奇虎360安全中心最近发布的《互联网不安全报告》中披露，2007年上半年奇虎共截获病毒、恶意软件及木马程序共计168135个，其中木马程序占据了80%的比例。比如著名的“灰鸽子”木马，仅不完全统计就有大概6万个变种。 可见在现今阶段的互联网，木马的危害已经占据了主导。

谈“马”色变并不是空穴来风，你可能觉得自己已经安装了最新版本的杀毒软件和防火墙，自认铜墙铁壁、百毒不侵。可要命的变种木马程序让病毒库防不胜防。毕竟是先有病毒，再有病毒库更新。目前各大杀毒公司纷纷进入主动杀毒/防御领域，正是因为大家已经意识到面对最新木马病毒的查杀，时间是最关键的因素！

那现阶段呢？我们这些饱受侵害的用户该做些什么呢？其实木马发展到现在，最重要的因素就是其很好的利用了社会工程学原理，在伪装和侵入方式上下足了功夫。这对于木马的整个入侵程序来说最为重要——换句话说：你需要运行木马，才能让自己的计算机中招！今天就针对这一环节，分析当前木马惯用伎俩，不用杀毒软件也能分辨出木马程序。

木马攻击原理

木马变种再多，功能再强大，整个木马病毒的体系也只分为两大部分：客户端和服务端。一般情况下黑客会使用客户端编译出一个负责其自己要求的服务器端，倘若有人运行了这个服务器端程序，则他的电脑就真的成为了黑客的服务器，任其宰割了。当然，杀毒软件和电脑使用者不会这么“笨”，它们可以通过病毒的关键码和形态上分出该程序的性质，所以黑客就需要对木马进行包装和加强——也就是伪装和变种。

特别提示：现在大部分的木马都已经采用了反弹式连接，普通防火墙很难再防御住这些木马，这主要是由于防火墙针对外部连接比较敏感，而对于内部向外连接的审查力度却小很多造成的。

原程序伪装

这种属于木马伪装中最基本的方式。以灰鸽子为例，在服务端配置的安装选项里可以更改程序的图标和释放路径，在启动设置中能够自定义注册表和服务的名称，甚至可以关联到iexplore.exe，让木马程序随时整装待命。

【责任编辑 彭凡】