马又转而使用Hook技术的进程隐藏。

新型的进程隐藏技术基本都是通过Hook来实现的。例如我们熟悉的灰鸽子木马，其通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数。由于灰鸽子事先对该API函数进行了Hook，因此“任务管理器”返回给我们的信息是不真实的，是被Hook过的信息，而有关木马的进程信息已经被悄悄的处理掉了。

防范：使用“Windows优化大师”集成的“进程管理”工具。运行“Windows优化大师”→“系统性能优化”→“系统安全优化”→“进程管理”。在其中选择一个进程，然后将下方的进程状态切换到“模块列表”标签，一般的隐藏进程都会在这里现形。

至于采用Hook技术的进程隐藏，我们无法使用一般的工具来检查，不过有一款被喻为“反黑之刃”的软件──Icesword，可以将通过Hook技术隐藏的木马进程统统挖掘出来。Icesword我们曾经做过专门的介绍，在此不在阐述。用Icesword查看隐藏进程方法：运行Icesword，单击“进程”按钮即可。隐藏进程将会以红色字体显示。

我的电脑中了木马病毒

木马小常识

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。

一、木马的危害

相信木马对于众多网民来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前，隐私？不复存在！

木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日，一个黑客入侵了美国微软的门户网站，而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面！

广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件，冰河面世后，以它简单的操作方法和强大的控制能力令人胆寒，可以说是达到了谈“冰”色变的地步。

二、木马原理

特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。

为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种：

1.)在任务栏里隐藏

这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.)在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。

3.)端口

一台机器由65536个端口，你会注意这么多端口么？而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么？

4.)木马的加载方式隐蔽

木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。

5.)木马的命名

木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使用原来的名字。谁不知道这是个木马程序呢？所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除么？还有的就是更改一些后缀名，比如把dll改为dl等，你不仔细看的话，你会发现么？

6.)最新隐身技术

目前，除了以上所常用的隐身技术，又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同，它基本上摆脱了原有的木马模式—监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况，DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

三、木马防范工具

防范木马可以使用防火墙软件和各种反黑软件，用它们筑起网上的马其诺防线，上网会安全许多。

网上防火墙软件很多，推荐使用“天网防火墙个人版”。它是一款完全的免费的软件，安装成功后，它就变成一面盾牌图表缩小到任务来的系统托盘里，并时刻监视黑客的一举一动，当有黑客入侵时，它就会自动报警，并显示入侵者的IP地址。

用鼠标双击盾牌图标，就会弹出天网的控制台，控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签，会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务，但UDP端口服务还开放着，别人无法通过端口的漏洞来入侵，它阻挡了几乎所有的蓝屏攻击和信息泄漏问题，并且不会影响普通网络软件的使用)

在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑，天网防火墙会将其自动拦截，并告警提示，同时在控制台的“安全纪录”里会将连接者的IP，协议，来源端口，防火墙采取的操作，时间记录等攻击信息显示出来。

在控制台的“检测”、“关于”标签里主要有安全漏洞的说明，防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络，点一下控制台上的“停”就可以了。

四、木马的查杀

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

1.)检查注册表

看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2.)检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！

3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

什么马会吓人,但人看不见它?老脑筋急转弯

古代的诸葛亮利用木牛〃流马＂运送物资，你说这流马吓不吓人，如果是今时你会不会吓你一大跳。

木马病毒诈骗，原理，能通过什么手段

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来(在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是DynamicLinkLibrary(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cdC:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir*.exeexebackup.txtdir*.dlldllbackup.txt回车。这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行CMD—fcexebackup.txtexebackup1.txtdifferent.txtfcdllbackup.txtdllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。最后，防治木马的危害，专家建议大家应采取以下措施:第一，安装反病毒软件和个人防火墙，并及时升级。第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。第三，使用安全性比较好的浏览器和电子邮件客户端工具。第四，操作系统的补丁要经常进行更新。第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

什么叫木马的通信隐藏

3.1 本地隐藏

本地隐藏是指木马为防止被本地用户发现而采取的隐藏手段, 主要包括启动隐藏、文件隐藏、进程隐藏、内核模块隐藏、原始分发隐藏等。这些手段可以分为三类:

将木马隐藏(附着、捆绑或替换) 在合法程序中；

修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理；

利用检测程序本身的工作机制或缺陷巧妙地避过木马检测。

1． 启动隐藏

启动隐藏，是指目标机自动加载运行木马程序， 而不被用户发现。在Windows 系统中,比较典型的木马启动方式有：修改系统“启动”项；修改注册表的相关键值；插入常见默认启动服务；修改系统配置文件(Config.sys、Win.ini和System.ini 等)；修改“组策略”等。这些启动方式，通常要修改系统的相关文件, 容易被检测工具发现。此外，还有些特殊的木马启动方式，如:文件关联和寄生启动( 注入普通进程)等。

2.文件隐藏

文件隐藏包括两方面，一是通过伪装, 达到迷惑用户的目的；二是隐藏木马文件自身。对于前者，除了修改文件属性为“隐藏”之外,大多通过一些类似于系统文件的文件名来隐蔽自己。对于后者，可以修改与文件系统操作有关的程序, 以过滤掉木马信息；特殊区域存放( 如对硬盘进行低级操作，将一些扇区标志为坏区，将木马文件隐藏在这些位置，或将文件存放在引导区中)等方式达到隐藏自身的目的。在Windows NT/2000 中,如果文件系统采用的是NTFS，可以用NTFS 流来实现木马文件的隐藏。

3.进程隐藏

进程通常被定义为一个正在运行的程序的实例，它由两个部分组成：

（1）一个是操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。

（2）另一个是地址空间，它包含所有可执行模块或DLL模块的代码和数据。它还包含动态内存分配的空间。如线程堆栈和堆分配空间。

一个正常的Windows应用程序，在运行之后，都会在系统之中产生一个进程。Windows 2000/XP系统中的任务管理器能查看到系统中正在运行哪些进程。只要平时多看任务管理器中的进程列表，熟悉系统的基本进程，就可以随时发现可疑进程，这对防范木马和病毒大有裨益！所以，要想木马在服务端运行，就必须做到在任务管理器里面消失，也就是进程隐藏。

木马的进程隐藏包括两方面：伪隐藏和真隐藏。伪隐藏，就是指木马程序的进程仍然存在， 只不过是消失在进程列表里；真隐藏，则是让程序彻底消失， 不以一个进程或者服务的方式工作。进程隐藏方式，主要运用于Windows 系统中。