木马的隐藏技术

木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。

为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。

在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。

总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2 工作原理1．木马捆绑木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。

这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：（1）利用捆绑机软件和文件合并软件捆绑木马；（2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马；（3）利用软件打包软件制作捆绑木马；（4）利用多媒体影音文件传播。

2．木马隐藏隐藏是一切恶意程序生存之本。

以下是木马的几种隐藏手段：（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。

因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

湖北大学高等教育自学考试本科毕业生论文评审表论文题目：计算机木马病毒研究与防范姓名：李宝君专业：计算机应用技术办学点：郧阳师范高等专科学校学生类型：独立本科段(助学班/独立本科段)2014年 12月 18日湖北大学高等教育自学考试办公室印制论文内容摘要目录第一章.木马病毒的概述 (5)1.1木马的的定义 (5)1.2木马的基本特征 (5)1.3木马的传播途径 (6)1.4木马病毒的危害 (6)第二章．木马病毒的现状 (7)2.1特洛伊木马的发展 (7)2.2 木马病毒的种类 (7)第三章.木马病毒的基本原理 (10)4.1木马病毒的加载技术 (10)4.1.1 系统启动自动加载 (10)4.1.2 文件劫持 (10)4.2 木马病毒的隐藏技术 (10)第四章.木马病毒的防范 (12)5.1基于用户的防范措施 (12)5.2基于服务器端的防范措施 (13)5.3加强计算机网络管理 (15)致谢 (16)参考文献 (17)第一章木马病毒的概述1.1木马的的定义木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序，是一种基于远程控制的黑客工具，它利用自身具有的植入功能，或依附具有传播功能的病毒，进驻目标机器监听、修改。

窃取文件。

1.2木马的基本特征（1）隐蔽性是其首要的特征当用户执行正常程序时，在难以察觉的情况下，完成危害影虎的操作，具有隐蔽性。

它的隐蔽性主要体现在6个方面：1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库（2）它具有自动运行性它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

（3）木马程序具有欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。

木马的常用伪装手段在网络安全领域，木马是一种恶意软件，可以在不被用户察觉的情况下悄悄地进入计算机系统，实现盗取用户信息、破坏系统的行为。

因此，木马程序的伪装手段非常重要，可以使其更容易地潜入计算机系统。

以下是一些常用的木马伪装手段：1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件，例如浏览器插件、媒体播放器、下载器等，以此混淆用户的视觉，避免受到用户的怀疑，从而更容易渗透进入用户的系统。

2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任，而终端木马常常伴随着对受害者机器的远程控制，拥有非常广泛的攻击能力。

3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名，比如".txt"、".jpg"、".pdf"等，以绕过一些计算机安全防护软件的检测。

在实际应用过程中，我们应该避免打开不熟悉的文件。

4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中，然后利用漏洞自动执行，从而绕过了常规的安全检测。

例如，利用办公软件（Word、Excel等）中的宏病毒的攻击方式。

5. 嵌入加密模块有些木马程序会嵌入加密模块，使得其内容在传输过程中无法被轻易识别和拦截，从而达到对计算机系统的“偷窃”。

综上所述，木马程序有很多伪装手段，其中有些是非常难以被发现的。

因此，我们需要时刻保持警惕，使用网络安全软件来防范这些木马程序的攻击，同时也需要提高自己的网络安全意识，确保个人计算机和重要信息的安全。

除了上述常用的木马伪装手段，还有一些更高级的木马伪装手段。

这些高级伪装手段越来越普遍，它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。

以下是一些高级木马伪装技术：1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力，它们能够及时发现木马程序并抵御攻击。

因此，一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。

第九套1、对弱口令等登录信息的扫描主要包括基于字典攻击的扫描技术和基于穷举攻击的扫描技术。

2、SMTP（Simple Mail Transfer Protocol）协议是简单邮件传输协议，它的主要作用是将电子邮件发送到邮件服务器，属于电子邮件系统的重要协议。

国家信息安全漏洞共享平台CNVD是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库；CVE是MITRE（麻省理工学院科研机构形成的非盈利公司）公司建立的；SecurityFocus的BugTraq邮件列表是整个安全社区重要的信息来源和技术讨论区，它几乎包含所有的漏洞信息；EDB 漏洞库是由十多位安全技术人员志愿维护的数据库3、数据执行保护DEP（Data Execute Prevention）技术可以设置内存堆栈区的代码为不可执行状态，从而防范溢出后代码的执行；地址空间分布随机化ASLR（Address Space Layout Randomization）是一项通过将系统关键地址随机化，从而使攻击者无法获得需要跳转的精确地址的技术；结构化异常处理覆盖保护SEHOP是微软针对SEH攻击提出的一种安全防护方案；GS Stack Protection技术是一项缓冲区溢出的检测防护技术4、在微软的软件安全开发声明周期SDL模型共包括13个阶段，其中第0阶段为准备阶段，第1阶段为项目启动阶段，第2阶段为定义需要遵守的安全设计原则，第3阶段为产品风险评估/5、漏洞利用的核心是利用程序漏洞去执行shellcode以便劫持进程的控制权/6、信息安全管理体系认证基于自愿的原则7、为客体分配访问权限是实施组织机构安全性策略的重要部分，最少特权的原则来自于当主体被赋予对客体进行访问的权限时所形成的复杂结构，这个原则规定主体只应当被授权访问那些完成其工作所需要的客体，换而言之，应当阻止主体访问那些工作内容不需要的客体，因此分配权限时依据的重要原则是：最少特权决定跟踪哪一种信息资产时，需要考虑名称、IP地址、MAC 地址、序列号、制造商名称、软件版本、物理位置、逻辑位置、控制实体等资产属性，而对于硬件资产的跟踪识别管理中，可以识别该资产的资产编号、MAC地址、产品序列号；不能有效识别该资产的属性是软件版本号。

木马型网络攻击技术分析作者：谭博伦来源：《商品与质量·消费视点》2013年第10期摘要：随着科学技术的进步与发展，人类社会正在向网络社会迈进，人们的生活已经和网络产生了密不可分的关系，各个领域的进步与发展也都离不开网络技术，人们的决策已经越来越依赖于信息技术，它也使得信息站成为可能。

信息站将成为未来战争的一个新兴的形式之一，它的涉及面非常广，既可以破坏军事指挥，武器控制等，还可以使得诸如金融、商业、电力等遭受破坏。

而目前应用最广的病为人所知程度最广的就是木马病毒所造成的对于网络的攻击。

在这个背景之下，对于木马型网络攻击技术的分析和研究具有重要的现实意义。

关键词：木马型；网络攻击；技术分析网络攻击是指攻击者利用各种控制计算机的攻击手段通过网络技术实现对目标主机系统发动攻击，旨在破坏对方的网络系统或是获取更多有价值的信息。

伴随着科技的日益更新和发展，网络攻击技术的发展也呈现出自动化、快速化、动态化的发展趋势。

本文将通过两个方面对当前的木马型网络攻击技术进行分析，一方面是对于木马进行简单论述，另一方面是对木马型网络攻击技术的实现的关键技术进行介绍。

一、木马的简要介绍所谓计算机木马其实是源于古希腊中的特洛伊木马的故事，木马病毒是一种隐藏在计算机网络中的一种可以在毫无察觉的情况下对受害系统进行破坏或窃取的病毒。

与一般的病毒一样，木马病毒也是从Unix平台中产生的，直接作用于常见的Windows操作系统中。

截至目前为止，木马程序已经更新了好几代，它的危害性和隐藏的密闭性也在不断的提高，目前木马主要包括以下几种类型：远程控制型；密码发送型；键盘记录型；毁坏型；FTP型。

它们主要是根据木马对于计算机的具体动作形式来进行划分的。

据不完全统计，当前世界上木马已有好几千种，它们虽然都是通过程序实现，但是由于运行的环境的差异性，它们所发生的作用也不尽相同。

木马具有隐蔽性、欺骗性、自动恢复性、功能的特殊性。

它们都是木马的基本特征。

特洛伊木马病毒的隐藏技术李军丽云南大学信息学院 云南 ６５００３１摘要：隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。

本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。

关键词：木马病毒；网络安全；隐藏技术０ 引言随着计算机网络技术的迅速发展和普及，人们也开始面临着越来越多的网络安全的隐患，特别木马对网络用户的网络数据和隐私安全产生了极大的威胁；据调查，目前在国内，６８．２６％的用户怀疑受到过木马病毒的攻击，６３％的电脑用户曾受到过木马病毒攻击。

隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。

本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。

１ 木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性，木马的隐蔽性是木马能否长期存活的关键。

木马的隐藏技术主要包括以下几个方面：本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。

１．１ 本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏，或是通过将木马文件命名为和系统文件的文件名相似的文件名，从而使用户误认为系统文件而忽略。

或是将文件的存放在不常用或难以发现的系统文件目录中，或是将木马存放的区域设置为坏扇区。

１．２ 木马的启动隐藏方式（１） 本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。

木马病毒将可执行文件伪装成图片或文本－－－－在程序中把图标改成ＷＩＮＤＯＷＳ的默认图片图标，再把文件名改为．ＪＰＧ．ＥＸＥ。

由于ＷＩＮＤＯＷＳ默认设置是不显示已知的文件后缀名，文件将会显示为．ＪＰＧ．，不注意的人一点击这个图标就在无意间启动了木马程序。

（２） 通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行。

像Ａｕｔｏｅｘｅｃ．ｂａｔ和Ｃｏｎｆｉｇ．ｓｙｓ。

特洛伊木马的隐藏技术浅析王海青【摘要】文章着重从木马的文件隐藏、进程隐藏、通信隐藏三个方面系统分析了木马的隐藏技术.【期刊名称】《甘肃广播电视大学学报》【年(卷),期】2010(020)002【总页数】2页(P63-64)【关键词】木马;文件隐藏;进程隐藏;通信隐藏【作者】王海青【作者单位】甘肃广播电视大学,继续教育学院,甘肃,兰州,730030【正文语种】中文【中图分类】TP393.8随着病毒编写技术的发展，木马程序对用户的威胁越来越大，为了不被目标系统用户及管理员发现,木马通过各种技术手段把自己的运行形式进行隐蔽。

1.文件隐藏木马程序植入目标系统后，会在目标系统的磁盘上加以隐蔽欺骗用户。

隐藏、保护木马文件的主要方式有：（1）嵌入隐藏。

采用此隐蔽手段的木马通常有以下两种形式：插入到某程序中和与某程序捆绑到一起，一旦运行程序就会启动木马。

如绑定到系统文件中,在系统启动时木马也跟随启动；或者捆绑常用程序，这样程序一旦被点击木马就会运行加载，使用户难以防范。

（2）伪装隐藏。

利用自身外部特征的多变性进行伪装,以单独的文件存在，同时定制好了文件名，修改与文件系统操作有关的程序，伪装成正常的文件或者非可执行文件，再将文件属性修改为系统隐蔽或者只读。

如木马文件把图标改成Windows 的一些非可执行文件的默认图标,再把文件名改为*.jpg.exe、*.txt.exe等，由于Windows默认设置是“不显示已知的文件后缀名”,因此木马文件将会显示为*.jpg、*.txt等。

（3）替换隐藏。

木马通过修改自身的DLL替换目标文件的系统DLL文件，替换的基础上不增加新的文件，也不需要打开新的端口或者监听端口，替换之后，对于正常的系统调用还照常进行，只有在木马的控制端向被控制端发出指令后，隐藏的程序才开始运行。

2.进程隐藏木马将自身作为DLL插入别的进程空间后，用查看进程的方式无法找出木马的踪迹，看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。

恶意程序一、分类1.单一功能病毒：计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或程序代码。

特点：破坏性、传染性、隐藏性、寄生性、潜伏性、欺骗性。

（1）文件感染病毒：主要感染计算机中.exe或.doc等可执行程序。

（2）宏病毒：是一种专门寄生在具有宏功能的文档或模板中的计算机病毒。

（3）引导型病毒：引导型病毒将其代码写入MBR主引导去（硬盘0头0柱面第一个扇区）或BR引导区（硬盘逻辑0扇），将其真正的引导区内容转移或替换。

（4）邮件型病毒：主要通过电子邮件传播。

2.木马木马是指通过伪装欺骗手段诱使用户安装运行，但不具有复制、传播能力的恶意代码。

主要功能是对远端目标主机实现远程控制。

木马和病毒的主要区别：木马没有病毒的繁殖性和自动感染功能，而病毒往往不具备远程控制功能。

3.蠕虫蠕虫是指可以通过网络等途径，自动将自身的全部代码或部分代码通过网络复制、传播给其他网络中计算机的完全独立可运行程序。

不同于病毒的是不需要宿主文件。

组成：主程序、引导程序。

防护：及时打补丁。

蠕虫没有扩散可用的漏洞，就无法自动扩散。

4.恶意脚本可以直接对浏览器中的首页信息等进行修改和控制，甚至实施网站挂马、主页替换、跨站点脚本攻击等恶意操作。

载体是Web系统。

所以，对Web系统进行有效的防范是防止恶意脚本攻击的根源。

5.综合性病毒具备多种感染传播功能才能实现，这种病毒即为综合型病毒二、恶意程序的传播方式和破坏功能1.恶意程序的传播方法：网站挂马、诱骗下载、通过移动存储介质传播（自动播放文件autorun.ini）、通过电子邮件和即时通信软件传播、通过局域网传播（利用局域网其他计算机中网络服务程序的漏洞和共享机制实现传播）。

2.恶意程序的破坏功能：浏览器配置被修改、窃取用户密码账号等隐私信息、实现远程控制、破坏系统或网络的正常运行（eg:修改Hosts文件，利用虚假IP地址的映像劫持技术来屏蔽计算机与安全站点之间的连接）。

如何预防木马-结合木马的藏身之所,隐藏技术,总结清除木马的方法.如何预防木马?结合木马的藏身之所,隐藏技术,总结清除木马的方法.篇一：《计算机病毒》复习思考题20XX20XX《计算机病毒》复习思考题第一手资料：教材、教学PPT必读参考资料：1.金山毒霸20XX-20XX中国互联网安全研究报告.doc2.中国互联网站发展状况及其安全报告（20XX年）.pdf3.瑞星20XX年上半年中国信息安全报告.pdf4.★★★安全防护宝典.各种病毒分析及攻击防御手册.doc5.★★★木马防治之“葵花宝典”.doc6.★★★深层病毒防护指南.doc7.专题：★★★手动杀毒综合篇.doc8.打造安全U盘(实验).doc9.打造安全、流畅、稳定的系统.ppt10.HiPS主机入侵防御系统.ppt11.关于HoSTS文件.doc12.病毒触发条件.doc第一章计算机病毒概述1.简述计算机病毒的定义和特征。

2.如何通过病毒的名称识别病毒的类型？3.计算机病毒有哪些传播途径？查找相关资料，试述计算机病毒发展趋势与特点。

研究计算机病毒有哪些基本原则？搭建病毒分析的环境有哪些方法？第2章预备知识1.硬盘主引导扇区由哪几部分构成？一个硬盘最多可分几个主分区？为什么？Fdisk/mbr命令是否会重写整个主引导扇区？2．低级格式化、高级格式化的功能与作用是什么？高级格式化(FoRmaT)能否清除任何计算机病毒？为什么？3.doS下的EXE文件病毒是如何获取控制权的？感染EXE文件，需对宿主作哪些修改？4.针对PE文件格式，请思考：win32病毒感染PE文件，须对该文件作哪些修改？第3章计算机病毒的逻辑结构与基本机制1.文件型病毒有哪些感染方式？2．计算机病毒的感染过程是什么？3．计算机病毒一般采用哪些条件作为触发条件？试述计算机病毒的逻辑结构。

第4章doS病毒的基本原理与doS病毒分析1.试述引导型病毒的启动过程。

2．编写程序，利用inT13H实现引导区的备份与恢复。

木马隐藏技术分析郜多投（山东大学山东省济南市250100）摘要:文章首先介绍了木马的原理和特征，然后对木马所实现的功能做了简单的介绍，最后从木马的文件隐藏，进程隐藏和通信隐藏三个方面着重进行了分析。

关键词：木马；木马隐藏；通信隐藏[引言]木马，是一种通过潜入对方电脑进非法操作的计算机成程序，是目前黑客惯用的一种攻击手段，和一般的恶意软件不同，木马不主动进行自我复制和传播，破坏其他程序，然而，木马的潜伏性是超前的，为了看起来和正常程序一样，在进入系统之前，对自身的程序进行了伪装，使被感染的系统看起来一切正常，从而严重威胁计算机网络安全。

1.木马的原理和特征一个完整的木马程序包含两部分内容，服务端和控制端，服务端程序是通过远程计算机网络植入对方电脑，而黑客通过客户端进入运行了服务端的受控电脑，通常运行了服务端的计算机会生成一个类似于系统文件的进程，此时端口被暗中打开，电脑中保存的各类数据会向控制端进行发送，黑客也可以通过这些暗中打开的端口进入目标电脑，此时，电脑中更多的隐私将会遭受更大的泄露。

木马一般具有以下特征：一，隐藏性，隐藏性是木马的最显著特征，比如，改写进程名称使其和系统文件高度相似，隐藏在任务管理器中的进程，减少程序大小，减少暗中打开端口的流量。

二、自动运行性，可以随电脑启动而启动，比如潜入启动配置文件win.ini,winstart。

Bat等，有的也可嵌入正常软件，随软件的运行而启动。

三、欺骗性：木马为了防止被发现，通常伪装成为系统中本身存在的文件，比武将文件名中的“O”改为“0”,“1改为I”等容易混淆是非的字符，或者有的系统中本身的文件名也可被木马直接套用，只不过是保存在不同的系统路径下，另外，有的木马将自己改装成为ZIP压缩文件，当用户解压时，直接运行。

四、自我恢复性。

目前大多数木马程序的功能模块已不是单一的组件构成，而是自动复制到电脑其他路径做备份，在子木马或者主木马被删除时，都可以再自动生成。

第十二讲 LKM技术1．LKM介绍木马最大的特性就是隐蔽性，不能轻易让人察觉，所以隐藏木马相关信息是关键的因素。

对于Linux 操作系统来说，主要有静态隐藏和动态隐藏两个标准。

静态隐藏是指木马文件的隐藏，用“ls”命令看不见我们的木马服务端程序。

动态隐藏是指当木马运行时，进程和通讯端口的隐藏，如用“ps –A”命令不能找到木马进程，用“netstat -at”命令不会显示木马端口的通讯情况等。

对于Windows操作系统，隐藏进程的最新技术是通过修改虚拟设备驱动程序(VXD)或修改动态连接库 (DLL)。

这种方法基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写VXD 或DLL文件)，木马会将修改后的DLL替换系统原有的DLL，并对所有的函数调用进行过滤。

对于特殊的调用，使用函数转发器直接转发给被替换的系统DLL，执行一些相应的操作。

由于修改了系统调用，使用常规的方法监测不到它。

由于Linux本身的安全性，想利用外壳程序隐藏木马文件和进程不可能实现，所以就借鉴上面的修改系统调用的方法，通过修改Linux内核的系统调用来隐藏木马相关信息，这就是LKM技术。

1.1 LKMLKM就是可装载内核模块(Loadable Kernel Modules)。

这些模块本来是Linux系统用于扩展其功能的。

当LKM被载入内核，就能修改内核变量，重载内核函数，轻易得实现扩充或裁减操作系统内核的某些功能。

同时动态的载入模块还意味着能留给用户程序更多的内存。

由于这些优点,他们常常被特殊的设备或者文件系统（例如声卡、打印机等）使用。

每个LKM至少由两个基本的函数组成:int init_module(void) /*用于初始化所有的数据*/{...}void cleanup_module(void) /*用于清除数据从而能安全地退出*/{...}对这个module.c文件的编译命令是：#gcc -c -O2 –I/usr/src/linux/include module.c有时会需要更加复杂的参数，视具体情况而定。

木马的隐藏技术探讨摘要：木马所从事的是“地下工作”，因此它必须隐藏起来，想尽一切办法不让用户发现它。

木马最显著的特征就是隐蔽性，它对隐藏技术也是多种多样，本文对常用隐藏技术进行探讨。

关键词：木马隐藏技术端口启动由于木马所从事的是“地下工作”，因此它必须隐藏起来，并想尽一切办法不让用户发现它。

这也是木马区别于远程控制软件的最重要的特点。

下面我探讨一下木马通常的隐藏技术，(1)在任务管理器里隐藏。

查看正在运行的进程最简单的方法就是按下Ctrl ＋Alt＋DeI键时出现的任务管理器。

木马会千方百计地伪装自己，使自己不出现在任务管理器里。

木马发现把自己没为“系统服务”就可以轻松地欺骗用户。

因此，希望通过按Ctrl＋Alt＋Del键发现木马是不大现实的，(2)在任务栏中隐藏。

这是最基本的隐藏方式，如果在Win－dows的任务栏里出现一个莫名其妙的图标，谁都会明白是怎么回事。

要实现在任务栏中隐藏，在编程时可以很容易地实现，以VB为例，在VB中只要把from的Visible属性设置为False.Showl－nTaskBar设为False程序就不会在任务栏中出现。

(3)端口修改。

一台机器有65536个端口，通常用户无法注意到如此多端口，而木马不一样，它特别注意用户的端口。

如果用户稍微留意，不难发现大多数木马使用的端口在1024以上，而且呈越来越大的趋势；当然也有占用1024以下端口的木马，但这些端口是常用端口，且占用这些端口容易造成系统不正常，这样的话，木马就会很容易暴露。

有此用户可能知道一些木马占用的端口，他会经常扫描这些端口，但现在的木马都具有端口修改功能，所以用户很难有时间扫描全部的65536个端口。

(4]隐藏通讯。

隐藏通讯也是木马经常采用的手段之一。

任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，木马把侵入主机的敏感信息送给攻击者。

现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留：有一些木马会选择一些常用的端口，如80，23。

【木马各种隐藏技术全方位大披露】被木马隐藏的文件以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。

从此，我知道:安全，从来没有绝对的。

虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。

那么，木马究竟是如何躲在我们的系统中的呢？最基本的隐藏:不可见窗体＋隐藏文件木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。

Windows下常见的程序有两种:1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的＂计算器＂就有提供各种数字按钮的应用程序界面。

木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为＂隐藏＂，这就是最基本的隐藏手段，稍有经验的用户只需打开＂任务管理器＂，并且将＂文件夹选项＂中的＂显示所有文件＂勾选即可轻松找出木马(见图1)，于是便出现了下面要介绍的＂进程隐藏＂技术。

第一代进程隐藏技术:Windows 98的后门在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。

尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。

只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。