木马各种隐藏技术

合集下载

实验13 木马捆绑与隐藏

木马捆绑与隐藏12.2.1 背景描述木马并不是合法的网络服务程序，如果单纯以本来面目出现，很容易被网络用户识别。

为了不被别人发现，木马制造者必须想方设法改换面貌；为了诱使网络用户下载并执行它，黑客将木马程序混合在合法的程序里面，潜入用户主机。

在受害主机里，为了逃避杀毒软件的查杀，木马也会将自己“乔装打扮”；为了防止用户将其从系统里揪出来，木马则采取一切可能的手法进行隐藏自己。

总之，现在的木马制造者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过网页、QQ、Email 或MSN 等将这些文件传送给受害者，而用户一旦不慎打开这些文件，木马就自动执行了，主机就中木马了。

12.2.2 工作原理1．木马捆绑木马捆绑即是文件捆绑，黑客将木马或者病毒等恶意程序与其它正常文件组合成的一个整体。

这是一种最简单也是最可行和最常用的一种方法，当受害者下载并运行捆绑了木马等恶意程序的文件时，其中的木马等恶意程序就会被激活。

木马捆绑的手段归纳起来共有四种：（1）利用捆绑机软件和文件合并软件捆绑木马；（2）利用WINRAR、WINZIP 等软件制作自解压捆绑木马；（3）利用软件打包软件制作捆绑木马；（4）利用多媒体影音文件传播。

2．木马隐藏隐藏是一切恶意程序生存之本。

以下是木马的几种隐藏手段：（1）进程隐蔽：伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作，做为一个线程，一个其他应用程序的线程，把自身注入其他应用程序的地址空间。

（2）伪装成图像文件：即将木马图标修改成图像文件图标。

（3）伪装成应用程序扩展组件：将木马程序写成任何类型的文件（如dll,ocx等），然后挂在十分出名的软件中。

因为人们一般不怀疑这些软件。

（4）错觉欺骗：利用人的错觉，例如故意混淆文件名中的1（数字）与l（L的小写）、0（数字）与o（字母）或O（字母）。

木马的常用伪装手段

木马的常用伪装手段在网络安全领域，木马是一种恶意软件，可以在不被用户察觉的情况下悄悄地进入计算机系统，实现盗取用户信息、破坏系统的行为。

因此，木马程序的伪装手段非常重要，可以使其更容易地潜入计算机系统。

以下是一些常用的木马伪装手段：1. 伪装成正常程序许多木马程序被设计成伪装成常见的软件或系统组件，例如浏览器插件、媒体播放器、下载器等，以此混淆用户的视觉，避免受到用户的怀疑，从而更容易渗透进入用户的系统。

2. 终端木马伪装终端木马常被伪装成程序源码、编译工具或其它网络安全工具来骗取用户信任，而终端木马常常伴随着对受害者机器的远程控制，拥有非常广泛的攻击能力。

3. 使用非常规的文件扩展名很多木马程序使用并不常见的文件扩展名，比如".txt"、".jpg"、".pdf"等，以绕过一些计算机安全防护软件的检测。

在实际应用过程中，我们应该避免打开不熟悉的文件。

4. 嵌入宏或脚本很多木马程序将自己嵌入到宏或脚本中，然后利用漏洞自动执行，从而绕过了常规的安全检测。

例如，利用办公软件（Word、Excel等）中的宏病毒的攻击方式。

5. 嵌入加密模块有些木马程序会嵌入加密模块，使得其内容在传输过程中无法被轻易识别和拦截，从而达到对计算机系统的“偷窃”。

综上所述，木马程序有很多伪装手段，其中有些是非常难以被发现的。

因此，我们需要时刻保持警惕，使用网络安全软件来防范这些木马程序的攻击，同时也需要提高自己的网络安全意识，确保个人计算机和重要信息的安全。

除了上述常用的木马伪装手段，还有一些更高级的木马伪装手段。

这些高级伪装手段越来越普遍，它们可以更好地欺骗人们的眼睛和虚拟机器的安全防御。

以下是一些高级木马伪装技术：1. 避免反病毒软件现在的反病毒软件具有越来越高的检测能力，它们能够及时发现木马程序并抵御攻击。

因此，一些高级的木马程序会通过加密自己来避免反病毒软件的检测与抵抗。

3-5-2木马的植入、自启动和隐藏

计算机病毒与防治课程小组
木马自启动途径
程序自动启动的原理
1. 利用INI文件实现相关程序的自动启动 win.ini是系统保存在[Windir]目录下的一个系统初始化文件。系统在起动时会检索该文件中的相关项，以便对系统环境的初始设置。在该文件中的“[windows]”数据段中，有两个数据项 “load=” 和“run=”。它们的作用就是在系统起动之后自动地装入和运行相关的程序。 Win.ini: [windows] load=file.exe run=file.exe System.ini: [boot] Shell=Explorer.exe Shell=Explorer.exe
计算机病毒与防治课程小组
WIN2K中“进程隐藏”的实现
//使用WriteProcessMemory函数将DLL路径名复制到远程进程的内存空间
BOOL lRetun Code= WriteProcessMemory(hRemoteProcess,pszt_lbFlleRemote,( PVOID) pazlbFileName, ICb, NULL);
[HKEY _LOCAL_MACHINE\Software\CLASSES\ShellScrap] @="Scrap object" "NeverShowExt"=" "
NeverShowExt键可以隐藏SHS文件的扩展名.shs。比如将一个文件改名为“abc.jpg.shs“它只会显示”abc.jpg”。如果你的注册表里有很多NeverShowExt键值，应予以删除。
计算机病毒与防治课程小组
木马进程的隐藏
访问令牌进程对象 VAD VAD VAD
对象句柄表项1 对象句柄表项2 „„

了解常见的木马隐藏启动方法

系统目录下，释放出来的新病毒产生由
破坏。如：冰河播种者（ｏｐｒＤｒｐｅ．
点击这类病毒时，毒会做出各种破坏病
操作来吓唬用户，实病毒并没有对用其
候我们还会看到一些其他的，比较少但
ｓＴｗＡＲＥＭｉｒｓ＼ｉｄ＼ｒｏＦ＼ｃｏｏｗｎＯｃｕ＿ｒｎＶｅｓｎＲｕＯｎｅｅｔｒｉ＼ｎｃｏ
ＨＫＥＹＬＯＣＡＬ
＿
依次点开 “ 始 ” —“ 序 ” — 开 — 程 — “ 动” 启
ｗａｅＣＬＳ＼ｘｆｅｓｅ＼ｐｎｃｍ— ｒ＼ＡＳＥＳｅｅｆ＼ｈｌｏｅ＼ｏｌｌｍａｄｎ
这里只要有 “／” 感字眼的都要１１敏＂１ｌ
注意。
例如：正常情况下戗ｔ件的打开文
方式为Ｎｏｅａ．ｅ件，如果一旦中ｔｄｘ文ｐｅ
通过ｎｔｔｔ务名（启服务）ｅｓｒ服ａ开；
ｎｔｔｐ服务名（闭服务）ｅｓｏ关。
安全咖啡屋
计算机与网络创新生活程圈砖ｌ酮阴鼷斌匝Ｑ、
—
解
木马的隐藏启动对于识别木马至关重要，面为大家介绍一下它隐藏启下
的拳隐藏褰韵法
方法二：用系统文件利可以利用的文件有Ｗｉ．ｉ；ｙｔｍ．ｎｉｓｓｅｎ了文件关联类的木马，样打开一个ｔｔ这Ｘ文件，本应该用Ｎｏｅａ原ｔｐｄ打开该文件

木马的隐藏方式

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。

有人说，既然木马这么厉害，那我离它远一点不就可以了！然而这个木马实在是“淘气”，它可不管你是否欢迎，只要它高兴，它就会想法设法地闯到你“家”中来的！哎呀，那还了得，赶快看看自己的电脑中有没有木马，说不定正在“家”中兴风作浪呢！那我怎么知道木马在哪里呢，相信不熟悉木马的菜鸟们肯定想知道这样的问题。

下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！1、集成到程序中木马的工作原理，木马查杀。

-电脑维修知识网其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)2、隐藏在配置文件中木马的工作原理，木马查杀。

-电脑维修知识网木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。

而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。

不过，现在这种方式不是很隐蔽，容易被发现，所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)3、潜伏在Win.ini中木马的工作原理，木马查杀。

-电脑维修知识网木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。

当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。

特洛伊木马

的建立
• 木马通道与远程控制
– 木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道 – 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作
控制端控制端程序 1096 6267 服务端木马程序窃取密码文件操作修改注册表系统操作
32
网页挂马技术（二）
• js调用型网页挂马
– 利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术
<script language=javascript
src=/gm.js></script>
/gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了
5
木马入侵基本过程
控制端 ①配置木马 ②传播木马 ③运行木马 Internet 木马服务端
④信息反馈
信息
⑤建立连接
⑥远程控制
6
netstat查看木马打开的端口
Proto ① TCP ② TCP Local Address 202.102.47.56 : 6267 202.102.47.56 : 6267 服务端 IP地址木马端口 Foreign Address 202.96.96.102 : 1096 0.0.0.0 控制端 IP地址控制端端口 State ESTABLISHED LISTENING 连接状态： ①连接已建立 ②等待连接
33
网页挂马技术（三）
• 图片伪装挂马
– 攻击者直接将网页木马加载到图片中
/test.htm中的木马代码植入到test.jpg图片文件中

特洛伊木马病毒的隐藏技术_李军丽

特洛伊木马病毒的隐藏技术李军丽云南大学信息学院云南６５００３１摘要：隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。

本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。

关键词：木马病毒；网络安全；隐藏技术０引言随着计算机网络技术的迅速发展和普及，人们也开始面临着越来越多的网络安全的隐患，特别木马对网络用户的网络数据和隐私安全产生了极大的威胁；据调查，目前在国内，６８．２６％的用户怀疑受到过木马病毒的攻击，６３％的电脑用户曾受到过木马病毒攻击。

隐藏技术是木马的关键技术之一，其直接决定木马的生存能力。

本文对木马病毒的隐藏技术从几个方面进行了研究，并对木马病毒的预防和检测提出了自己的一些建议。

１木马的隐藏技术木马区别与远程控制程序的主要不同点就在于它的隐蔽性，木马的隐蔽性是木马能否长期存活的关键。

木马的隐藏技术主要包括以下几个方面：本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。

１．１本地文件伪装隐藏木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏，或是通过将木马文件命名为和系统文件的文件名相似的文件名，从而使用户误认为系统文件而忽略。

或是将文件的存放在不常用或难以发现的系统文件目录中，或是将木马存放的区域设置为坏扇区。

１．２木马的启动隐藏方式（１）本地文件伪装最常用的文件隐藏是将木马病毒伪装成本地文件。

木马病毒将可执行文件伪装成图片或文本－－－－在程序中把图标改成ＷＩＮＤＯＷＳ的默认图片图标，再把文件名改为．ＪＰＧ．ＥＸＥ。

由于ＷＩＮＤＯＷＳ默认设置是不显示已知的文件后缀名，文件将会显示为．ＪＰＧ．，不注意的人一点击这个图标就在无意间启动了木马程序。

（２）通过修改系统配置来实现木马的启动隐藏利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行。

像Ａｕｔｏｅｘｅｃ．ｂａｔ和Ｃｏｎｆｉｇ．ｓｙｓ。

特洛伊木马的隐藏技术浅析

特洛伊木马的隐藏技术浅析王海青【摘要】文章着重从木马的文件隐藏、进程隐藏、通信隐藏三个方面系统分析了木马的隐藏技术.【期刊名称】《甘肃广播电视大学学报》【年(卷),期】2010(020)002【总页数】2页(P63-64)【关键词】木马;文件隐藏;进程隐藏;通信隐藏【作者】王海青【作者单位】甘肃广播电视大学,继续教育学院,甘肃,兰州,730030【正文语种】中文【中图分类】TP393.8随着病毒编写技术的发展，木马程序对用户的威胁越来越大，为了不被目标系统用户及管理员发现,木马通过各种技术手段把自己的运行形式进行隐蔽。

1.文件隐藏木马程序植入目标系统后，会在目标系统的磁盘上加以隐蔽欺骗用户。

隐藏、保护木马文件的主要方式有：（1）嵌入隐藏。

采用此隐蔽手段的木马通常有以下两种形式：插入到某程序中和与某程序捆绑到一起，一旦运行程序就会启动木马。

如绑定到系统文件中,在系统启动时木马也跟随启动；或者捆绑常用程序，这样程序一旦被点击木马就会运行加载，使用户难以防范。

（2）伪装隐藏。

利用自身外部特征的多变性进行伪装,以单独的文件存在，同时定制好了文件名，修改与文件系统操作有关的程序，伪装成正常的文件或者非可执行文件，再将文件属性修改为系统隐蔽或者只读。

如木马文件把图标改成Windows 的一些非可执行文件的默认图标,再把文件名改为*.jpg.exe、*.txt.exe等，由于Windows默认设置是“不显示已知的文件后缀名”,因此木马文件将会显示为*.jpg、*.txt等。

（3）替换隐藏。

木马通过修改自身的DLL替换目标文件的系统DLL文件，替换的基础上不增加新的文件，也不需要打开新的端口或者监听端口，替换之后，对于正常的系统调用还照常进行，只有在木马的控制端向被控制端发出指令后，隐藏的程序才开始运行。

2.进程隐藏木马将自身作为DLL插入别的进程空间后，用查看进程的方式无法找出木马的踪迹，看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。

木马的7种分类

木马的7种分类随着计算机技术的不断发展，木马病毒也不断地演化和发展，出现了各种不同类型的木马病毒，本文将介绍木马病毒的七种基本分类。

1.远程控制木马远程控制木马可以通过网络，远程控制受感染电脑的操作系统。

黑客可以远程操作受害者的计算机，以获取其个人信息、机密资料和密码等。

这种木马病毒非常隐蔽，很难被发现，因此危害性相对较大。

2.间谍木马间谍木马主要用于监控用户的行动，例如记录用户的浏览历史记录、键盘输入等。

这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。

3.下载木马下载木马病毒具有下代码、过滤HTML代码等功能，可以从远程服务器下载感染电脑所需的程序或文件。

当这种木马病毒感染到用户的计算机后，可以在后台下载恶意程序或软件。

4.钓鱼木马钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者，使其下载木马病毒。

这种木马病毒的危害性非常高，因为它可以窃取受害者的个人信息，例如社交网络的用户账户和密码、银行账户信息等。

5.后门木马后门木马是指在计算机上预留出的一些未经授权的入口，可以让黑客在未经授权的情况下远程访问受害者的计算机系统。

这种木马病毒可以在用户不知情的情况下进行远程控制，非常隐蔽，难以发现。

6.窃密木马窃密木马可以获取用户的账户和密码等个人信息，并将这些信息上传到黑客服务器。

这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。

7.多功能木马多功能木马是一种综合了多种木马病毒功能的复合木马病毒。

它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。

这种木马病毒的危害性非常高，可以严重威胁用户的安全和隐私。

木马隐蔽技术分析及检测

畸形报文传递、ＨＴ隧道技术，自定义ＴＰＵＰＴＰＣ／Ｄ报文等。采用网络隐蔽通道技术，如果选用一般安全策略都允许的端口通信，如８端口。木马技术利用防火墙允许Ｏ从机器向网外发出连接的这一特点，将木马服务器端植
入目标机器，隐藏在目标机器内部，而木马客户端的监听端口开在８或２端口。被植入到目标机器的木马服务Ｏ１器端会定期或不定期地访问一个提前设定的个人主页空间。如果木马客户端程序想连接木马服务器端时，则会在此主页空间设置一个标志文件。一旦木马客户端想与
检测方法。
关键词：木马
隐藏技术
网络安全
木马技术发展至今，已经不再只是简单的客户及服务器程序，它涉及到了系统及网络安全的方方面面，对于许多高级木马技术的研究，是对网络环境及系统实现中各种安全机制的重新审视，因此，对木马的开发技术做一次彻底的透视，从了解木马技术开始，更加安全地
进行隐藏处理。
１．本地隐藏
据，增加了查杀的难度。第四代木马在进程隐藏方面，做了大的改动，采用了内核插入式的嵌入方式，利用远
程插入线程技术，嵌入ＤＬ程；或者挂接ＰＡＩＬ线ＳＰ，实现木马程序的隐藏，甚至在ＷｎｏｓＮ／００，都达ｉｄｗＴ２０下到了良好的隐藏效果。
ｐｏｒｍ＼ｔｒｕ。要注意经常检查这两个地方。ｒｇａｓｓａｔｐ３检查Ｗ．ｎ、Ａｔｅｅ．ａ以及Ｓｔｍ．ｉｉｉｕｏｘｃｂｔｎＹＳｅ．

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

安全知识：木马各种隐藏技术内容分类：木马病毒关键词：木马;隐藏技术;API;Hook虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。

那么，木马究竟是如何躲在我们的系统中的呢？最基本的隐藏:不可见窗体＋隐藏文件木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。

Windows下常见的程序有两种:1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。

木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术:Windows 98的后门在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。

尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。

只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。

可是接下来的第二代进程隐藏技术，就没有这么简单对付了。

第二代进程隐藏技术:进程插入在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。

比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。

这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

你知道吗——进程(Process)是什么对应用程序来说，进程就像一个大容器。

在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。

1.进程插入是什么独立的地址空间对于编程人员和用户来说都是非常有利的。

对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。

对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。

当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。

但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。

一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。

2.木马是如何盗走QQ密码的普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。

可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！3.如何插入进程(1)使用注册表插入DLL早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。

缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

(2)使用挂钩(Hook)插入DLL比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。

缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。

你知道吗——什么是APIWindows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。

(3)使用远程线程函数(CreateRemoteThread)插入DLL在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API 函数来向另一个进程中创建线程(插入DLL)。

缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。

木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。

解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。

不要相信自己的眼睛:恐怖的进程“蒸发”严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。

这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。

就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。

这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。

当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。

但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。

你知道吗——什么是HookHook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。

在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。

更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。

要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干:反杀毒软件外壳木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。

要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。

除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。

对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

你知道吗——什么是壳顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。

没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。

很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。

比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。

脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。