1.在任务栏里隐藏

　　这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

　　2.在任务管理器里隐藏

　　查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。

　　因此，希望通过按Ctrl+Alt+Del发现木马是不大现实的。

　　3.端口

　　一台机器有65536个端口，你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势;当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么?

　　4.隐藏通讯

　　隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。

　　5.隐藏隐加载方式

　　木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不做任何伪装，就告诉你这是木马，你会运行它才怪呢。而随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，Java Script、VBScript、ActiveX.XLM....几乎WWW每一个新功能部会导致木马的快速进化。

　　6.最新隐身技术

　　在Win9x时代，简单地注册为系统进程就可以从任务栏中消失，可是在Windows2000盛行的今天。这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。运行(太搞笑了，木马被客户端控制)。使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道，在NT下，Administrator是可以看见所有进程的)。在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。

　　这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。 

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页