木马的隐藏方式
手机木马原理
手机木马原理手机木马是一种恶意软件,通过潜藏在手机应用中感染设备并执行恶意操作。
其工作原理可分为以下几个步骤:1. 传播方式:手机木马可能通过多种方式传播,如通过恶意链接、应用下载或安装来自未知来源的应用等。
一旦用户点击或下载了木马应用,恶意软件便会开始植入和运行。
2. 植入手机系统:木马会试图植入到手机系统中,并获取系统级别的权限。
它会利用一些漏洞或系统安全性问题来获取这些权限,并绕过手机的防护机制。
3. 数据窃取:一旦木马植入成功并获取了系统权限,它就可以开始窃取用户的个人信息和敏感数据。
这些数据包括登录凭证、银行账户信息、个人通讯录等。
木马会将这些数据上传到远程控制服务器,供黑客使用或转售。
4. 远程控制:手机木马还可以被黑客远程操控。
黑客可以发送指令给木马,控制它执行各种操作,如发送短信、拍照、录音、窃取短信和通话记录等。
他们还可以利用木马发起网络攻击,感染其他设备或进行网络钓鱼。
5. 隐蔽性:为了不被用户察觉,手机木马通常会隐藏自己的图标和运行进程。
这使得用户很难察觉到手机已被感染,从而延长了恶意软件的潜伏时间。
为了保护手机免受木马感染,用户应采取以下措施:1. 下载应用时只从官方应用商店或可信的第三方应用市场下载,并注意应用的评论和评分,避免下载恶意或低评分的应用。
2. 及时更新手机操作系统和应用程序,以修复已知的漏洞和安全问题。
3. 安装可信的安全软件,及时扫描手机并清除潜在的恶意软件。
4. 禁用来自未知来源的应用安装选项,以防止恶意应用被安装。
5. 不点击来自陌生人或不可信来源的链接,尤其是不点击包含任何可疑内容的链接。
6. 注意手机的网络流量和电池消耗情况,以及不明原因的应用崩溃或手机反应迟钝等异常行为,可能是手机受到木马感染的迹象。
通过采取这些措施,用户可以增加手机木马感染的风险,保护个人信息的安全。
3-5-2木马的植入、自启动和隐藏
计算机病毒与防治课程小组
木马自启动途径
程序自动启动的原理
1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。 系统在起动时会检索该文件中的相关项,以便对系统环境的初始设 置。在该文件中的“[windows]”数据段中,有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关 的程序。 Win.ini: [windows] load=file.exe run=file.exe System.ini: [boot] Shell=Explorer.exe Shell=Explorer.exe
计算机病毒与防治课程小组
WIN2K中“进程隐藏”的实现
//使用WriteProcessMemory函数将DLL路径名复制到远程进程的内存空间
BOOL lRetun Code= WriteProcessMemory(hRemoteProcess,pszt_lbFlleRemote,( PVOID) pazlbFileName, ICb, NULL);
[HKEY _LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=" "
NeverShowExt键可以隐藏SHS文件的扩展名.shs。比如将一个文件 改名为“abc.jpg.shs“它只会显示”abc.jpg”。如果你的注册表里有 很多NeverShowExt键值,应予以删除。
计算机病毒与防治课程小组
木马进程的隐藏
访问令牌 进程对象 VAD VAD VAD
对象句柄表项1 对象句柄表项2 „„
木马隐藏的10处位置
木马隐藏的10处位置木马是一种基于远程控制的病毒程序,该程序具有很强的隐藏性和危害性,它可以在不知不觉的状态下控制你或者监视你。
那我们怎么才能知道木马在哪里呢?下面就介绍木马潜伏的诡招。
1.集成到程序中其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
如绑定到系统下载文件中,那么每一次Windows启动均会启动木马。
2.隐藏在配置文件中木马实在是太狡猾,知道有些人平时使用的是系统之家图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问,这正好给木马提供一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在众多的计算机中运行、发作,从而偷窃或者监视受害者。
不过,现在这种方式不是很隐藏,容易被发现,所以在Autoexec.bat和Config.sys 中加载木马程序的并不多见,但也不能因此而掉以轻心。
3.潜伏在Win.ini中木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到在自己的计算机中运行木马。
当然,木马也早有心理准备,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini 来看看,在它的[Windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:“run=c: \Windows\file.exe load=c :\Windows\file.exe”,这时你就要小心了,这个“file.exe”很可能是木马。
4.伪装在普通文件中这个方法出现是比较晚,不过现在很流行ghost xp,对于不熟练的Windows操作者,很容易上当。
了解常见的木马隐藏启动方法
系 统 目录 下 , 释 放 出 来 的 新 病 毒 产 生 由
破 坏 。 如 : 冰 河 播 种 者 ( o pr Drp e .
点 击 这 类 病 毒 时 , 毒 会 做 出 各 种 破 坏 病
操 作 来 吓 唬 用 户 , 实 病 毒 并 没 有 对 用 其
候 我 们 还 会 看 到 一 些 其 他 的 , 比 较 少 但
s Tw ARE Mir s \ id \ r oF \ coo w n O cu _ rnVes n Ru On e e t ri \ n c o
HK EY LO CAL
_
依次点 开 “ 始 ” —“ 序 ” — 开 — 程 — “ 动” 启
wae CL S \ x fes e \ p n c m— r\ AS ES e ef \h l o e \ o l l ma d n
这 里 只 要 有 “/” 感 字 眼 的 都 要 11 敏 "1 l
注意 。
例 如 :正 常 情 况 下 戗t 件 的打 开 文
方 式 为 Noe a . e 件 ,如 果 一 旦 中 t dx 文 p e
通过 n tt t 务名 ( 启 服 务) e s r服 a 开 ;
n t tp服 务 名 ( 闭 服 务) es o 关 。
安 全 咖 啡 屋
计 算 机 与 网 络 创 新 生 活 程圈 砖 l 酮阴鼷斌匝 Q 、
—
解
木 马 的 隐 藏 启 动 对 于 识 别 木 马 至 关 重 要 , 面 为 大 家 介 绍 一 下 它 隐藏 启 下
的拳 隐藏褰韵 法
方 法 二 : 用 系统 文 件 利 可 以 利 用 的文 件 有 W i. i;ytm. ni sse n 了 文 件 关 联 类 的 木 马 , 样 打 开 一 个 tt 这 X 文 件 , 本 应 该 用 Noe a 原 tp d打 开 该 文件
木马病毒原理
木马病毒原理
木马病毒是一种恶意软件,它隐藏在看似正常的程序中,通过欺骗用户获得访问权限,并在用户不知情的情况下潜伏和执行恶意活动。
木马病毒的原理是利用用户的信任,通常通过电子邮件附件、软件下载、插件安装等途径传播。
一旦被用户执行或安装,木马病毒就会在计算机上植入并开始运行。
木马病毒通常会创建一个与正常程序外观相似的图标,并在用户打开时隐藏自己的活动。
它可以通过网络传输个人隐私信息、窃取用户帐号密码、跟踪用户的在线活动、控制操作系统等。
木马病毒还可以通过远程控制指令控制受感染计算机的行为。
黑客可以利用木马病毒来进行恶意活动,例如远程监视、窃取敏感信息或发起分布式拒绝服务攻击。
为了保护计算机免受木马病毒的侵害,用户应该谨慎打开陌生邮件附件,只从可信任的网站下载软件,并定期使用安全软件进行全面系统扫描。
此外,及时更新操作系统和软件补丁也是防止木马病毒感染的重要步骤。
总之,木马病毒利用用户的信任并隐藏在正常的程序中,以实现窃取信息、控制操作系统等恶意活动。
用户应该保持警惕,并采取相应的安全措施,以保护个人计算机免受木马病毒的攻击。
特洛伊木马病毒的隐藏技术_李军丽
特洛伊木马病毒的隐藏技术李军丽云南大学信息学院 云南 650031摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
关键词:木马病毒;网络安全;隐藏技术0 引言随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。
隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。
本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
1 木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。
1.1 本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。
或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。
1.2 木马的启动隐藏方式(1) 本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。
木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。
由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。
(2) 通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。
像Autoexec.bat和Config.sys。
木马最新植入五方法揭密
木马最新植入五种方法揭密木马是大家网上安全的一大隐患,说是大家心中永远的痛也不为过。
对于木马采用敬而远之的态度并不是最好的方法,我们必须更多地了解其“习性”和特点,只有这样才能做到“知己知彼,百战不殆”!随着时间的推移,木马的植入方式也悄悄地发生了一定的变化,较之以往更加的隐蔽,对大家的威胁也更大,以下是笔者总结的五种最新的木马植入方式,以便大家及时防范。
方法一:利用共享和Autorun文件为了学习和工作方便,有许多学校或公司的局域网中会将硬盘共享出来。
更有甚者,竟将某些硬盘共享设为可写!这样非常危险,别人可以借此给您下木马!利用木马程序结合Autorun.inf文件就可以了。
方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,只需他双击共享的磁盘图标就会使木马运行!这样作对下木马的人来说的好处显而易见,那就是大大增加了木马运行的主动性!许多人在别人给他发来可执行文件时会非常警惕,不熟悉的文件他们轻易不会运行,而这种方法就很难防范了。
下面我们简单说一下原理。
大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,该文件可以决定是否自动运行其中的程序。
同样,如果硬盘的根目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录(这里假设对方的D盘共享出来且可写),对于给您下木马的人来说,他还会修改Autorun.inf文件的属性,将该文件隐藏起来。
这样,当有人双击这个盘符,程序就运行了。
这一招对于经常双击盘符进入“我的电脑”的人威胁最大。
更进一步,利用一个.REG文件和Autorun.inf结合,还可以让你所有的硬盘都共享出去!方法二:把木马文件转换为BMP格式这是一种相对比较新颖的方式,把EXE转化成为BMP来欺骗大家。
电脑病毒藏在什么地方
电脑病毒藏在什么地方电脑病毒无处不在!一般会藏在什么地方,下面由店铺给你做出详细的电脑病毒藏储的地方介绍!希望对你有帮助!让你对电脑病毒有初步的认识!电脑病毒藏在什么地方一、1,病毒大多隐藏在C盘的SYSTEM32文件夹内,这是装载系统的文件夹,不过木马病毒都具有隐藏性,您想自己找是不行的。
2,如果您的电脑中毒了,可以到电脑管家官网下载一个电脑管家。
3,然后使用电脑管家——杀毒——全盘查杀,电脑管家拥有4+1杀毒引擎,基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,可以轻松根据微特征和云病毒库,检测出各种流行顽固木马病毒,并做出查杀。
电脑藏在什么地方二、(1)通过软盘:通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。
由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。
大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘:通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。
(3)通过光盘:因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。
当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。
(4)通过网络:这种传染扩散极快, 能在很短时间内传遍网络上的机器。
随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。
Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。
有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。
下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟!1、集成到程序中木马的工作原理,木马查杀。
-电脑维修知识网其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)2、隐藏在配置文件中木马的工作原理,木马查杀。
-电脑维修知识网木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。
而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。
不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)3、潜伏在Win.ini中木马的工作原理,木马查杀。
-电脑维修知识网木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。
当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe这时你就要小心了,这个file.exe很可能是木马哦。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)4、伪装在普通文件中木马的工作原理,木马查杀。
-电脑维修知识网这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。
具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
5、内置到注册表中上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run” 开头的键值。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)6、在System.ini中藏身木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。
还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell= Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在 System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。
再有,在 System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)7、隐形于启动组中木马的工作原理,木马查杀。
-电脑维修知识网有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。
动组对应的文件夹为:C:\windows\ start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersionExplorer\ShellFoldersStartup="C:\windows \start menu\programs\startup"。
要注意经常检查启动组哦!8、隐蔽在Winstart.bat中按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。
这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。
由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在 Autoexec.bat中那样被加载运行,危险由此而来。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)9、捆绑在启动文件中木马的工作原理,木马查杀。
-电脑维修知识网即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)10、设置在超级连接中木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)木马程序是如何实现隐藏的近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。
其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)木马程序的隐藏技术木马的工作原理,木马查杀。
-电脑维修知识网木马程序的服务器端,为了避免被发现,多数都要进行隐藏处理,下面让我们来看看木马是如何实现隐藏的。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)说到隐藏,首先得先了解三个相关的概念:进程,线程和服务。
我简单的解释一下。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)进程:一个正常的Windows应用程序,在运行之后,都会在系统之中产生一个进程,同时,每个进程,分别对应了一个不同的PID (Progress ID, 进程标识符)这个进程会被系统分配一个虚拟的内存空间地址段,一切相关的程序操作,都会在这个虚拟的空间中进行。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)线程:一个进程,可以存在一个或多个线程,线程之间同步执行多种操作,一般地,线程之间是相互独立的,当一个线程发生错误的时候,并不一定会导致整个进程的崩溃。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)服务:一个进程当以服务的方式工作的时候,它将会在后台工作,不会出现在任务列表中,但是,在Windows NT/2000下,你仍然可以通过服务管理器检查任何的服务程序是否被启动运行。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)想要隐藏木马的服务器端,可以伪隐藏,也可以是真隐藏。
伪隐藏,就是指程序的进程仍然存在,只不过是让他消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)伪隐藏的方法,是比较容易实现的,只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失了,因为系统不认为他是一个进程,当按下Ctrl+Alt+Delete的时候,也就看不到这个程序。
但是,这种方法只适用于Windows9x的系统,对于Windows NT, Windows 2000等,通过服务管理器,一样会发现你在系统中注册过的服务。
难道伪隐藏的方法就真的不能用在Windows NT/2000下了吗?当然还有办法,那就是API的拦截技术,通过建立一个后台的系统钩子,拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,这样就实现了进程的隐藏,金山词霸等软件,就是使用了类似的方法,拦截了TextOutA,TextOutW函数,来截获屏幕输出,实现即时翻译的。
同样,这种方法也可以用在进程隐藏上。
电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)当进程为真隐藏的时候,那么这个木马的服务器部分程序运行之后,就不应该具备一般进程,也不应该具备服务的,也就是说,完全的溶进了系统的内核。