木马技术

木马的7种分类木马（Trojan horse）是一种具有破坏性的恶意软件，其主要目标是通过伪装成合法程序来欺骗用户，从而获取用户的机密信息或控制用户的计算机。

木马有多种不同的分类方式，按照不同的特征和功能可以将其分为以下7种类型：1. 远程控制木马（Remote Access Trojan，简称RAT）：这种木马主要用于远程控制感染者的计算机。

攻击者可以通过远程的方式获取被感染计算机的控制权，从而进行各种恶意活动，比如窃取文件、监控用户的网络活动或者发起分布式拒绝服务攻击（DDoS）。

远程控制木马通常会通过网络传播，用户常常会在点击恶意链接或下载感染文件后感染上这种木马。

2. 数据窃取木马（Data Stealing Trojan）：这种木马的主要目标是窃取用户的敏感信息，比如用户名、密码、信用卡信息等。

数据窃取木马通常通过键盘记录或者截屏的方式来获取用户的输入信息，并将这些信息发送给攻击者。

这种木马往往隐藏在合法程序中，用户在运行感染文件时会被悄悄安装。

3. 金融木马（Banking Trojan）：这种木马专门用于攻击在线银行、支付系统等金融机构。

金融木马通常会通过窃取用户的登录凭证、劫持网银页面等方式来获取用户的账号信息并进行盗取资金的操作。

这些木马通常会通过网络钓鱼、恶意广告等方式传播，用户点击了木马所在网站或广告后，木马会自动下载并感染用户的计算机。

4. 反向连接木马（Reverse Connection Trojan）：这种木马与远程控制木马类似，不同之处在于反向连接木马会主动连接攻击者的控制服务器。

一旦连接成功，攻击者就可以远程控制感染者的计算机。

这种木马通常使用加密和伪装技术，以避免被常规的安全防护软件检测和阻止。

5. 下载木马（Downloader Trojan）：这种木马主要用于下载其他恶意软件到被感染计算机上。

下载木马通常会植入到合法程序中，用户运行该程序后，木马会自动下载并安装其他恶意软件。

木马的常用伪装手段在网络安全领域，木马是一种恶意软件，可以在不被用户察觉的情况下悄悄地进入计算机系统，实现盗取用户信息、破坏系统的行为。

因此，木马程序的伪装手段非常重要，可以使其更容易地潜入计算机系统。

以下是一些常用的木马伪装手段：1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件，例如浏览器插件、媒体播放器、下载器等，以此混淆用户的视觉，避免受到用户的怀疑，从而更容易渗透进入用户的系统。

2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任，而终端木马常常伴随着对受害者机器的远程控制，拥有非常广泛的攻击能力。

3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名，比如".txt"、".jpg"、".pdf"等，以绕过一些计算机安全防护软件的检测。

在实际应用过程中，我们应该避免打开不熟悉的文件。

4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中，然后利用漏洞自动执行，从而绕过了常规的安全检测。

例如，利用办公软件（Word、Excel等）中的宏病毒的攻击方式。

5. 嵌入加密模块有些木马程序会嵌入加密模块，使得其内容在传输过程中无法被轻易识别和拦截，从而达到对计算机系统的“偷窃”。

综上所述，木马程序有很多伪装手段，其中有些是非常难以被发现的。

因此，我们需要时刻保持警惕，使用网络安全软件来防范这些木马程序的攻击，同时也需要提高自己的网络安全意识，确保个人计算机和重要信息的安全。

除了上述常用的木马伪装手段，还有一些更高级的木马伪装手段。

这些高级伪装手段越来越普遍，它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。

以下是一些高级木马伪装技术：1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力，它们能够及时发现木马程序并抵御攻击。

因此，一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。

常见木马技术和手动检测方法所有病毒case, Symantec用户抱怨的无非两项，一是查不到病毒，二是不断的查到相同的病毒（绝大多数是木马downloader, ）。

木马是什么？是一个有恶意行为程序。

杀毒软件怎么查杀它？特征码和行为分析。

如果一个木马在技术上或者创意上做的稍微好些，我觉得杀毒软件对于已经中毒的电脑很难起到作用，经常是查到了一部分，落掉一部分，而落掉的部分又会监控、恢复被查杀的部分，造成上面所说的第二种情况，而这又一定会包含第一种情况。

木马既然是程序，恶意程序，那它运行也不免会露出蛛丝马迹，程序运行的两个必要条件—进程（模块，线程）和加载（自启动和触发）。

那我们查找木马也从这两个大的方向入手，理论上可以找出所有木马，但是这跟做数学题一样，大方法是有的，但是操作过程千变万化的。

工欲善其事，必先利其器。

首先要找几个适合自己的工具：主工具我个人喜欢用冰刃，它能干大部分的检查启动项和进程监控。

兵刃功能上的不足，利用其他的软件补充。

FileMon和RegMon可以查找针对特定文件和注册表的进程信息；ProceXP可以模块反向查找进程，也可以看出进程之间的调用关系；SSDT—Hook修复，SSDT—Inline—Hook修复工具（兵刃可以看到SSDT,但没有修复功能），但是冰刃也可以看到绝大多数的使用隐藏技术的进程和线程；SRENG可以显示进程、模块、驱动的签名（可以提高我们的效率），以及强大的自启动项检测；Symantec Process Viewer会hook住ntcreateprocess, ntcreateprocessxp, ntopenkey, ntterminateprocess四个SSDT服务函数，会监控开机到当前所有运行过的进程，能起到参考作用；TCPView可以实时查看创建连接和已经连接的端口和相应的进程；MD5计算工具；和百度。

具体方法：第一部分看进程（模块，线程）。

最笨的木马都有自己的进程，还不隐藏，还起个大家都知道的名字。

木马的基本原理
什么是木马？
木马（Trojan Horse）是指一种在计算机网络上传播的、非法的恶意程序，通常像表面上无害的安全软件一样，却能够实施不可挽回的破坏。

木马病毒攻击是一种通过互联网传播的计算机病毒，它专门攻击用户
权限较高的网站、企业信息系统或个人机器。

木马的基本原理：
1. 运行原理：一般来说，木马通过向受害用户发送邮件或拦截用户访
问其他网站时下载的文件传播，木马植入到系统中后会伪装成有用的
程序，而在安装完毕后，它会下载其他的病毒，以实现拦截攻击者远
程控制的目的。

2. 隐蔽性：木马病毒通过不删除受害者的文件，而是将它们替换或插
入到主目录或者系统目录中，令其更加隐秘，如果不能及时发现木马，则它很可能在系统中传播并继续造成破坏。

3. 感染原理：木马通常在用户的浏览器上加上特殊的插件，来实现对
受害者的控制，同时会通过对本地网络上的用户进行感染，来使得木
马的蔓延速度大大增加。

4. 逃逸技术：木马采用的一种逃逸技术是启动机制（Boot Sector），这种技术是在用户系统运行前，木马就被植入，在此阶段植入的木马最隐蔽，很难检测到。

5. 远程控制：木马攻击者可以通过远程服务器来连接目标机器，对受害系统设备进行远程控制，使用系统资源传输大量数据，侵入者还可以安装恶意软件。

6. 破坏：木马攻击者可以通过进入系统来收集所有的信息，甚至可以破坏和删除系统上的文件和文件夹，造成严重的影响。

木马的7种分类随着计算机技术的不断发展，木马病毒也不断地演化和发展，出现了各种不同类型的木马病毒，本文将介绍木马病毒的七种基本分类。

1.远程控制木马远程控制木马可以通过网络，远程控制受感染电脑的操作系统。

黑客可以远程操作受害者的计算机，以获取其个人信息、机密资料和密码等。

这种木马病毒非常隐蔽，很难被发现，因此危害性相对较大。

2.间谍木马间谍木马主要用于监控用户的行动，例如记录用户的浏览历史记录、键盘输入等。

这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。

3.下载木马下载木马病毒具有下代码、过滤HTML代码等功能，可以从远程服务器下载感染电脑所需的程序或文件。

当这种木马病毒感染到用户的计算机后，可以在后台下载恶意程序或软件。

4.钓鱼木马钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者，使其下载木马病毒。

这种木马病毒的危害性非常高，因为它可以窃取受害者的个人信息，例如社交网络的用户账户和密码、银行账户信息等。

5.后门木马后门木马是指在计算机上预留出的一些未经授权的入口，可以让黑客在未经授权的情况下远程访问受害者的计算机系统。

这种木马病毒可以在用户不知情的情况下进行远程控制，非常隐蔽，难以发现。

6.窃密木马窃密木马可以获取用户的账户和密码等个人信息，并将这些信息上传到黑客服务器。

这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。

7.多功能木马多功能木马是一种综合了多种木马病毒功能的复合木马病毒。

它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。

这种木马病毒的危害性非常高，可以严重威胁用户的安全和隐私。

⽊马程序开发技术：病毒源代码详解近年来，⿊客技术不断成熟起来，对⽹络安全造成了极⼤的威胁，⿊客的主要攻击⼿段之⼀，就是使⽤⽊马技术，渗透到对⽅的主机系统⾥，从⽽实现对远程操作⽬标主机。

其破坏⼒之⼤，是绝不容忽视的，⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢，下⾯我对⽊马进⾏源代码级的详细的分析，让我们对⽊马的开发技术做⼀次彻底的透视，从了解⽊马技术开始，更加安全的管理好⾃⼰的计算机。

1、⽊马程序的分类 ⽊马程序技术发展⾄今，已经经历了4代，第⼀代，即是简单的密码窃取，发送等，没有什么特别之处。

第⼆代⽊马，在技术上有了很⼤的进步，冰河可以说为是国内⽊马的典型代表之⼀。

第三代⽊马在数据传递技术上，⼜做了不⼩的改进，出现了ICMP等类型的⽊马，利⽤畸形报⽂传递数据，增加了查杀的难度。

第四代⽊马在进程隐藏⽅⾯，做了⼤的改动，采⽤了内核插⼊式的嵌⼊⽅式，利⽤远程插⼊线程技术，嵌⼊DLL线程。

或者挂接PSAPI,实现⽊马程序的隐藏，甚⾄在Windows NT/2000下，都达到了良好的隐藏效果。

相信，第五代⽊马很快也会被编制出来。

关于更详细的说明，可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。

2．⽊马程序的隐藏技术 ⽊马程序的服务器端，为了避免被发现，多数都要进⾏隐藏处理，下⾯让我们来看看⽊马是如何实现隐藏的。

说到隐藏，⾸先得先了解三个相关的概念：进程，线程和服务。

我简单的解释⼀下。

进程：⼀个正常的Windows应⽤程序，在运⾏之后，都会在系统之中产⽣⼀个进程，同时，每个进程，分别对应了⼀个不同的PID（Progress ID, 进程标识符）这个进程会被系统分配⼀个虚拟的内存空间地址段，⼀切相关的程序操作，都会在这个虚拟的空间中进⾏。

线程：⼀个进程，可以存在⼀个或多个线程，线程之间同步执⾏多种操作，⼀般地，线程之间是相互独⽴的，当⼀个线程发⽣错误的时候，并不⼀定会导致整个进程的崩溃。

引言木马通常需要利用一定的通信方式进行信息交流（如接收控制者的指令、向控制端传递信息等）。

系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。

木马一般也是利用TCP/UDP端口与控制端进行通信。

通常情况下，木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。

早期的木马在系统中运行后都是打开固定的端口，后来的木马在植入时可随机设定通信时打开的端口，具有了一定的随机性。

可是通过端口扫描很容易发现这些可疑的通信端口。

事实上，目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。

木马通信端口成为暴露木马形踪一个很不安全的因素。

为此采用新技术的木马对其通信形式进行了隐蔽和变通，使其很难被端口扫描发现。

2木马通信形式的隐蔽技术木马为隐蔽通信形式所采用的手段有：端口寄生、反弹端口、潜伏技术，嗅探技术。

2.1端口寄生端口寄生指木马寄生在系统中一个已经打开的通信端口，如TCP80端口，木马平时只是监听此端口，遇到特殊的指令才进行解释执行。

此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的，因此，在扫描或查看系统中通信端口时是不会发现异常的。

在Windows9X系统中进行此类操作相对比较简单，但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。

在控制端与木马进行通信时，如木马所在目标系统有防火墙的保护，控制端向木马发起主动连接就有可能被过滤掉。

2.2反弹端口反弹端口就是木马针对防火墙所采用的技术[1]。

防火墙对于向内的链接进行非常严格的过滤，对于向外的连接比较信任。

与一般的木马相反，反弹端口木马使用主动端口，控制端使用被动端口。

木马定时监测控制端的存在，发现控制端上线，立即主动连接控制端打开的被动端口。

为了隐蔽起见，控制端的被动端口一般开在TCP80。

这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUSERIP：1026CONTROLLERIP：80ESTABLISHED这种情况，用户可能误认为是自己在浏览网页。

木马的入侵技术木马要进入用户系统，首先要过杀毒软件这一关。

否则一旦杀毒软件报警，木马就无隐蔽性可言了，会立马被杀毒软件赶出系统。

因此，面对杀毒软件，木马使尽浑身解数，通过各种手段隐藏自己。

经过处理后的木马，可以完全无视杀毒软件的存在，正大光明地进入到用户的系统中。

到底木马使用了什么手段能有如此之大的威力呢?请看本文。

如何防范经过处理的木马?木马躲过杀毒软件常用的方法有：寄宿于正常文件、木马加壳加密、修改木马特征码。

结合正文我们来了解一下如何防范经过这些手段处理后的木马。

针对捆绑法，我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。

单击程序界面上的“扫描”按钮，浏览选择可疑文件，如果程序下方的“包含多个可执行文件”选项被打上了钩，这就表示文件被捆绑了。

至于对木马程序进行加壳，根据壳的原理我们可以得知：加壳木马运行后，会将其中的木马程序在内存中还原。

还原后的木马是不受壳的保护的，因此大部分的杀毒软件都会抓住这个机会，将木马铲除。

唯一能对杀毒软件造成一点危害的，就只剩下修改木马特征码这种隐藏手段了。

不过不同的杀毒软件提取同一木马程序的特征码是不同的。

这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀，如果要躲避多款杀毒软件，就需要修改多处特征码，这会对木马隐藏自己造成一定的困难。

因此如果有条件，安装两款杀毒软件也是一个不错的办法。

寄宿于正常文件这个方法就是将木马程序与正常的文件捆绑在一起，当用户运行这个捆绑后的文件时，正常文件和木马程序会同时运行，这样木马就可以隐藏自己，悄悄进入用户的系统。

要让木马实现这个目的只需要下载一个文件捆绑器即可。

以木马老大“灰鸽子”出品的文件捆绑器为例。

单击“文件捆绑器”上的“增加文件”按钮，选择一个正常的可执行文件，例如Flash小游戏等。

再次单击该按钮将我们的木马程序也添加进来，最后单击“捆绑文件”，即可将两个文件捆绑成一个可执行文件。

捆绑木马程序木马加壳加密“壳”是一种专门保护软件的程序，当运行一款加过壳的软件时，首先会运行这个软件的壳，壳会将包含在其中的程序进行还原，给予使用。

常见木马技术和手动检测方法2篇标题一：常见木马技术木马技术是黑客利用的一种非法手段，通过在目标主机上植入木马程序，以获取非法掌控权和窃取敏感信息。

下面将介绍一些常见的木马技术。

第一种常见的木马技术是远控木马。

远控木马是指黑客通过互联网远程连接到目标主机，并可以通过该木马程序完全操控这台主机。

远控木马具有隐蔽性强、控制能力广泛等特点，能够实现多种恶意动作，如窃取机密文件、监视用户行为等。

第二种常见的木马技术是键盘记录木马。

键盘记录木马通过记录用户在键盘上的操作，包括输入的账号、密码等敏感信息。

当用户输入账号密码时，键盘记录木马会将这些信息上传给黑客。

这种木马技术通常会潜伏在系统内核中，很难被发现和清除。

第三种常见的木马技术是反向连接木马。

反向连接木马是指木马程序主动连接到黑客控制的服务器上，以获取指令并发送被监控的敏感信息。

相比于传统的远程连接木马，反向连接木马具有更强的隐蔽性和稳定性。

第四种常见的木马技术是网页木马。

网页木马是指黑客通过在网页上插入木马脚本，使访问该网页的用户受到木马程序的感染。

网页木马通常通过浏览器漏洞进行攻击，一旦用户访问了被植入木马的网页，木马程序就能够在用户主机上执行恶意操作。

第五种常见的木马技术是邮件木马。

邮件木马是指黑客通过发送带有恶意附件或链接的邮件，诱骗用户点击下载或访问，从而感染用户的主机。

邮件木马常常伪装成重要文件或信息，以此引诱用户打开附件或访问链接。

总结起来，常见的木马技术包括远控木马、键盘记录木马、反向连接木马、网页木马和邮件木马。

这些木马技术都具有不同的攻击方式和特点，对个人和组织的信息安全构成了严重威胁。

标题二：手动检测方法面对日益复杂的木马攻击，手动检测成为了保护个人和组织信息安全的重要环节。

下面将介绍一些常用的手动检测方法。

第一种手动检测方法是端口扫描。

通过使用端口扫描工具，可以扫描目标主机上开放的端口，从而发现是否有可疑的端口。

一些木马程序常常会监听特定的端口，因此端口扫描可以有效帮助检测木马的存在。

木马的种类及其技术特征常见的木马病毒，按照其功能划分，有以下几类：●网络游戏木马●网银木马●即时通讯软件木马●网页点击类木马●下载类木马●代理类木马下面一一详细介绍。

1.网络游戏木马随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。

网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。

与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。

窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。

流行的网络游戏无一不受网游木马的威胁。

一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。

大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。

2.网银木马网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。

此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。

如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技术干扰网银登录安全控件的运行。

随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。

3.即时通讯软件木马现在，国内即时通讯软件百花齐放。

QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。

常见的即时通讯类木马一般有3种：一、发送消息型。

通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。

pdf木马原理引言概述：PDF木马是一种利用PDF文件进行恶意攻击的技术手段，它可以通过植入恶意代码或链接来感染用户的设备，并获取用户的敏感信息。

本文将从六个大点来详细阐述PDF木马的原理。

正文内容：1. PDF文件的结构：1.1 PDF文件的基本结构：PDF文件由头部、交叉引用表、对象和内容流等组成。

1.2 PDF文件的对象类型：PDF文件中的对象可以是字典、数组、字符串等不同类型，这些对象可以通过对象引用进行关联。

2. PDF木马的植入方式：2.1 恶意代码的植入：攻击者可以通过在PDF文件中嵌入恶意代码，如JavaScript脚本或Flash动画等，以实现对用户设备的攻击。

2.2 恶意链接的植入：攻击者可以将恶意链接嵌入到PDF文件中，当用户点击该链接时，将被导向恶意网站或下载恶意文件。

3. PDF木马的执行过程：3.1 用户打开PDF文件：用户双击或通过浏览器打开PDF文件时，PDF阅读器将解析文件并加载其中的内容。

3.2 恶意代码或链接的触发：当PDF文件中存在恶意代码或链接时，阅读器在加载过程中会执行这些代码或触发链接，从而进行攻击。

3.3 攻击行为的实施：一旦恶意代码或链接被执行，攻击者可以利用该漏洞进行各种攻击行为，如窃取用户信息、传播病毒等。

4. PDF木马的危害：4.1 用户信息泄露：攻击者可以通过PDF木马获取用户的敏感信息，如账号密码、银行卡信息等。

4.2 设备感染与控制：PDF木马可以感染用户的设备，控制设备执行恶意指令，从而对用户设备进行控制。

4.3 恶意文件传播：攻击者可以通过PDF木马将恶意文件传播给其他用户，进一步扩大攻击范围。

5. 防范PDF木马的措施：5.1 更新PDF阅读器：及时更新PDF阅读器的版本，以修复已知的漏洞。

5.2 谨慎打开PDF文件：不要打开来历不明的PDF文件，尤其是从不可信的来源下载的文件。

5.3 安装杀毒软件：在设备上安装杀毒软件，及时进行病毒扫描，以防止PDF 木马的感染。

木马病毒防治技术研究及系统实现的开题报告一、研究背景随着计算机技术的不断发展和普及，网络安全问题也越来越成为人们关注的焦点。

目前，网络安全威胁主要来自于网络病毒，其中木马病毒是最常见和危害最大的一种。

一旦计算机被木马病毒感染，黑客就可以通过远程控制实现窃取个人信息、篡改、破坏和非法获取机密等行为，给个人和企业带来极大损失。

因此，开展木马病毒防治技术研究和系统实现具有非常重要的现实意义和实用价值。

本研究将对木马病毒进行深入分析和研究，提出有效的防治策略和方法，并实现一套具有实用性的防病毒软件。

二、研究内容和方法1. 木马病毒的定义和分类本研究将介绍木马病毒的概念、历史和相关技术，并根据其特点和危害程度对其进行分类和归纳。

2. 木马病毒的传播途径和感染方式本研究将分析木马病毒的传播途径和感染方式，并总结出常见的木马病毒攻击手段和技术，为后续的防治措施提供支撑和依据。

3. 木马病毒的检测和防治技术本研究将介绍木马病毒的检测和防治技术，包括检测算法、防护软件和安全防范措施等。

根据木马病毒的特点，提出一种有效的检测和防治方法。

4. 木马病毒防治系统实现本研究将设计并实现一种基于开源防病毒引擎的木马病毒防治系统，提供强大的检测和清除功能，满足用户的实际需求和使用场景。

5. 系统测试和实验分析本研究将对所设计的木马病毒防治系统进行测试和实验分析，评估其性能和效果，并与现有的防病毒软件进行比较和分析，以验证其实用性和优势。

三、研究意义和创新点1. 提升网络安全防护水平本研究能够针对木马病毒的特点和攻击方式进行深入分析和研究，提高防范和防治的效果，提升网络安全防护水平，减少用户遭受网络攻击的风险和损失。

2. 探索网络安全防治新技术本研究创新地提出了一种基于开源防病毒引擎的木马病毒防治系统设计理念，探索网络安全防治新技术和方法。

3. 构建可靠的网络安全保障机制本研究以木马病毒防治技术为例，为进一步构建可靠的网络安全保障机制提供参考和借鉴，为实现网络安全和信息化发展提供支撑和保障。

【木马各种隐藏技术全方位大披露】被木马隐藏的文件以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。

从此，我知道:安全，从来没有绝对的。

虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。

那么，木马究竟是如何躲在我们的系统中的呢？最基本的隐藏:不可见窗体＋隐藏文件木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。

Windows下常见的程序有两种:1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的＂计算器＂就有提供各种数字按钮的应用程序界面。

木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为＂隐藏＂，这就是最基本的隐藏手段，稍有经验的用户只需打开＂任务管理器＂，并且将＂文件夹选项＂中的＂显示所有文件＂勾选即可轻松找出木马(见图1)，于是便出现了下面要介绍的＂进程隐藏＂技术。

第一代进程隐藏技术:Windows 98的后门在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。

尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。

只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。