木马常用植入方法大曝光

八种硬件木马设计和实现硬件木马是指通过在计算机硬件上植入恶意代码，实现对目标计算机的操控和攻击的一种恶意软件。

与软件木马相比，硬件木马更加隐蔽，很难被检测和清除。

下面将介绍八种常见的硬件木马设计和实现方法。

1.主板固件植入：通过对计算机主板固件进行修改，将恶意代码写入主板的固件中。

这样在计算机启动时，恶意代码会自动加载并运行，从而实现对目标计算机的控制。

2.硬盘固件植入：恶意代码可以被植入到硬盘的固件中，当计算机启动时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以读取硬盘上的数据，或者在计算机运行中篡改数据。

3.网卡固件植入：恶意代码可以被植入到网卡的固件中，当计算机连接到网络时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以监听和窃取网络通信数据，或者篡改传输数据。

4.显示器固件植入：恶意代码可以被植入到显示器的固件中，当计算机连接到显示器时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以监控和截获显示器的显示内容，包括屏幕上的敏感信息。

5.键盘固件植入：恶意代码可以被植入到键盘的固件中，当用户使用键盘输入时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以记录用户的敏感输入信息，如密码、信用卡号等。

6.鼠标固件植入：恶意代码可以被植入到鼠标的固件中，当用户使用鼠标时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以控制鼠标的移动和点击，实现对目标计算机的操控。

B设备植入：恶意代码可以被植入到USB设备的固件中，当用户将USB设备连接到计算机时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以利用USB设备传输恶意代码，实现对目标计算机的攻击。

8.CPU植入：恶意代码可以被植入到CPU中的控制电路中，当计算机启动时，恶意代码会自动加载并运行。

通过这种方式，攻击者可以直接控制和操控CPU的功能，实现对目标计算机的远程控制。

以上是八种常见的硬件木马设计和实现方法。

由于硬件木马具有隐蔽性高、难以被检测和清除等特点，对于用户来说，保持计算机硬件的安全是至关重要的。

木马伪装植入的方法如果我们要想把自己的木马植入到别人的计算机上，首先就要伪装好自己。

一般来讲，木马主要有两种隐藏手段：①把自己伪装成一般的软件很多用户可能都遇到过这样的情况，在网站上得到一个自称是很好玩或是很有用的小程序，拿下来执行，但系统报告了内部错误，程序退出了。

一般人都会认为是程序没有开发好，不会疑心到运行了木马程序这上面。

等到运行自己的QQ等程序时，被告知密码不对，自己熟得不能再熟的密码怎么也进不去，这时才会想起检查自己的机器是否被人安装了木马这回事情。

提示：这种程序伪装成正常程序，实质是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

②把自己绑定在正常的程序上面对于那些老到的黑客来说，他们可以通过一些捆绑软件把一个正版的安装程序和木马捆绑成一个新的文件，然后用户在安装该正版程序时，就神不知鬼不觉地被种上木马了。

伪装之后，木马就可以通过受控的机器、邮件、即时聊天程序发给被攻击者了，或者是放在网站上供人下载。

黑客还会为它们加上一些动人的话语来诱惑别人，像“最新火辣辣小电影！”、“CuteFTP5.0完全解密版！！！”等。

一点不骗人，在安装了这个CuteFTP之后，你的机器就被“完全解密”了，那些喜欢免费盗版的朋友们也要小心了！下面介绍几种常见的伪装植入木马的方法：修改木马图标将木马服务端程序更改图标，如设为图片图标，并将其扩展名设置为***.jpg.exe格式，直接发给对方，由于Windows的默认设置是隐藏已知文件的扩展名，所以对方收到后就会轻易相信这就是一幅图片。

对方运行后，结果毫无反应（运行木马后的典型表现），对方说：“怎么打不开呀!”，回答：“哎呀，不会程序是坏了吧?”，或者说：“对不起，我发错了!”，然后把正确的东西（正常游戏、图片等）发给对方，他收到后只顾高兴就不想刚才为什么会出现那种情况了。

虽然有些木马制作工具中带有修改图标的功能，但是黑客还常常使用其他辅助工具来修改图标。

深度剖析木马的植入与攻击安全问题2010-09-18 13:57:43 阅读54 评论0 字号：大中小订阅为了学习转的：第3章深度剖析木马的植入与攻击●木马是如何实施攻击的●木马的植入与隐藏●木马信息反馈●常用木马例说●木马的清除和防范木马，也称特伊洛木马，英文名称为Trojan。

其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。

Windows本身没有监视网络的软件，所以不借助其它工具软件，许多时候是很难知道木马的存在和黑客的入侵的。

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该如何清除。

虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现自己是否中“木马”了。

3-1 木马是如何实施攻击的木马是黑客最常用的攻击方法，因此，在本章中将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，甚至可以远程监控这台计算机上的所有操作。

尽管资深的黑客是不屑于使用木马的，但在对网络安全事件的分析统计里，却发现有相当部分的网络入侵是通过木马来进行的，包括2002年微软被黑一案，据说就是通过一种普通的蠕虫木马侵入微软的系统，并且窃取了微软部分产品源代码的。

3-1-1 木马是如何侵入系统的小博士，你好！可以给我讲一下木马是如何侵入系统的吗？没问题，一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控制植入木马的计算机，服务器端程序就是通常所说的木马程序。

攻击者要通过木马攻击计算机系统，他所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

当受害者打开QQ时，这个有问题的文件即会同时执行。

木马最新植入五种方法揭密木马是大家网上安全的一大隐患，说是大家心中永远的痛也不为过。

对于木马采用敬而远之的态度并不是最好的方法，我们必须更多地了解其“习性”和特点，只有这样才能做到“知己知彼，百战不殆”！随着时间的推移，木马的植入方式也悄悄地发生了一定的变化，较之以往更加的隐蔽，对大家的威胁也更大，以下是笔者总结的五种最新的木马植入方式，以便大家及时防范。

方法一：利用共享和Autorun文件为了学习和工作方便，有许多学校或公司的局域网中会将硬盘共享出来。

更有甚者，竟将某些硬盘共享设为可写！这样非常危险，别人可以借此给您下木马！利用木马程序结合Autorun.inf文件就可以了。

方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，只需他双击共享的磁盘图标就会使木马运行！这样作对下木马的人来说的好处显而易见，那就是大大增加了木马运行的主动性！许多人在别人给他发来可执行文件时会非常警惕，不熟悉的文件他们轻易不会运行，而这种方法就很难防范了。

下面我们简单说一下原理。

大家知道，将光盘插入光驱会自动运行，这是因为在光盘根目录下有个Autorun.inf文件，该文件可以决定是否自动运行其中的程序。

同样，如果硬盘的根目录下存在该文件，硬盘也就具有了AutoRun功能，即自动运行Autorun.inf文件中的内容。

把木马文件.exe文件以及Autorun.inf放在磁盘根目录（这里假设对方的D盘共享出来且可写），对于给您下木马的人来说，他还会修改Autorun.inf文件的属性，将该文件隐藏起来。

这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人威胁最大。

更进一步，利用一个.REG文件和Autorun.inf结合，还可以让你所有的硬盘都共享出去！方法二：把木马文件转换为BMP格式这是一种相对比较新颖的方式，把EXE转化成为BMP来欺骗大家。

木马的伪装欺骗方法详解如今大多数上网的朋友警惕性都很高，想骗他们执行木马是件很困难的事。

即使电脑菜鸟都知道一见到exe 文件便不会轻易“招惹”它，因而中标的机会也就相对减少了。

但黑客们是不会甘于寂寞的，所以就出现了很多更容易让人上当的木马伪装手段。

本文介绍一些常见的木马伪装手段，希望对大家有所帮助。

1、将木马包装为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为“类似”图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把“sam.exe” 更改为“sam.jpg” ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了!但入侵者还是有办法的，这就是给文件换个“马甲”，即用IconForge等图标文件修改文件图标，这样木马就被包装成jpg 或其他图片格式的木马了，很多人会不经意间执行了它。

2、合并程序欺骗通常有经验的用户，是不会将图像文件和可执行文件混淆的，所以很多入侵者一不做二不休，干脆将木马程序说成是应用程序：反正都是以exe 作为扩展名的。

然后再变着花样欺骗受害者，例如说成是新出炉的游戏，无所不能的黑客程序等等，目地是让受害者立刻执行它。

木马入侵常见手法及其防范木马入侵常见手法及其防范作者：夏成效吕占广袁艺发布时间： 2009年01月09日据有关部门公布的资料显示，2008年新增木马数量将突破100万，预计2010年木马数量更有可能呈几何级数增长，达到千万以上。

而据某一反病毒厂商公布的统计结果分析，当前用户最为关注的木马和病毒排行榜前十名中，有九个是木马，一个是集黑客、蠕虫、木马于一身的混合型病毒。

由于木马威胁日趋严重，业已取代传统病毒成为网络安全的头号大敌，加之木马和病毒也呈现出一体化的趋势，因此反病毒厂商对木马和病毒已经不作严格区分，而是按统一规则命名，并给以更高的关注程度。

由于木马工作机制的隐蔽性和窃取信息的便利性，使其成为黑客手中天然的“间谍工具”，在近几年发生的一些网络失泄密案件中，木马是窃密者的重要作案工具之一。

因此，了解木马的基本原理和掌握其防治措施，已经成为信息时代每一名保密工作者的一项紧迫任务。

木马的原理木马通常由一个隐秘运行在目标计算机中的服务端程序和一个运行在黑客计算机中的控制端程序组成，是一种特殊的远程控制软件。

远程控制软件本来是网络管理员为便于管理分散于不同地域计算机而经常采用的一种远程管理工具，木马除具有此种工具的所有功能外，它还具有“不死术”（驻留技术），木马进入目标计算机后，会自动修改注册表或系统配置文件，在系统每次启动时，都会自动加载自身运行。

它具有“隐身术”（隐藏技术），将自身文件伪装成系统文件或取一个类似系统文件的名字安身于系统文件夹中，其运行时在任务栏和任务管理器中都毫无踪迹，处于完全隐形状态。

它具有“遥控术”（远程控制技术），木马运行后会打开一个特殊的端口，与控制端发生联系，并接受控制端的指令，远程遥控目标计算机。

当黑客要利用木马进行网络入侵时，一般都需完成“向目标计算机传播木马”->“启动和隐藏木马”->“服务端(目标计算机)和控制端建立连接”->“进行远程控制”等几个步骤。

文：残了解如何种植木马才能防止别人种植木马。

看看一般人用的手段。

（本文比较适合入门级别选手）1.网吧种植这个似乎在以前很流行，先关闭网吧的放火墙，再安装木马客户端，立刻结帐下机，注意，重点是不要重起机器，因为现在网吧都有还原精灵，所以在不关机器的情况下，木马是不会给发现的。

因此，在网吧上网，首先要重起机器，其次看看杀毒软件有没有打开。

最后建议，不要在网吧打开有重要密码的东西，如网络银行等。

毕竟现在木马客户端躲避防火墙的能力很强，其次是还存在其他的病毒。

2.通讯软件传送发一条消息给你，说，“这个我的照片哦，快看看。

”当你接受并打开的时候，你已经中了木马了。

（此时，你打开的文件好象“没有任何反应”）“她”可能接着说说：“呀，发错了。

再见。

”防御：不要轻易接受别人传的东西，其次是打开前要用杀毒软件查毒。

3.恐怖的捆绑捆绑软件现在很多，具体使用就是把木马客户端和一个其他文件捆绑在一起（拿JPG 图象为例），你看到的文件可能是.jpg，图标也是正常（第2条直接传的木马客户端是个windows无法识别文件的图标，比较好认），特别是现在有些捆绑软件对捆绑过后的软件进行优化，杀毒软件很难识别其中是否包含木马程序。

建议：不要打开陌生人传递的文件。

特别是图象文件。

（诱惑力大哦）4.高深的编译对木马客户程序进行编译。

让木马更加难以识别。

（其实效果同第三条）5.微妙的网页嵌入将木马安装在自己的主页里面，当你打开页面就自动下载运行。

（见下篇，打造网页木马）“你中奖了，请去www.**.com领取你的奖品”，黑客可能这么和你说。

建议：陌生人提供的网页不要打开，不要去很奇怪名字的网站。

及时升级杀毒软件。

总结：及时升级杀毒软件。

不要打开未知文件以及陌生人传来的文件。

不要随便打开陌生网页。

升级最新版本的操作系统。

还有....请看本专题以后的文章咯。

木马常见植入方法大曝光对于给你下木马的人来说，一般不会改变硬盘的盘符图标，但他会修改Autorun.inf文件的属性，将该文件隐藏起来。

然后按F5键刷新，这样，当有人双击这个盘符，程序就运行了。

这一招对于经常双击盘符进入“我的电脑”的人最有效。

识别这种伪装植入方式的方法是，双击盘符后木马程序会运行，并且我们不能进入盘符。

4把木马文件转换为图片格式这是一种相对比较新颖的方式，把EXE转化成为BMP图片来欺骗大家。

原理：BMP文件的文件头有54个字节，包括长宽、位数、文件大小、数据区长度。

我们只要在EXE的文件头上加上这54字节，IE就会把它当成BMP文件下载下来。

改过的图片是花的，会被人看出破绽，用＜imgscr＝″xxx.bmp″higth＝″0″width＝″0″＞，把这样的标签加到网页里，就看不见图片了，也就无法发现“图片”不对劲。

IE 把图片下载到临时目录，我们需要一个JavaScript文件在对方的硬盘里写一个VBS文件，并在注册表添加启动项，利用那个VBS找到BMP，调用debug来还原EXE，最后，运行程序完成木马植入。

下一次启动时木马就运行了，无声无息非常隐蔽。

5伪装成应用程序扩展组件此类属于最难识别的特洛伊木马，也是骗术最高的木马。

特洛伊木马编写者用自己编制的特洛伊DLL替换已知的系统DLL，并对所有的函数调用进行过滤。

对于正常的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些事先约定好的特殊情况，DLL会执行一些相对应的操作。

一个比较简单的方法是启动一个进程，虽然所有的操作都在DLL中完成会更加隐蔽，但是这大大增加了程序编写的难度。

实际上这样的木马大多数只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，起一个绑端口的进程进行正常的木马操作。

操作结束后关掉进程，继续进入休眠状况。

举个具体的例子，黑客们将写好的文件（例如DLL、OCX等）挂在一个十分出名的软件中，例如QQ中。

2.木马是如何盗走QQ密码的
普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。

可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！
3.如何插入进程
(1)使用注册表插入DLL
早期的进程插入式木马的伎俩，通过修改注册表中的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。

缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

(2)使用挂钩(Hook)插入DLL
比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx 函数(也是一个Win32 API函数)。

缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。

木马病毒的植入木马病毒大家应该并不陌生，但往往最容易遇到的问题就是木马怎么植入，这里为大家详解一下，希望大家对症用药，保证自己计算机的安全。

（1）通过网上邻居（即共享入侵）要求：对方打开139端口并有可写的共享目录。

用法：直接将木马病毒上传即可。

（2）通过IPC$要求：双方均须打开IPC$，且我方有对方一个普通用户账号（具有写权限）。

用法：先用net use\\IP\IPC$"密码"/user：用户名”命令连接到对方电脑，再用“copy 本地木马路径远程木马路径、木马名字”将木马病毒复制到目标机。

（3）通过网页植入要求：对方IE未打补丁用法1：利用IE的IFRAME漏洞入侵。

用法2：利用IE的DEBUG代码入侵。

用法3：通过JS.VBS代码入侵。

用法4：通过AstiveX或Java程序入侵。

（4）通过OE入侵要求：对方OE未打补丁。

用法：与（3）中的1.3.4用法相同。

（5）通过Word.Excel.Access入侵要求：对方未对宏进行限制。

用法1：编写恶意的宏夹杂木马，一旦运行Office文档编植入主机中。

用法2：通过Office的帮助文件漏洞入侵。

（6）通过Unicode漏洞入侵要求：对方有Unicode漏洞。

用法：“http：//x.x.x.x/scripts/..%c1%1c../winnt/system32/cmd.exe?+COPY+本地木马路径+远程路径+木马名”。

（7）通过FIP入侵要求：对方的FIP可以无名登陆而且可以写入。

用法：直接将木马上传即可。

（8）通过TELNET入侵要求：具有对方一个具有写权限的账号。

用法：用TELNET命令将木马传上去。

（9）EXE合并木马要求：无。

用法：用EXE文件合并器将两个EXE文件合并即可。

（10）WinRAR木马入侵要求：对方安装了WinRAR。

用法：将压缩包设为自解压格式，并设置自动运行的选项，将RAR图标更改。

（11）文件夹惯性点击法要求：无。

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在神不知鬼不觉的状态下控制你或者监视你。

有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！相信不熟悉木马的菜鸟们肯定想知道木马在哪里这样的问题。

下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招。

1、集成到程序中其实木马也是一个服务器――客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。

而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。

不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。

3、潜伏在Win.ini中木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。

当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。

大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c：\windows\file．Exeload=c：\windows\file.exe这时你就要小心了，这个file.exe很可能是木马。

木马的常用伪装手段
1木马程序更名:为增强木马程序的欺骗性，木马的设计者通常会给木马取一个极具迷惑性的名称(一般与系统文件名相似，如svchOsto Exe等)或者允许控制端用户自由设定安装后的木马文件名。

这就使得用户很难判断所感染的木马类型。

2扩展名欺骗:这是黑客惯用的一-种手法，其主要是将木马伪装成图片、文本、Word文档等文件，以掩饰自己真实的文件类型，例如将木马程序的名称为“文件名.exe"的文件改为“文件名txtexe”。

此时，用户只需把该文件的扩展名显示出来，就可以轻松识别出此文件的类型。

3修改程序图标:木马服务端所用的图标有一定的规律可循,木马经常故意伪装成常用图标的形式(例如文本文件的图标)，等待用户因为疏忽而将其认为是应用程序图标而双击启动。

4捆绑文件:这种方式是将木马捆绑到- -个安装程序中，当用户双击启动程序时，木马就会随之启动，并运行于计算机系统中。

被捆绑的文件一般是可执行文件，例如后缀名为“.Exe”,“.COM”之类的文件。

5定制端口:老式木马的端口都是固定的，这位用户判断电脑是否带有木马带来了方便o现在很多木马都加入了定制
端口的功能，控制端用户可以在“1024-6535”之间任意选择一个端口作为木马端口，这样大大提高了用户判断电脑感染木马类型的难度。

6自我复制:是为了弥补木马的一个缺陷而设计的当服务端用户打开含有木马的文件后，木马会将自己复制到系统目录中(C:WINDOWS System或C:WINDOWS\System32目录)。

QQ挂马方法揭密导读:有无数上网用户每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式，却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险，远比QQ尾巴病毒、QQ传木马之类的隐蔽得多，危害更加大。

今天我们就来看看攻击者是如何在QQ群和QQ空间中..有无数上网用户每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ传木马之类的攻击方式，却很少有人注意到我们经常访问的QQ群、QQ空间里面隐藏着更大的安全危险，远比QQ尾巴病毒、QQ传木马之类的隐蔽得多，危害更加大。

今天我们就来看看攻击者是如何在QQ群和QQ空间中挂上网页木马，攻击浏日期览用户的！一、QQ群中简简单单挂木马在一个比较火的QQ群里挂上网页木马，一定很容易得到许多肉鸡的。

怎么在QQ群里挂马，是在群里面群发木马的网址吗?现在已经不会有人上这样的当了。

我们要作的只是在群里面发一个作了手脚的帖子。

步骤一：制作网页木马在攻击前，我们首先要制作好一个木马网页。

这里笔者使用了“上兴远程控制木马V2006”，这个木马功能非常强，以前笔者曾作过介绍。

用上兴生成木马服务端程序“muma.exe”后，将服务端上传到某个网站上去，假设地址为“/muma.exe”。

打开“南域剑盟网页木马生成器”，在中间的“URL”处填入木马的链接地址，点击“生成”按钮，将会在生成器当前目录下生成一个名为“script.txt”的文件(如图1)。

用记事本打开刚才生成的“script.txt”文件，可以看到木马代码，代码是经过加密的，一般人很难看出这是网页木马代码来(如图2)。

复制所有代码，然后将代码插入到任意一个正常的网页中，就可以得到一个网页木马了。

小提示:将木马代码插入正常的网页中，其位置一般是位于“”标记中间。

图1 用木马生成器生成木马代码图2 加密的木马代码步骤二：制作SWF木马在以前的QQ群中，本来只需要发一张带图片的帖子就可以实现挂马的目的。

木马实施网络入侵的步骤引言网络入侵是指通过非法手段获取未授权的访问权限，进而获取或修改目标系统的信息的行为。

木马是一种常见的网络入侵工具，其功能强大，可以在目标计算机中运行，记录敏感信息，获取远程控制权限等。

本文将介绍木马实施网络入侵的步骤。

步骤一：侦查目标为了成功实施网络入侵，攻击者首先需要了解目标系统的信息。

这包括目标计算机的IP地址、操作系统类型、运行的服务和开放的端口等。

攻击者可以通过扫描目标系统，使用网络工具如Nmap来获取这些信息。

•使用Nmap进行扫描目标系统•分析扫描结果，获取目标系统信息•确定目标系统的漏洞和弱点步骤二：利用漏洞在了解目标系统的信息后，攻击者需要查找并利用系统中存在的漏洞。

漏洞可以是软件的安全漏洞、配置错误或人为疏忽等。

攻击者可以使用已知的漏洞利用工具或自己编写程序来执行攻击。

•查找目标系统存在的漏洞•选择适当的漏洞利用工具•执行漏洞利用，获取系统访问权限步骤三：安装木马一旦攻击者获取了系统访问权限，他们就可以在目标计算机中安装木马程序。

木马可以隐藏在系统进程中，运行于后台，而不被用户察觉。

攻击者可以使用现成的木马软件，也可以自己编写木马程序。

•选择合适的木马程序•安装木马到目标系统•配置木马参数，设置远程控制选项步骤四：远程控制安装好木马后，攻击者可以通过远程控制木马来执行进一步的入侵活动。

他们可以通过控制木马发送命令，执行文件操作，拷贝、删除或修改目标系统的文件。

•使用远程控制工具连接至木马•通过发送命令控制木马的行为•执行文件操作，获取或修改目标系统中的文件步骤五：收集信息木马不仅可以进行文件操作，还可以在目标计算机中记录敏感信息。

攻击者可以使用木马收集目标系统中的登录凭证、密码文件、浏览器历史记录等。

•利用木马收集目标系统中的敏感信息•对收集到的信息进行分析和筛选•导出并保存有用的信息步骤六：横向扩展一旦成功入侵一个系统，攻击者可以进一步利用木马和收集到的信息，在网络中横向扩展，攻击其他系统。

常见的木马破坏方式及伪装方法木马破坏方式1.修改图标木马服务端所用的图标也是有讲究的，木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标，这样很容易诱惑你把它打开。

看看，木马是不是很狡猾?2.捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷地进入了系统。

被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。

3.出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序。

木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，大多会定制成一些诸如"文件已破坏，无法打开!"之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。

4.自我销毁这项功能是为了弥补木马的一个缺陷。

我们知道，当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件夹中(C:windows或C:windowssystem目录下),一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外)，那么，中了木马的朋友只要在近来收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下。

就很难删除木马了。

5.木马更名木马服务端程序的命名也有很大的学问。

如果不做任何修改，就使用原来的名字，谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。

例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除吗?还有的就是更改一些后缀名，比如把dll改为dl等，不仔细看的，你会发现吗?木马的种类1、破坏型惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

木马常用的入侵方法
1.在Win.ini文件中加载
Win.ini文件位于C：\Winows目录下，在文件的【windows】端中有启动命令“run=”和“load=”，一般此两项为空，如果等号后面存在程序名，则可能就是木马程序。

应特别当心。

这时可根据提供的源文件路径和功能做进一步检查。

2.在System.ini文件中加载
System.ini位于C：\Windows目录下，其[Boot]字段的shell=Explorer.exe 是木马喜欢的隐藏加载地方。

如果shell=Explorer.exefile.exe,则file.exe就是木马服务端程序。

3.
1)隐藏在启动组中
有时木马并不在乎自己的行踪，而在意是否可以自动加载到系统中。

启动组无疑使自动加载运行木马的号场所。

多以要检查启动组。

2)加载到注册表中
由于注册表比较复杂，所以很多木马都喜欢隐藏在这里。

木马一般会利用注册表中的几个子项来加载
3)修改文件关联
修改文件关联也是木马常用入侵手段，当用户一旦打开以修改了文件管理的文件后，木马也随之被启动。

4)设置在超链接中
这种入侵方法主要是在网页中放置恶意代码来引诱用户点击，一旦用户单击超链接，就会感染木马，因此，不要随便点击网页中的链接。

5)设置在压缩文件中
利用压缩功能可以将正常的文件与木马捆绑在一起，并生成自解压文件，一旦用户运行该文件，就会同时激活木马文件，这也是木马常用的手段之一。