搞懂特洛伊木马工作原理

搞懂特洛伊木马工作原理（精选4篇）

篇1：搞懂特洛伊木马工作原理

特洛伊木马是具有某些功能或仅仅是有趣的程序，但它通常会做一些令人意想不到的事情，如盗取口令或文件。

特洛伊木马是如何工作的

一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。

目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马，

木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。

当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。

篇2：木马攻击原理及防御技术

木马, 源自于希腊神话《木马屠城记》, 也称为特洛伊木马 (trojan horse) , 传说古希腊士兵藏在特洛伊木马内进入并占领敌方城市。现今木马是指在计算机系统中被植入的人为设计的恶意程序, 是一种基于远程控制的黑客工具。用户计算机一旦遭到木马的入侵, 便在毫无察觉的情况下, 被对方直接管理控制资源, 如复制修改文件、删除文件、查看文件内容、上传下载文件等;或者被对方控制自己的键盘鼠标, 随意修改计算机的注册表和系统文件;也可能被对方监视任务并可随时被终止任务, 窃取计算机信息资料, 或者被远程关闭或重启计算机, 并恶意致使计算机系统瘫痪。

2 木马的实现原理与攻击步骤

木马基本上都是网络客户端和服务器端程序的组合, 一般是由在服务器端运行的程序和攻击者控制的客户端程序组成。攻击者利用“木马”侵入网络, 一般采用如下方式:首先在目标主机上植入木马并启动和隐藏客户端木马, 再将服务器端和客户端建立连接, 然后进行远程控制。

2.1 木马植入技术

木马植入有主动植入和被动植入两大类。主动植入是指攻击者主动将木马程序植入到用户计算机上, 其行为过程完全由攻击者主动掌握;而被动植入, 是指攻击者设置一些环境, 等待目标系统用户可能的操作, 当用户在这种环境下进行操作时, 木马程序就可以植入到目标系统。主动植入是攻击者在获取目标主机的操作权限时自己动手进行的植入操作, 所采取的方式主要是利用系统自身漏洞和第三方软件漏洞进行植入。被动植入主要采用电子邮件、网页浏览、网络下载、即时通工具、与其它程序捆绑、移动存储设备等方式进行植入。

2.2 自动加载技术

木马程序在被植入目标主机后, 能自动地启动和运行, 攻击和入侵目标主机完成对目标主机的控制, 这就是自动加载技术。

2.2.1 修改系统文件

木马程序 常在第一 次运行时 修改Autoexec.bat、Winstart.bat、Dosstart.bat等三个批处理文件和Config.sys、Win.ini、System.ini三个系统配置文件来实现自动启动, 达到自动加载的目的。

2.2.2 修改系统注册表

系统注册表包含着计算机系统相关配置信息, 是系统中重要的核心配置文件。如果在RunOnce、Run、RunOnceEx、RunServicesOnce、RunServices这些子键中添加键值, 就能实现程序的自动加载, 让木马程序自动加载运行。

2.2.3 添加系统服务

服务程序可以设置为不需要用户登录就能在操作系统启动时自动运行, 用户可以根据自己的需要, 注册自己的服务程序。如果将木马程序注册为服务程序且自动运行, 那么系统只要启动, 木马就会自动运行。

2.2.4 修改文件关联属性

系统注册表把应用程序与文件建立了关联, 用户在打开文件时, 系统会自动启动关联程序将文件打开。如果将文件相关联的应用程序修改为木马程序, 只要打开文件, 就启动了木马程序。

2.2.5 修改任务计划

系统启动时任务计划程序就自动在后台运行。将木马程序添加到计划任务文件夹中并设置为系统启动, 就能实现这个木马程序的自动启动。

2.2.6 利用系统自动运行的程序

将木马程序覆盖系统中的一些自动运行程序 (如注册表检查程序scanreg.exe、自动启动系统栏程序SysTray.exe、计划任务程序mstask.exe、输入法程序等) , 就可以不修改系统的任何设置便可实现自动运行。

2.2.7 替换系统 DLL

通过替换 随系统启动 的正常的动 态链接文件 (如kernel32.dll和user32.dll) , 启动后, 如果是正常的调用请求, 就转换成原先的动态链接文件进行处理, 如果是木马操作, 就实现木马功能。

2.3 隐藏技术

木马要想在目标主机中生存, 必须要把自己隐藏并潜伏下来, 让合法用户不容易发现, 这就是木马的隐藏技术。

2.3.1 把木马程序注册为服务

木马的隐藏技术之一就是在进程中看不到木马。如果在系统中把木马服务器端的程序注册为一个服务, 系统就不把它作为一个进程, 这个程序在任务列表中就找不到, 任务管理器也看不到它的进程。

2.3.2 使用可变的高端口

一台计算机有65536个端口, 1024以下是系统服务端口, 如果木马程序占用1024以下的服务端口就造成系统不正常运行, 木马也就很容易被暴露, 所以现在大多数木马使用的端口都在1024以上可变的高端口, 不容易监测到。

2.3.3 使用系统服务端口

虽然现在大多数木马会在1024以上不易发现的高端口上驻留, 但也有一些木马选择一些常用的端口 (如23, 80) 。有一种木马在占领80HTTP端口后, 只有当收到一些特殊约定的数据包后, 才调用木马程序, 如果收到正常的HTTP请求仍就把它交与Web服务器处理, 有很强的隐蔽性。

2.3.4 替换系统驱动或系统 DLL

木马将系统中正常的DLL文件替换成自己的DLL文件, 既可以启动木马, 也可以隐藏木马。运行时, 如果是正常的系统请求, 就直接转换为被替换的系统的DLL进行处理, 如果是约定的操作, 就按约定完成操作。这种方法既不增加新的文件, 也不要打开新的端口, 使用常规监测方法也监测不到。

2.4 连接技术

建立连接时, 木马的服务端会在目标主机上打开一个端口进行侦听, 如果有客户机向服务器的这一端口提出连接请求, 木马服务器端的相关程序就会自动运行, 并启动一个守护进程来应答客户机的各种请求。

2.5 监控技术

木马连接建立后, 服务器端口和客户端端口会出现一条通道, 客户端程序通过这条通道联系服务器上的木马程序对其远程控制。

2.5.1 获取目标机器信息

窃取被控端信息并把这些信息通过网络连接传送到控制端是木马的一个主要功能。

2.5.2 记录用户事件

木马程序要想控制目标主机, 必须要知道目标主机目前在干什么, 也就是记录用户事件。

记录用户事件主要有两种方式:一是将被控端的键盘和鼠标行为记录下来并形成文本文件, 控制端通过查看文本文件掌握被控端用户计算机的操作行为。二是抓取被控端的当前屏幕形成位图文件, 控制端通过查看位图文件来控端用户计算机的操作行为。

2.5.3 远程操作

木马程序可以控制对方的鼠标和键盘, 启动或停止对方电脑的应用程序, 将对方的文件进行管理和控制。

3 木马防御技术

3.1 木马检测

3.1.1 端口扫描

木马的服务端一般会在目标主机上打开一个端口进行侦听, 我们可以查看系统开启的端口去发现木马的踪迹。使用“netstat -an”命令可以查看正在监听的端口, 同时也可以查看远程主机的IP地址。

3.1.2 检查系统进程

任何木马都无法彻底和进程脱离关系, 即便是采用了隐藏技术, 也还是能够从进程中发现木马的踪迹, 因此, 查看系统进程是我们检测木马最直接的方法。

3.1.3 检查.ini 文件、注册表和服务

(1) 检查ini类型文件。用记事本打开Win.ini和system.ini这两个文件, 查看“run=”、“load=”及“shell=Explorer.exe”所加载的程序, 在所加载的程序中如果有你不知道的程序就有可能是木马。

(2) 检查注册表。检查HKEY_LOCAL_MACHINESoftwa reMicrosoftWindowsCurrentVersion下面的Run、RunOnce、R unOnceEx、RunServices、RunSevicesOnce子键以及HKEY_CU RRENT_USERSoftwareMicrosoftWindowsCurrentVersion的R un、RunOnce、RunOnceEx、RunServices、RunServicesOnce启动项是否有可疑的程序。

(3) 检查注册表关联。检查HKEY_CLASSES_ROOTexefil eshellopencommand项是否有exe文件关联型程序, 检查HKE Y_CLASSES_ROOTinffileshellopencommand项是否有inf文件关联型程序, 检查HKEY_CLASSES_ROOTinifileshellopenco mmand项是否有ini文件关联型程序, 检查HKEY_CLASSES_R OOTtxtfileshellopencommand项是否有txt文件关联型程序。

3.1.4 监视网络通讯

有些木马程序 (如ICMP数据通讯的木马) , 被控端没有打开监听端口, 使用fport或netstat等检查开放端口不易检测到。对付这种木马, 可以关闭所有网络行为的进程, 使用Sniffer软件进行监听发现可疑情况。

3.2 木马的清除

知道了木马加载的地方, 就删除掉木马登记项, 使木马无法在开机时就启动。不过有些木马监视注册表, 删除后会立即恢复过来。所以, 在删除前需停止木马进程, 再删除相应的木马程序。

随着木马编写技术的不断变化, 木马类型也在不断更新, 很多木马都有自我保护机制, 因此, 不同的木马就要采用不同的清除方法。分析查杀各类恶意程序是一些安全公司的专长, 我们清除木马最好的办法就是借助专业杀毒软件或专门清除木马的软件来进行。

3.3 木马的防范

虽然木马程序种类繁多, 隐蔽性强, 攻击者采用各种隐藏技术增加检测木马的难度, 但由于木马是一个程序, 运行后会在注册表、系统进程表、系统文件和日志等中留下蛛丝马迹, 用户可以采用各种方法达到防范木马的目的。

(1) 及时修补软件漏洞, 安装补丁:这样可以保持软件的最新状态, 同时也修复了最新发现的软件漏洞, 也降低了利用系统漏洞植入木马的可能性。

(2) 运行实时监控程序:选用反病毒软件运行实时监控程序, 在运行下载的程序之前应及时使用反病毒软件进行检查, 防止可能发生的攻击。同时还要准备专门的木马清除软件, 用于清除系统中已经存在的木马程序。

(3) 增强风险意识, 不要使用来历不明的软件:许多互联网中的程序或共享软件很可能就是一个木马程序, 在没有进行查杀之前最好不要使用。

(4) 即时发现, 即时清除:在使用电脑的过程中, 注意及时进行系统检查, 一旦发现异常情况应立即进行木马查杀。

参考文献

[1]李斯.浅析木马程序攻击手段及防范技术[J].网络安全技术与应用, 2009 (8)

[2]杨恩镇, 向来生.特洛伊木马防范技术探析[J].网络安全技术与应用, 2010 (10)

[3]张玉清.网络攻击与防御技术[M].北京:清华大学出版社, 2011.

篇3：搞懂特洛伊木马工作原理

关键词：木马；VB；注册表；应用程序

中图分类号：TP39文献标识码：A文章编号：1672-3198（2007）12-0259-02

“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。许多计算机用户特别是新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”之后应该如何清除。关键是得知道“木马”的工作原理，在了解其原理之后，查杀木马也就变得简单易行了。

1 木马分类

（1）远程控制木马。

远程控制木马是数量最多，危害最大，同时知名度也最高的一种木马，它可以让攻击者完全控制被感染的计算机，攻击者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作。

（2）密码发送木马。

密码发送型的木马是专门为了盗取被感染计算机上的密码而编写的，木马一旦被执行，就会自动搜索内存，Cache，临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。

（3）键盘记录木马。

这种特洛伊木马就是记录受害者的键盘敲击并且在LOG文件里查找密码，随着Windows的启动而启动。

（4）DoS攻击木马。

随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。

（5）FTP木马。

这种木马可能是最简单的木马了，其历史悠久，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人用户计算机。

（6）反弹端口型木马。

反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口。

2 木马的工作原理

（1）木马的隐藏。

下面是一个用vb编辑的木马程序，用于隐藏木马。

程序的具体编制操作如下： 

①新建一个工程名命名为Hidden, 在工程hidden中添加模块Modulel，应用程序标题也改为Hidden。 

在模块Module1中加入如下声明： 

Public Declare Function GetCurrentProcessId Lib “kernel32” () As Long 

'获得当前进程ID函数的声明。

Public Declare Function RegisterServiceProcess Lib “kernel32” (ByVal ProcessId As Long, ByVal ServiceFlags As Long) As Long 

'在系统中注册当前进程ID函数的声明。

②在Project1中新建一个窗体Form1，设置Form1的属性： 

form1.Visible=False 

form1.ShowInTaskBar=False 

在代码窗口添加如下代码： 

Private Declare Function GetDriveType Lib “kernel32” Alias “GetDriveTypeA” (ByVal nDrive As String) As Long 

'獲得当前驱动器类型函数的声明。

Private Declare Function GetVolumeInformation Lib “kernel32” Alias “GetVolumeInformationA” (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As String, ByVal nVolumeNameSize As Long, lpVolumeSerialNumber As Long, lpMaximumComponentLength As Long, lpFileSystemFlags As Long, ByVal lpFileSystemNameBuffer As String, ByVal nFileSystemNameSize As Long) As Long 

'获得当前驱动器信息函数的声明：

Private Sub Form_Load() 

Dim drive_no As Long, drive_flag As Long 

Dim drive_chr As String, drive_disk As String 

Dim serial_no As Long, kkk As Long 

Dim stemp3 As String, dflag As Boolean 

Dim strlabel As String, strtype As String，strc As Long

RegisterServiceProcess GetCurrentProcessId, 1 ' 从系统中取消当前进程：

strlabel = String(255, Chr(0)) 

strtype = String(255, Chr(0)) 

stemp3 = “用户c盘序列号” '用户C盘的序列号（十进制）,读者可根据自己情况给出。 

dflag = False 

For drive_no = 0 To 25 

drive_disk = Chr(drive_no + 67) 

drive_chr = drive_disk & “:/” 

drive_flag = GetDriveType(drive_chr) 

If drive_flag = 3 Then 

kkk = GetVolumeInformation(drive_chr, strlabel, Len(strlabel), serial_no, 0, 0, strtype,Len(strtype)) '通过GetVolumeInformation获得磁盘序列号： 

Select Case drive_no 

Case 0 

strc = serial_no 

End Select 

If serial_no = stemp3 Then 

dflag = True 

Exit For 

End If 

End If 

Next drive_no 

If drive_no = 26 And dflag = False Then '非法用户 

GoTo err: 

End If 

MsgBox (“HI，合法用户！”) 

Exit Sub 

err: 

MsgBox (“错误!你的C：盘ID号是” & strc) 

End Sub 

Private Sub Form_Unload(Cancel As Integer) 

RegisterServiceProcess GetCurrentProcessId, 0 '从系统中取消当前程序的进程： 

End Sub

（2）木马的启动。

“木马”的启动方式有很多种，这里我们介绍几种主要的：

①在Win.ini的［windows］字段中有启动命令“load＝”和“run＝”，在一般情况下 “＝”后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:/windows/file.exeload=c:/windows/file.exe

②在system.ini文件中，在［BOOT］下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”。

③在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE/ Software/ Microsoft/ Windows/ CurrentVersion/ Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

参考文献

［1］孙锋. 网络安全与防黑技术［M］. 北京：机械工业出版社，2004.

篇4：木马病毒原理与防治初探

一、对于木马病毒的认识

1、木马是一个计算机的词汇, 但是他却是来源于古希腊。

是指一类伪装成合法程序或隐藏在合法程序中的恶意代码, 这些代码或者执行恶意行为, 为非授权访问系统的特权功能而提供后门。木马实质上只是一个网络客户/服务程序, 是一种基于远程控制的黑客工具, 不需要服务端用户的允许就能获得系统的使用权。木马程序体积比较小, 执行时不会占用太多的资源, 很难停止它的运行, 并且不会在系统中显示出来, 而且在每次系统的启动中都能自动运行。木马程序一次执行后会自动更换文件名、自动复制到其他的文件夹中, 实现服务端用户无法显示执行的动作, 让人难以察觉, 一旦被木马控制, 你的电脑将毫无秘密可言。

2、特洛伊木马作为一种计算机网络病毒, 它对网络环境中计算机信息资源所构成的危害远大于其它病毒。

深入地研究木马技术, 对防范木马攻击, 减少网络破坏有重要的意义。隐藏技术是木马的关键技术之一, 其直接决定木马的生存能力。文章从本地隐藏、通信隐藏和协同隐藏等方面归纳研究木马的隐藏技术, 并对协同隐藏思想作了进一步研究, 提出两种基于协同隐藏思想的新型木马结构:多线程结构和多对多结构。通过实验结果分析, 其木马原型体现了协同隐藏的思想, 提高了木马整体反检测和反查杀能力。

二、木马病毒的性质

1、病毒特性:会修改注册表, 驻留内存、在系统中安装后门程序、开机加载附带的木马。

2、破坏性:

木马病毒的发作要在用户的机器里运行客户端程序, 一旦发作, 就可设置后门, 定时发送该用户的隐私到木马程序制定的地址, 一般同时内置可进入该用户电脑的端口, 并可任意控制计算机进行文件删除、拷贝、改密码等非法操作。

3、隐蔽性, 必须隐藏在系统文件中进行伪装破坏。

自启动性, 木马服务器通常会修改注册表等文件, 使机器启动时加载自己, 甚至将自己与文件进行捆绑, 进入系统。自恢复性, 现在大多木马中具有多重备份, 相互恢复。自动开设端口, 木马可趁用户上网时自动修改开设端口。

三、木马病毒的分类

木马可根据用途和功能划分:一、远程控制木马, 包括远程文件管理、语音功能桌面查看等, 像灰鸽子、冰河等。二、键盘记录木马, 功能比较单一, 可记录键盘操作。密码发送木马, 通过一定手段盗取密码。三、破坏性木马, 感染计算机文件系统导致数据丢失。四、DOS木马和代理木马都是使被控制机成为控制机的工具。

四、木马的启动方法

1、通过“开始程序启动”

2、通过Win.ini文件

3、通过注册表启动

4、通过Autoexec.bat文件, 或winstart.bat, config.sys文件

5、通过System.ini文件

6、通过某特定程序或文件启动

五、木马藏身何处?

不知道自己电脑的木马怎样清除, 最关键的就是要知道木马的工作原理。木马会想尽一切办法隐藏自己。主要途径通常是在任务栏, 它也会悄无声息地启动每次用户启动时自动装载服务器, 如:启动组、WIN.INISYSTEN、注册表等等都是木马藏身地方。在注册表中的情况最复杂, 有的“木马”程序生成的文件很像系统自身文件。

六、如何检测查杀木马?

开始采取措施:第一, 安装杀毒软件和个人防火墙, 并及时升级。第二, 把个人防火墙设置好安全等级, 放置位置程序向外传送数据。第三, 使用安全性较好的浏览器和电子邮件客户端工具。第四, 防止恶意网站在自己电脑上安装不明软件和插件。

区别:木马和病毒都是一种人为程序, 病毒完全就是为了搞破坏, 为了达到某些母的而进行的威慑。木马的作用是赤裸裸的偷盗件事别人和盗取别人的密码数据。达到偷窥别人隐私和取得非法利益的目的。

我的清除方法: (1) 由木马的客户端程序。由先前在WIN.INI SYSTEM.INI注册表中查找可疑文件判断木马的名字和版本。从网上找到相应的客户端程序, 下载并运行, 在客户程序对应的位置摊入计算机地址, 就可与木马建立连接, 再有客户端的接触木马服务器的功能来卸除木马, 端口号可由“NETSTAT-A”命令查出来, 现在多数木马都是有提供卸载功能的。 (2) 手工, 如果不知道木马的名字属于何种程序就要手工清除。用MSCONFIG打开系统配置实用程序对WIN.INI SYSTEM.INI进行编辑, 屏蔽掉非法启动项。用REGEDIT打开注册表, 进行编辑, 在整个注册表中搜索, 并删除木马。由查到的木马程序注册项, 分析木马文件在硬盘中的位置启动到纯MS-DOS状态用DEL命令将木马删除。如果木马是系统或隐藏只读文件, 还得通过"ATTID-S-H-R“将属性改变再删除。

七、研究木马原理的重要性

我认为木马程序使得远端的黑客能够享有系统的控制权, 对网络和计算机系统的安全构成了极大的威胁。“知己知彼, 百战不殆”, 作为专业的网络安全工作者, 如果想找出防御木马攻击的有效途径, 就必须认真地研究木马攻击的技术。在研究木马攻防的过程中, 如果能够理清木马攻击手段的发展脉络, 就有可能进一步找出木马发展的趋势, 并提早思考应对策略。如传统的木马一般直接利用TCP/IP协议进行控制端和被控制端通信, 这种通信可以使用snifer工具监听。分析该通信的特征就可以从中寻找木马的蛛丝马迹。基于网络的木马入侵探测系统的工作原理正是通过对网络上传输的实际分组的内容进行测试、对分组结构进行识别来分析网络中使用的协议并从其中抽取木马相关信息。一旦木马开发者利用诸如隐蔽信道之类的技术使得信道不再具有明显的特征, 对此类检测手段将产生致命性的打击。网络安全工作者必须未雨绸缪, 对此先行研究以期及早提出应对方案。

八、木马在未来的发展方向

1、传统的TCP端对端连接会被抛弃, 未来木马要么采用非TCP/UDP的IP族数据包, 如ICMP方式, 增加了查杀的难度, 它们十分隐蔽, 如果不对数据包详细分析, 很难查出木马入侵;要么采用寄生TCP端口 (例如:我们进行TCP操作时打开21号端口, 当我们进行FTP操作时, 木马也可同时通过21号端口与服务端进行连接) , 这样木马传输的数据包和正常的数据包很难区分开来。

2、在传播方式上, 未来木马会和病毒一样, 采用交叉式迅速大规模扩散, 并且运行方式越来越隐蔽。

3、采取虚拟设备驱动程序 (VXD) 及动态链接库 (DLL) 技术, 伪装隐藏方式更隐蔽。据悉, 目前已有采用此种方式编写的木马。采用这种方式编写的木马与一般的木马不同, 它基本上摆脱了原有的木马模式, 而采用DLL动态嵌入远程线程技术。这样做的结果是:系统中没有增加新的文件, 不需要打开新的端口, 没有新的进程。在正常运行时木马几乎没有任何的症状, 而一旦木马的控制端向被控端发出特定的信息后, 隐蔽的程序就立即开始动作。