木马病毒隐藏的各种方法

sunxin777

（1）将自己伪装成系统文件。
木马病毒会想方设法将自己伪装成“不起眼”的文件或“正规”的系统文件，并把自己隐藏在系统文件夹中，与系统文件混在一起。
（2）将木马病毒的服务端伪装成系统服务。
当用户的计算机被木马病毒入侵并被远程攻击或控制的时候，往往会出现系统运行变慢或某些应用程序无法正常运行等情况。这种情况的发生很容易被用户察觉。通常情况下，用户会按下Ctrl+Alt+Del调用任务管理器查看进程。木马病毒会将自己伪装成“系统服务”，从而逃过用户的检查。
(3）将木马程序加载到系统文件中。
win.ini和system.ini是两个比较重要的系统文件。在win.ini有两个重要的加载项——
“run=”和“load=”，它们分别担负着系统启动时自动运行和加载程序的功能。在默认情况下，这两项的值都应该为空。例如，run=c:windows abc.exe load=c:windows abc.exe，那么这个可疑的abc.exe 很可能是木马程序。 还有的木马病毒会隐藏在system.ini内[BOOT]子项中的“Shell”启动项中，将“Explorer”变成病毒自己的程序名，从而在启动时伺机发作。
（4）充分利用端口隐藏。

每一台计算机都默认有 65 536个端口，我们常用的端口不到默认值的1/3。由于占用常规端口会造成系统异常而引起用户警觉，因此病毒通常将自己隐藏在一些不常用的端口中，一般是1024以上的高端口。
（5）隐藏在注册表中。
注册表中含有“run”的启动项也是木马病毒经常隐藏的地方。如，HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion下以“run”开头的键值。
（6）自动备份。
为了避免在被发现之后清除，有些木马会自动进行备份。这些备份的文件在木马被清除之后激活，并再次感染系统。
（7）木马程序与其他程序绑定。

现在，很多木马利用了一种称为文件捆绑机的工具，如exe-binder，这种工具可以把任意两个文件捆绑在一起，在运行时两个文件可以同时运行，但前台只能看见一个程序。
（8）“穿墙术”。
病毒启动后会释放一个动态库文件，然后将这个动态库文件插入系统的进程体内运行，而病毒的绝大部分功能全部包括在这个动态库中，之后病毒的进程退出。这样在系统中就找不到病毒进程了，但是实际上很多的系统进程内部都有病毒模块在运行。
（9）利用远程线程的方式隐藏。
远程线程是Windows为程序开发人员提供的一种系统功能，这种功能允许一个进程（进程A）在其他的进程（B）空间中分配内存，并且将自己的数据复制到其中，然后将复制的数据作为一个线程启动，这样进程B中就多出了一个新的线程——病毒线程，而且操作系统会认为这个病毒线程就是进程B的线程，线程所作的任何操作都会被记录为进程B的操作，这也是穿墙术的一种实现方法。
（10）通过拦截系统功能调用的方式来隐藏自己。
（11）通过先发制人的方法攻击杀毒软件。

水木

好像这帖在那里见过，谢谢

hongshao

了解下。。。

jackxman4

还是太深奥了点

1e3e

好像是剑盟转过来的吧？

wanchuanyi1982

谢谢分享