电子取证远控木马之SRAT

电子取证远控木马之SRAT

作者:New4[D.S.T] https://www.360docs.net/doc/9d13790156.html,

前言：

SRA T远程控制软件是在灰鸽子之后出现的又一款功能强大的反弹型木马，具备几乎灰鸽子所有功能并且体积仅有不足200KB，在SRAT发布之后掀起了黑客界换马狂潮。大部分小菜鸟们都觉得灰鸽子免杀难做并且突破主动防御不易，都选择较新或者有更新活力的新远控。而SRAT的条件都满足当前大部分小黑的需要，体积小、易免杀、穿透主动防御能力强。功能强大：文件管理、屏幕监控、超级终端、键盘记录、进程管理、服务管理、窗口管理、插件管理、注册表管理、音频视频监控，等几乎涉及所有计算机操作的功能使小黑们一旦拥有别无所求！使得SRAT近期大量被使用和传播，各类免杀版本发布，一条条新的黑色产业链条应此而生。其强大的键盘记录功能让您的电脑没有任何隐私可言，无论您输入的是中文或者英文以及其他语言都可以完美记录下来！

上面就是SRAT远控木马的简要介绍下面我来向大家展示一个，通过解密木马配置信息来取证的方法。

操作环境：Window Xp Sp3（本地局域网中的虚拟机）

使用工具：Wsyscheck（辅助木马查找）、010Editor（16进制编辑器）

推荐工具：SRAT远控专杀工具V1.0（可辅助查找并查杀SRAT木马）

首先，我们事先准备了一台虚拟PC(非真实机器)，并且配置一个新的SRA T木马，并运行植入该计算机中已制造一个木马已经潜伏的环境，然后我们就可以继续以下的检查是否被种植了SRAT木马的操作！配置信息如图1和图2。

图1 配置上线地址

图2 配置安装服务端及文件路径

配置完成我们查看一下文件属性，发现木马体积：175KB（如图3），由于SRA T没有压缩服务端的选项所以我们可以锁定，傀儡计算机中如果中了SRAT木马其体积也不会超过200K，如果经过加密或者其他特殊变种后可能会超过体积。而变种不在我们现在讨论的范围内，如果仔细的朋友可能会发现SRA T远控目录下还有个update目录，看字面的意思就是“升级”的意思而你打开目录后会发现有两个文件（如图4）：SratInit.exe和SratMain.dll。大家可以发现这个SratInit.exe的图标和配置出来的那个服务端图标一模一样！没错这个就是安装服务端的主体，也被专业人士称为ServerLoader（即服务端加载程序）。主要作用就是用于木马的安装任务，而SratMain.dll文件就是该木马所有功能的主体了，这个大家看一下体积也就知道了足足有144KB占据了几乎整个木马的大部分体积。一般这类木马的植入计算机后的一些特性如自删除都是由ServerLoader完成的，而安装完成之后ServerLoader 就不在使用了！以减少被杀毒软件查杀的几率因为它已经没有了安装的特性，也就是说一个杀人犯他没有带凶器。就算警察（杀毒软件）查到也不一定能给他定罪，然而谁能又知道这看似正常的一个文件既然是一个能完成潜伏并后台操作的木马？这类的木马我们一般都称为：DLL型木马它的传播必须有一个ServerLoader程序（EXE），我们在查杀SRAT木马（DLL 型木马）的时候我们只能找它的DLL文件进行查杀而不是找EXE。因为一般EXE都不存在了，所以我们下文所说的内容主要都是以讲解其DLL文件为主，请大家留意不要弄错了！

图3 配置出来SRAT服务端大小

图4 update目录下的文件

查找木马

我们已经运行了SRA T服务端程序，并且确认SRAT已经正常工作了。如图5，机器已经可以被牧马者操控了！下面请出我们的Wsyscheck，运行后如图6，现在我们操作选项卡切换到安全检查，并且点到端口状态我们能看到有一个程序连接到我们控制端默认端口：8800上，如图7，我们这时候记下他的进程PID是3032。好我们切换到进程管理功能中查找进程PID是3032的进程发现是一个svchost.exe进程，可能这时候有人要问为什么这么肯定是这个？这个不是系统进程？我能肯定的说这个是系统进程但它不是正常的系统进程，这时候我们点到这个进程查看模块路径列表空空如也（如图8），这是为什么？原因是SRA T 木马他伪装了微软文件版权，而Wsyscheck默认设置是将这部分忽略不显示的。我们只要将软件设置中的模块、服务简洁显示前面的勾（如图9）去掉你就能看到被忽略的所有模块了如图10，我们可以发现有一个模块非常奇怪“c:\program files\common files\microsoft shared\msinfo\nmt6psdo.dll”其文件名是一些随机字符，并不是一些正常的系统文件命名。通过网上搜索引擎都无法查询到！我们可以确定这个就是可疑文件（这个我们配置的时候路径选择了msinfo目录所以我能一下判断出来），我们找到该文件如图11，我们发现和文件版权信息有微软字样并且和我们之前看的“update目录”下的那个dll文件一样！有人可能说这样找样本是不是太费力了啊？这个没问题我们给大家准备了更简单的方法。运行SRAT远控专杀工具V1.0点扫描木马按钮，如图12，我们的检测工具能在2秒内查到SRAT木马，并且路径和文件名和我们用Wsyscheck查找的一模一样。这样大家是不是觉得简单很多了？没问题我们进入下一步如何获取服务端里的加密信息（取证）！

图5 列出机器上C盘根目录的所有文件

图6 Wsyscheck运行后的截图

图7 发现一条可疑网络连接

图8 模块列表里未显示任何模块

图9 去掉模块、服务简洁显示前面的勾

图10 可以正常显示模块了

图11 木马文件

图12 提示发现SRA T木马

取证木马

我们从机器上取回了SRA T木马样本，下面如何获得里面的配置的域名信息？下面我们就请出主角010Editor编辑软件，我们用010Editor打开取回的样本文件：rsPtXa1x.dll。如图13，我们将光标移动到文件尾部如图14。你可以看到很多1F 1F的数据，现在我们记下这个1F。（为什么要记得1F这个？这个就是配置信息解密的Key密钥），我们向上选择带1F 的数据，大小约352字节（可能和实际操作时不同），如图15，我们现在点选工具菜单>操作>二进制异或，如图16。下面我们设置，数据类型为：无符号字节，操作数：1F，16进制操作，如图17，设置解密参数完毕后点确定。这个时候我们在看那一串字符已经被解密了！如图18，我们可以清晰的看到我们刚刚配置的域名：127.0.0.1端口：8800，服务名：SRA T_Service，下面的就是通过域名信息追踪IP了，我就不多介绍了。Ping一下就可以完成IP定位了，到这里我们所有取证过程就完了。

图13 用010Editor打开SRA T木马样本

图14 文件尾部的数据

图15 选定352字节大小左右的数据

图16 二进制异或操作

图17 解密参数设置

图18 解密后的明文

后记：

到这里我们已经将一个SRAT远控木马的如何查找的过程和取证过程介绍完毕了，希望大家看完后能举一反三。多多实践找出更多的方法，最后想说一句的是新的刑法已经公布了，还在玩远控的各位黑友们一定要注意了！

时间：2009/3/14

联系方式：

邮箱：376186027@https://www.360docs.net/doc/9d13790156.html,

网站：

https://www.360docs.net/doc/9d13790156.html,暗组技术论坛

https://www.360docs.net/doc/9d13790156.html, Blog

1个简单的批处理让你的电脑免疫所有木马病毒

1个简单的批处理让你的电脑免疫所有木马病毒 为了编写这这个批处理程序，本人整整研究了1个多星期，终于完成了，给大家分享。不发附件，因为下载要钱的，我要的是让大家都可以免费获得这个好程序。我把原代码发上来！ 觉得的好的，只需要帮我顶下帖子就行！谢谢！！ @echo off color 0a echo ****************************************************************************** echo * * echo * 现在进行机器狗免疫 * echo * * echo ****************************************************************************** md C:\WINDOWS\system32\wxptdi.sys 2>nul md C:\WINDOWS\system32\wxptdi.sys\1..\ 2>nul md C:\WINDOWS\system32\fat32.sys 2>nul md C:\WINDOWS\system32\fat32.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\ati32srv.sys 2>nul md C:\WINDOWS\system32\drivers\ati32srv.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcibus.sys 2>nul md C:\WINDOWS\system32\drivers\pcibus.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcidisk.sys 2>nul md C:\WINDOWS\system32\drivers\pcidisk.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pcihdd.sys 2>nul md C:\WINDOWS\system32\drivers\pcihdd.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\phy.sys 2>nul md C:\WINDOWS\system32\drivers\phy.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\pop.sys 2>nul md C:\WINDOWS\system32\drivers\pop.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\puid.sys 2>nul md C:\WINDOWS\system32\drivers\puid.sys\1..\ 2>nul md C:\WINDOWS\system32\drivers\usb32k.sys 2>nul md C:\WINDOWS\system32\drivers\usb32k.sys\1..\ 2>nul md C:\WINDOWS\system32\2dogkiller.sys 2>nul md C:\WINDOWS\system32\2dogkiller.sys\1..\ 2>nul attrib C:\WINDOWS\system32\wxptdi.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\fat32.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\ati32srv.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\ati32srv.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\pcidisk.sys +s +h +r +a 2>nul attrib C:\WINDOWS\system32\drivers\pcihdd.sys +s +h +r +a 2>nul

木马分析与防范

木马分析与防范 【摘要】本文针对计算机木马攻击这一主题，介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用代理隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击，相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点，并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击，达到了预期的目的。 【关键词】木马;攻击;防范 计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分，在遍及全世界的信息化浪潮的作用下，计算机网络除了影响人们正常生活的名个方面，还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统，获取非法系统信息，并利用获取的这些信息进行非法行为，是目前公认的计算机网络信息安全问题。 1.木马 1.1木马的产生 最早的计算机木马是从Unix平台上诞生出来的，然后随着Windows操作系统的广泛使用，计算机木马在Windows操作系统上被广泛使用的。最早的Unix 木马是运行在服务器后台的一个小程序，木马程序伪装成登录过程，与现在流行的计算机木马程序是不同的。 当一台计算机被植入了木马程序后，如果计算机用户从终端上用自己的帐号来登录服务器时，计算机木马将向用户显示一个与正常登录界面一样的登录窗口，让用户输入正确的账号。在得到正确的用户名和口令之后，计算机木马程序会把账号保存起来，然后在第二次显示出真的登录界面，计算机用户看到登录界面又出现了，以为之前输入密码时密码输错了，于是计算机用户再次输入相关帐号进入计算机系统，但此时计算机用户的账号已被偷取，计算机用户却不知道。 1.2木马的定义 在计算机网络安全领域内，具有以下特征的程序被称作计算机木马：（1）将具有非法功能的程序包含在合法程序中的：具有非法功能的程序执行不为用户所知功能。（2）表面看上去好象是运行计算机用户期望的功能，但实际上却执行具有非法功能的程序。（3）能运行的具有非法操作的恶意程序。 1.3木马的发展历程 从计算机木马的出现一直到现在，计算机木马的技术在不断发展，木马的发展已经历了五代：

教你如何手动查杀电脑中的木马

教你如何手动查杀电脑中的木马 首先要知道木马的种类，木马是属于病毒的一种，他起的作用其实就是类似于间谍的功能。木马从诞生到现在已经有很多的种类，而且到现在的木马往往不会是单一的功能。 但想去查杀一个木马首先必须知道木马的种类。 1、破坏删除型 这类的木马的功能就是删除计算机里的文件：如 DLL、EXE、INI类型的文件。它就像一个定时炸弹，只要黑客一激活，那么他就开始肆意的破坏，而且一点不比病毒 差。 2、远程控制型 这类木马就是在你计算机内注入一个客户端程序，可以让服务端的人完全控制他人机器，监视屏幕动作，查看计算机磁盘内任何文件，可以进行任何操作，包括关机、重起。这类木马是数量最多，危害最大的。冰河、广外女生、灰鸽子都是国内知名的远 程控制木马 3、密码发送型 前段时间在我们论坛官员飞火身上发生的盗号事件，我看来就是这类木马在捣鬼。这类木马只要一开始运行，就开始自动搜索内存、Cache文件以及各类文件，一旦搜索到有用的密码，就自动将密码发送到预先指定好的QQ邮箱中去。 4、键盘记录型 在传奇这一大网络游戏盛行的前两年，也是键盘记录木马盛行的几年。不过这类木马是非常简单的，顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。只要你在键盘上输入什么一木马都能记录下来，像QQ阿拉大盗、传奇木马都 是属于这一类型的。 5、DOS攻击型 DOS木马不是用来破坏被注入的机子，而是借用这台被注入的机子去攻击另外的机子有点类似于传销，不停的给自己发展“下线”。给网络造成堵塞。 6、代理型 木马为了隐藏自己，就给被注入的机子种上代理木马，让他成为攻击的跳板去间 接的攻击别人。 7、FTP型 这类的木马和网页木马一样，打开着21端口，等待着别人来连接。只要一连接上

木马病毒的行为分析样本

西安翻译学院XI’AN FANYI UNIVERSITY 毕业论文 题目: 网络木马病毒的行为分析专业: 计算机网络技术 班级: 姓名: 彭蕊蕊 指导教师: 朱滨忠 5月 目录学号: 院系: 诒华

1 论文研究的背景及意义........................... 错误!未定义书签。 2 木马病毒的概况................................. 错误!未定义书签。 2.1 木马病毒的定义............................ 错误!未定义书签。 2.2 木马病毒的概述............................ 错误!未定义书签。 2.3 木马病毒的结构............................ 错误!未定义书签。 2.4 木马病毒的基本特征........................ 错误!未定义书签。 2.5木马病毒的分类............................. 错误!未定义书签。 2.6木马病毒的危害............................. 错误!未定义书签。 3 木马程序病毒的工作机制......................... 错误!未定义书签。 3.1 木马程序的工作原理........................ 错误!未定义书签。 3.2 木马程序的工作方式........................ 错误!未定义书签。 4 木马病毒的传播技术............................. 错误!未定义书签。 4.1 木马病的毒植入传播技术.................... 错误!未定义书签。 4.2 木马病毒的加载技术........................ 错误!未定义书签。 4.3 木马病毒的隐藏技术........................ 错误!未定义书签。 5 木马病毒的防范技术............................. 错误!未定义书签。 5.1防范木马攻击............................... 错误!未定义书签。 5.2 木马病毒的信息获取技术.................... 错误!未定义书签。 5.3 木马病毒的查杀............................ 错误!未定义书签。 5.4 反木马软件................................ 错误!未定义书签。 6 总结........................................... 错误!未定义书签。

三个命令检测电脑中是否中了木马

些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。 一、检测网络连接 如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。 具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。 二、禁用不明服务 很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。 方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。 三、轻松检查账户 很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。 为了避免这种情况，可以用很简单的方法对账户进行检测。 首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧! 联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。

木马后门的追踪分析

电子取证：木马后门的追踪分析 SRAT木马分析 仅以此教程，送给那些整天服务器上到处挂马的朋友。。 每当我们拿下一个服务器的时候，要怎样保持对该服务器的长久霸占呢？很多朋友首先会想到的肯定是远控木马，无论是批量抓鸡，还是其他什么方式，你植入在该计算机中的木马，都会暴漏你的行踪。信息取证的方式有很多，首先我说下最简单的两种方式：（此文章网上早就有了，只不过是自己实践以后，贴出来警醒某些人的。。） 一、网关嗅探，定位攻击者踪迹 网关嗅探定位，是利用攻击者要进行远程控制，必须与被控端建立连接的原理，木马会反弹连接到攻击者的IP地址上，说简单些，就是攻击者当前的上网IP地址上。 例如我们在主控端先配置一个远控马，IP地址我填写的是自己的动态域名： 动态域名：

我的公网IP： 主控机的IP地址为：192.168.1.29 被控主机的IP地址为：192.168.1.251（虚拟机） 在被控主机上，我们可以利用一款小工具《哑巴嗅探器》来进行分析，该工具体积小，比较稳定，中文界面，具体用法我就不介绍了。打开哑巴分析器，对被控主机进行数据分析： 通过上图，我们可以清楚的看到，源IP地址110.119.181.X，正在访问192.168.1.251的被控主机，并且在访问对方的8800端口，而110.119.181.X的主机为主控机，当你的木马与肉鸡相连的时候，可以直接暴漏攻击者当前的上网地址，锁定地理位置，进行定位追踪。 二、分析木马服务端程序进行取证： 无论是什么远控马，其程序代码中都会携带控制端的IP地址、域名或FTP地址信息，以便于主控端进行反弹连接。大部分的木马程序所包含的反弹信息都是未加密的，通过对后门木马进行源代码数据分析，

木马的危害

木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、盗窃密码、 甚至用你的QQ发一些乱七八糟的东西给你的好友…… 木马大量出现，在于它有着直接的商业利益。一旦你的网上银行密码被盗，哭都来不及了。正因为如此，现在木马越繁殖越多，大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰，危害越来越大。 毫不夸张地说：木马就是从网线上走进你家里的小偷强盗。防杀木马，已成为现代电脑用户的必修课。 2.原理： 木马危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手，阻止木马建立用户。这样，即便你的电脑已经感染了木马病毒，但是由于不能建立用户，木马就不能发挥远程控制的功能。换句话说，就是废了它，让他变成垃圾。当然，垃圾也需要清理，但这已经不在本文的讨论范围之内了。 3.方法： 运行regedt32.exe 打开你的注册表，里面有一个目录树： 打开其中目录HKEY_LOCAL_MACHINE 再打开其中目录SAM 再打开其中目录SAM 再打开其中目录Domains 再打开其中目录Account 再打开其中目录Groups 好了，就是这个Groups 就是负责建立用户的。删掉它，系统就不能建立用户了。无论木马怎样折腾，都无法建立用户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。所以，在这个操作之前，你必须要进行备份，必要的时候，可以还原。备份方法：右键点击Groups 选择“导出”，给导出的文件起个名字，保存好，就可以了。 4.说明： 可能你进入注册表的时候，只能看到第一个SAM 目录，其他的都看不到。别着急，那是因为你权限不够，右键点击相应目录选择“权限”，把你自己（通常是Administrators ）设置为“允许完全控制”就可以了。以此类推，一直找到Groups 目录为止。 5.还原： 很简单，找到你导出的那的文件，直接点击就可以了。 由于删除Groups 目录之后，你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能，因此，备份文件很重要。需要使用相应功能的时候，先还原一下，就跟以前一样了。当然，如果你是一个个人用户，一直都是你一个人使用这台计算机，那就无所谓了。 本文来自猴岛游戏论坛：https://www.360docs.net/doc/9d13790156.html,/r5829557_u7120842/

特洛伊木马工作原理分析及清除方法

特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马（Trojan Horse，以下简称木马）的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的，而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体，包括控制端、服务端和数据传输的网络载体（Internet/Intranet）；软件部分是实现远程控制所必须的软件程序，包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分，下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小，一般只有3~5KB，以便隐藏和传播。木马的传播方式主要有3种：（1）通过E-MAIL。（2）软件下载。（3）依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒（W32.BACTRANS.13 312@MM）。该病毒一旦被执行，木马程序就会修改注册表键值和win.ini文件。当计算机被重启时，该蠕虫会等候3 分钟，然后利用MAPI, 回复所有未读邮件，并将自己作为邮件的附件，使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后，木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，然后在注册表、启动组和非启动组中设置好木马触发条件，这样木马的安装就完成了。以后，当木马被触发条件激活时，它就进入内存，并开启事先定义的木马端口，准备与控制端建立连接。 2.2 建立连接，进行控制 建立一个木马连接必须满足2个条件：(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后，控制端端口和木马端口之间将会有一条通道，控制端程序利用该通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序：客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体，加载WinSock控件，称为Win_Client，协议选择TCP。

介绍一下木马病毒的种类

介绍一下木马病毒的种类 随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。网络游戏木马的种类和数量，在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后，往往在一到两个星期内，就会有相应的木马程序被制作出来。大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。2. 网银木马网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。此类木马种类数量虽然比不上网游木马，但它的危害更加直接，受害用户的损失更加惨重。网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒，在用户进入工行网银登录页面时，会自动把页面换成安全性能较差、但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码；“网银大盗3”利用招行网银专业版的备份安全证书功能，可以盗取安全证书；2005年的“新网银大盗”，采用API Hook等技

术干扰网银登录安全控件的运行。随着我国网上交易的普及，受到外来网银木马威胁的用户也在不断增加。3. 即时通讯软件木马现在，国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。常见的即时通讯类木马一般有3种：一、发送消息型。通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息。此类病毒常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。发送消息型木马常常充当网游木马的广告，如“武汉男生2005”木马，可以通过MSN、QQ、UC等多种聊天软件发送带毒网址，其主要功能是盗取传奇游戏的帐号和密码。二、盗号型。主要目标在于即时通讯软件的登录帐号和密码。工作原理和网游木马类似。病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。三、传播自身型。2005年初，“MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵之后，MSN推出新版本，禁止用户传送可执行文件。2005年上半年，“QQ龟”和“QQ爱虫”这两个国产病毒通过QQ聊天软件发送自身进行传播，感染用户数量极大，在江民公司统计的2005年上半年十大病毒排行榜上分列第一和第四名。从技术角度分析，发送文件类的QQ蠕虫是以前发送消息类QQ 木马的进化，采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。只不过发送文件的操作比发送消息复杂很多。4. 网页点击类木马网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。病毒作

常见100种木马排除方法

常见100种木马排除方法！ 1.Acid Battery 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。 重新启动。 2.Acid Shiver 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。 3.Ambush 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。 4.AOL Trojan 启动到MSDOS方式 删除C:\ command.exe（删除前取消文件的隐含属性） 注意：不要删除真的https://www.360docs.net/doc/9d13790156.html,文件。 删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性） 删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性） 打开WIN.INI文件

怎么知道电脑有没被检查电脑有没被黑客木马入侵

怎么知道电脑有没被检查电脑有没被黑客木马入侵？ 平时使用电脑的时候也许会遇到这样的情况：计算机突然死机，有时又自动重新启动，无端端的少了些文件，发现桌面刷新慢，没有运行什么大的程序，硬盘却在拼命的读写，系统也莫明其妙地对软驱进行搜索，杀毒软件和防火墙报警，发现系统的速度越来越慢，这时候你就要小心了。 怎么知道电脑有没被检查电脑有没被黑客木马入侵 第一时间反应（养成一个好的习惯往碗可以减少所受的损失）：用CTRL＋ALT＋DEL 调出任务表，查看有什么程序在运行，如发现陌生的程序就要多加注意，一般来说，凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响（注意：这里说的是基本运行，先和大家说明白，关于这条我是在网络上关于这个研究的结果），所以大家可以关闭一些可疑的程序来看看，发现一些不正常的情况恢复了正常，那么就可以初步确定是中了木马了，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这也是一种可疑的现象也要特别注意，你这时是在连入Internet网或是局域网后才发现这些现象的话，不要怀疑，动手查看一下吧！ 注：也有可能是其它一些病毒在作怪。 1、先升级杀毒软件到最新，对系统进行全面的检查扫描。 2、点击工具→文件夹选项→查看把隐藏受保护的操作系统文件（推荐）和隐藏已知文件类型的扩展名这两项前面的勾去掉，以方便查看。 3、查看Windows目录下的WIN.INI文件中开头的几行：[WINDOWS]load=ren=这里放的是启动Windows自动执行的程序，可以看看对比对比一下。 4、查看Windows目录下的SYSTEM.INI文件中的这几行：[386Enh]device=这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径，如：device=c： \windows\system32\***陌生的东西.exe（这里只是打个比方）。 5、查看开始菜单中的「程序」→「启动」。这里放的也是启动Windows自动执行的程序，如果有的话，它就放在C：\Windows\StartMenu\Programs\中，将它保存在较安全的地方后再删除，需要恢复时在拿出来恢复即可。

教你查杀电脑木马病毒

电脑病毒对电脑的危害是极大的，并且随着网络的普及，电脑病毒的传播速度非常快，下面将介绍电脑病毒的相关知识点，让网友们了解病毒与木马程序，能更好防范电脑病毒做好准备。 电脑病毒与木马程序 要防范电脑病毒与木马，首先要知道什么是电脑病毒与木马程序的基本概念。 1、什么是电脑病毒 电脑病毒是一种程序，实质是是指编制或在电脑程序中插入破坏电脑功能、数据、影响电脑正常工作并能自我复制的一组电脑指令或程序代码。它们和生物病毒一样，具有复制和传播能力。电脑病毒不是独立存在的，而是寄生在其他可执行程序中，具有很强的隐藏性和破坏性，一旦工作环境达到病毒发作的要求，便会影响电脑正常工作，甚至使整个电脑系统瘫痪。 2、什么是木马程序 木马程序是一种恶意的远程控制程序，能够控制或操纵远程电脑，由本地和远程两部分程序组成。该类程序一般通过电子邮件传送或冒充可下载文件，用户只要下载此程序到电脑中，程序就会自动运行并对注册表或者启动文件进行修改，而电脑进入网络，黑客可以对电脑进行远程控制、随意查看、修改、复制或删除电脑中的文件，甚至使电脑重启或关闭。3、如何判断电脑病毒与木马 无论是病毒和木刀采用了多隐蔽技术，我们都能从进程中找到蛛丝马迹。因此，查看系统中活动的进程成为检测电脑病毒和木马最直接的方法。 当确定系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不到异样的进程时，这说明病毒采用了一些隐蔽措施，主要分为以下两种情况。 a、以假乱真：系统中的正常进程有svchost.exe、explorer.exe、iexpore.exe、winlogon.exe等，如果发现存在：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe类似的进程时，这说明病毒已经存在了。通常，病毒会将系统中正常进程名的o改为0,l改为i，i改为j,仅仅一字之差；或者变多一个字母或者少一个字母，来迷惑用户。 b、偷梁换柱：利用“任务管理器”无法查看进程对应可执行文件这一缺陷，病毒可以将自身复制到C:\WINDOWS\目录下，并改名为svchost.exe（正常的svchost.exet进程应对的可执行文件位于C:\WINDOWS\System32目录下），这样我们在“任务管理器”窗口中看到的进程名也是svchost.exe，和正常的系统进程名一样的。 4、作用金山毒霸系统查杀病毒 电脑病毒重在防范，安装好金山毒霸系统并升级最新后可按照软件操作说明进行查杀病毒。 5、可使用360安全卫士查杀木马 木马是一种基于远程控制的黑客工具，相对于病毒而言，木马不容易被清除。 a、单击“360安全卫士”软件里的“杀木马”按钮。 单击选择扫描方式，在这里单击“全盘扫描”。

广外女生木马的分析方法

最近又有一种新的国产木马出现了，它有个好听的名字，叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品，它可以运行于WIN98，WIN98SE，WINME，WINNT，WIN2000或已经安装Winsock2.0的Win95/97上。与以往的木马相比，它具有体积更小、隐藏更为巧妙的特点。可以预料，在将来的日子里它会成为继“冰河”之后的又一流行的木马品种。 由于“广外女生”这个木马的驻留、启动的方法比较具有典型性，下面我就通过对这种新型木马的详细分析过程来向大家阐述对一般木马的研究方法。下面的测试环境为Windows2000中文版。 一、所需工具 1.RegSnap v 2.80 监视注册表以及系统文件变化的最好工具 2.fport v1.33 查看程序所打开的端口的工具 3.FileInfo v2.45a 查看文件类型的工具 4.ProcDump v1.6.2 脱壳工具 5.IDA v4.0.4 反汇编工具 二、分析步骤 一切工具准备就绪了，我们开始分析这个木马。一般的木马的服务器端一旦运行之后都会对注册表以及系统文件做一些手脚，所以我们在分析之前就要先对注册表以及系统文件做一个备份。 首先打开RegSnap，从file菜单选new,然后点OK。这样就对当前的注册表以及系统文件做了一个记录，一会儿如果木马修改了其中某项，我们就可以分析出来了。备份完成之后把它存为Regsnp1.rgs。 然后我们就在我们的电脑上运行“广外女生”的服务器端，不要害怕，因为我们已经做了比较详细的备份了，它做的手脚我们都可以照原样改回来的。双击gdufs.exe，然后等一小会儿。如果你正在运行着“天网防火墙”或“金山毒霸”的话，应该发现这两个程序自动退出了，很奇怪吗？且听我们后面的分析。现在木马就已经驻留在我们的系统中了。我们来看一看它究竟对我们的做了哪些操作。重新打开RegSnap，从file菜单选new,然后点OK，把这次的snap结果存为Regsnp2.rgs。 从RegSnap的file菜单选择Compare，在First snapshot中选择打开Regsnp1.rgs，在Second snapshot中选择打开Regsnp2.rgs，并在下面的单选框中选中Show modifiedkey names and key values。然后按OK按钮，这样RegSnap就开始比较两次记录又什么区别了，当比较完成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 看一下Regsnp1-Regsnp2.htm，注意其中的： Summary info: Deleted keys: 0 Modified keys: 15

黑客木马入侵个人电脑的方法

黑客木马入侵个人电脑的方法 要想使自己的电脑安全，就好扎好自己的篱笆，看好自己的门，电脑也有自己的门，我们叫它端口。 你在网络上冲浪，别人和你聊天，你发电子邮件，必须要有共同的协议，这个协议就是TCP/IP协议，任何网络软件的通讯都基于TCP/IP协议。 如果把互联网比作公路网，电脑就是路边的房屋，房屋要有门你才可以进出TCP/IP 协议规定，电脑可以有256乘以256扇门，即从0到65535号“门”，TCP/IP协议把它叫作“端口”。 当你发电子邮件的时候，E-mail软件把信件送到了邮件服务器的25号端口，当你收信的时候，E-mail软件是从邮件服务器的110号端口这扇门进去取信的，你现在看到的我写的东西，是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口，你上网的时候，就是通过这个端口与外界联系的。黑客不是神仙，他也是通过端口进入你的电脑的。 黑客是怎么样进入你的电脑的呢？当然也是基于TCP/IP协议通过某个端口进入 你的个人电脑的。 如果你的电脑设置了共享目录，那么黑客就可以通过139端口进入你的电脑，注意！WINDOWS有个缺陷，就算你的共享目录设置了多少长的密码，几秒钟时间就可以进入你的电脑，所以，你最好不要设置共享目录，不允许别人浏览你的电脑上的资料。 除了139端口以外，如果没有别的端口是开放的，黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢？答案是通过特洛伊木马进入你的电 脑。 如果你不小心运行了特洛伊木马，你的电脑的某个端口就会开放，黑客就通过这个端口进入你的电脑。 举个例子，有一种典型的木马软件，叫做netspy.exe。如果你不小心运行了netsp y.exe，那么它就会告诉WINDOWS，以后每次开电脑的时候都要运行它，然后，netspy.e xe又在你的电脑上开了一扇“门”，“门”的编号是7306端口，如果黑客知道你的73 06端口是开放的话，就可以用软件偷偷进入到你的电脑中来了。 特洛伊木马本身就是为了入侵个人电脑而做的，藏在电脑中和工作的时候是很隐蔽的，它的运行和黑客的入侵，不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件，所以不借助软件，是不知道特洛伊木马的存在和黑客的入侵。 接下来，奇奇就让你利用软件如何发现自己电脑中的木马。 奇奇再以netspy.exe为例，现在知道netspy.exe打开了电脑的7306端口，要想知道自己的电脑是不是中netspy.exe，只要敲敲7306这扇“门”就可以了。 你先打开C:\WINDOWS\WINIPCFG.EXE程序，找到自己的IP地址（比如你的IP地址 是10.10.10.10），然后打开浏览器，在浏览器的地址栏中输入http://10.10.10. 10:7306/，如果浏览器告诉你连接不上，说明你的电脑的7306端口没有开放，如果浏览器能连接上，并且在浏览器中跳出一排英文字，说的netspy.exe的版本，那么你的电脑中了netspy.exe木马了。

android手机木马的提取与分析

android手机木马的提取与分析 Android手机木马病毒的提取与分析为有效侦破使用 手机木马进行诈骗、盗窃等违法犯罪的案件，对手机木马病毒的特点、植入方式、运行状态进行了研究，利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例，讲述了 如何提取关键代码与配置数据，并对手机木马病毒的危险函数、启动方式、权限列表进行分析，证明了该方法的可行性，提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时，手机恶意软件也在各种各样的违法活动中充当了重要角色，其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现， 这种恶意短信中附的网址，其实就是诱导下载一个手机软件，安装后手机内并不会显示出该应用，但其中的木马病毒已植入，后台会记录下机主的一切操作，可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等，银行卡账号、密码就都被泄露了，黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒，如何提取分析，并固定证据成为一项重要工作。本文从

Android手机木马病毒的特点入手，讲述了如何提取分析关键代码与配置数据，从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变，那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统，需要一段时间来获取信息，必须隐藏自己的行踪，以确保木马的整体隐藏能力，以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能，主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用，含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。(2)通过发送短信或彩信到用户手机，诱骗手机用户点击短信中URL 或者打开彩信附件，从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式，短信内容不断变化，但对于手机系统来讲，为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取提取的方式，一是根据URL链接地址，从互联网上进行提取；二是根据手机存储的位置，找到安装文件进行提取，比较常见的提取位置有：一般存放在根目录下、DownLoad文

电脑中是否已被安装了木马的简单检测方法

电脑中是否已被安装了木马的简单检测方法 2009年07月10日星期五 15:06 众所周知，木马从来都以它的隐蔽性让人防不胜防，更不易让人察觉的。对于刚刚接触电脑不久的人来说，尤其是当手头上还没有完善的工具来检测它们的时候。其实，我们不妨可以先用一些基本的命令就可以查出电脑是否中了木马，这样可以在保护网络安全上起到很大的作用。现在，笔者就教给大家三个简单的检测方法。 一、检测网络连接 如果我们怀疑自己的电脑上可能已经被别人安装了木马，或者是中了病毒，但是到底是不是真有这样的事情发生呢？这时我们完全可以使用Windows自带的网络命令来看看都有谁目前在连接我们的计算机。方法就是在命令行下输入“netstat -an”这个命令就能看到所有和本地计算机建立连接的IP，当我们运行这个命令后，DOS窗口内显示出来的内容主要包含以下四个部分:Proto(连接方式)、Local Address(本地连接地址)、Foreign Address(和本地建立连接的地址)、State(当前端口状态)。其中State(当前端口状态)下面一般显示有:LISTENING(侦听或监听)、ESTABLISHED(已连接)、CLOSE_WAIT(关闭等待)、TIME_WAIT(时间等待)、SYN_SENT(同步传送)、LAST_ACK(最后确认)。通过“netstat -an”这个命令所显示出来的详细信息，我们就可以完全监控电脑上的所有和本地计算机建立连接的IP，让我们看到目前都有谁在连接我们的计算机，具体哪些是我们自己开启的连接，哪些是我们不请自来而非法访问的，从而来达到安全控制计算机的目的。

二、停用不明服务 当我们在某一天系统重新启动后，却突然发现电脑速度明显变慢了，不管怎么优化都还是慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵我们的计算机后给开放了特别的某种服务，比如IIS 信息服务等，这样我们的杀毒软件是查不出来的。但是我们先别着急，可以通过“net start”这个命令来查看系统中究竟都有哪些服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地来停止这个服务了。方法就是在命令行下输入“net start”这个命令来查看服务，譬如，我们发现其中有个“Messenger”并不是我们自己所开启的服务，这时我们就用“net stop Messenger”这个命令来停止此项服务。希望大家以此类推并能够举一反三的去操作。 三、轻松检查账户 恶意的攻击者非常喜欢使用克隆账号的方法来控制我们的电脑，他们采用的方法就是激活一个系统中的默认账户，但这个账户是我们不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制我们的计算机。为了避免这种情况，我们可以用很简单的方法对电脑中的账户进行检测。 首先在命令行下输入“net user”这个命令来查看计算机上都有些什么用户，然后再使用“net user Name”这个命令来具体查看这个用户是属于什么权限的，一般除了Administrator是Administrators

如何防止电脑病毒木马攻击电脑系统

如何防止电脑病毒木马攻击电脑系统 木马程序经常攻击我们的电脑，让我们防不胜防，那么我们要怎么做到防止电脑病毒木马攻击我们的电脑系统呢?下面由小编给你做出详细的防止电脑病毒木马攻击电脑系统方法介绍!希望对你有帮助! 防止电脑病毒木马攻击电脑系统方法: 木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了! 随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来(在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT

的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。 要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL 文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。 因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。