[[360006]]

微信公眾號：計算機與網絡安全

ID：Computer-network

1、計算機病毒的定義與特征

計算機病毒(Computer Virus)是人為制造的、能夠進行自我復制的、對計算機資源具有破壞作用的一組程序或指令的集合，這是計算機病毒的廣義定義。計算機病毒把自身附著在各種類型的文件上或寄生在存儲媒介中，能對計算機系統和網絡進行各種破壞，同時能夠自我復制和傳染。

在1994年2月18日公布的《中華人民共和國計算機信息系統安全保護條例》中，計算機病毒被定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。”

計算機病毒與生物病毒一樣，有其自身的病毒體(病毒程序)和寄生體(宿主)。所謂感染或寄生，是指病毒將自身嵌入到宿主指令序列中。寄生體為病毒提供一種生存環境，是一種合法程序。當病毒程序寄生于合法程序之后，病毒就成為了程序的一部分，并在程序中占有合法地位。這樣，合法程序就成為了病毒程序的寄生體，或稱為病毒程序的載體。病毒可以寄生在合法程序的任何位置。病毒程序一旦寄生于合法程序，就會隨合法程序的執行而執行，隨它的生存而生存，隨它的消失而消失。為了增強活力，病毒程序通常會寄生于一個或多個被頻繁調用的程序中。

(1)病毒特征

計算機病毒種類繁多、特征各異，但一般具有自我復制能力、感染性、潛伏性、觸發性和破壞性。計算機病毒的基本特征介紹如下。

1)計算機病毒的可執行性

計算機病毒與合法程序一樣，是一段可執行程序。計算機病毒在運行時會與合法程序爭奪系統的控制權。例如，病毒一般在運行其宿主程序之前先運行自己，通過這種方法搶奪系統的控制權。計算機病毒只有在計算機內運行時，才具有傳染性和破壞性等活性。計算機病毒一經在計算機上運行，在同一臺計算機內，病毒程序與正常系統程序就會爭奪系統的控制權，往往會造成系統崩潰，導致計算機癱瘓。

2)計算機病毒的傳染性

計算機病毒的傳染性是指病毒具有把自身復制到其他程序和系統的能力。計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。計算機病毒一旦進入計算機并得以執行，就會搜尋符合其傳染條件的其他程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。而被感染的目標又成了新的傳染源，當它被執行以后，便又會去感染另一個可以被傳染的目標。計算機病毒可以通過各種可能的渠道(如U盤、網絡)等去感染其他的計算機。

3)計算機病毒的非授權性

計算機病毒未經授權而執行。一般正常的程序由用戶調用，再由系統分配資源，進行完成用戶交給的任務，其目的對用戶是可見的、透明的。而病毒隱藏在正常程序中，其在系統中的運行流程一般是：做初始化工作→尋找傳染目標→竊取系統控制權→完成傳染破壞活動，其目的對用戶是未知的、未被允許的。

4)計算機病毒的隱蔽性

計算機病毒通常附在正常程序中或磁盤中較隱蔽的地方，也有個別的病毒以隱含文件形式出現，目的是不讓用戶發現其存在。如果不經過代碼分析，病毒程序與正常程序是不容易被區分的，而一旦病毒發作的影響表現出來，就往往已經給計算機系統造成了不同程度的破壞。正是由于計算機病毒的隱蔽性，其才得以在用戶沒有察覺的情況下擴散并游蕩于世界上百萬臺計算機中。

5)計算機病毒的潛伏性

一個編制精巧的計算機病毒程序進入系統之后一般不會馬上發作。潛伏性越好，其在系統中存在的時間就會越長，病毒的傳染范圍就會越大。潛伏性是指不用專用檢測程序無法檢查出病毒程序，此外其還具有一種觸發機制，不滿足觸發條件時，計算機病毒只傳染而不做破壞，只有滿足觸發條件時，病毒才會被激活并使計算機出現中毒癥狀。

6)計算機病毒的破壞性

計算機病毒一旦運行，就會對計算機系統造成不同程度的影響，輕者降低計算機系統的工作效率、占用系統資源(如占用內存空間、磁盤存儲空間以及系統運行時間等)，重者導致數據丟失、系統崩潰。計算機病毒的破壞性決定了病毒的危害性。

7)計算機病毒的寄生性

病毒程序會嵌入宿主程序中，依賴于宿主程序的執行而生存，這就是計算機病毒的寄生性。病毒程序在嵌入宿主程序中后，一般會對宿主程序進行一定的修改，這樣，宿主程序一旦執行，病毒程序就會被激活，從而可以進行自我復制和繁衍。

8)計算機病毒的不可預見性

從對病毒的檢測方面來看，病毒還有不可預見性。不同種類的病毒的代碼千差萬別，但有些操作是共有的(如駐內存、改中斷等)。隨著計算機病毒新技術的不斷涌現，對未知病毒的預測難度也在不斷加大，這也決定了計算機病毒的不可預見性。事實上，反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度。

9)計算機病毒的誘惑欺騙性

某些病毒常以某種特殊的表現方式，引誘、欺騙用戶不自覺地觸發、激活病毒，從而發揮其感染、破壞功能。某些病毒會通過引誘用戶點擊電子郵件中的相關網址、文本、圖片等來激活自身并進行傳播。

(2)病毒分類

根據傳播和感染的方式，計算機病毒主要有以下幾種類型。

1)引導型病毒

引導型病毒(Boot Strap Sector Virus)藏匿在磁盤片或硬盤的第一個扇區。因為DOS的架構設計，病毒可以在每次開機時操作系統還未被加載之前就被加載到內存中，這個特性使病毒可以完全控制DOS的各類中斷，并且擁有更大的能力進行傳染與破壞。

2)文件型病毒

文件型病毒(File Infector Virus)通常寄生在可執行(如.com、.exe等)文件中。當這些文件被執行時，病毒程序就會跟著被執行。文件型病毒根據傳染方式的不同，又分為非常駐型以及常駐型兩種。非常駐型病毒將自己寄生在.com、.exe或.sys文件中。當這些中毒的程序被執行時，它們就會嘗試將病毒傳染給另一個或多個文件。常駐型病毒寄生在內存中，其行為就是寄生在各類低階功能(如中斷等)中，由于這個原因，常駐型病毒往往會對磁盤造成更大的傷害。一旦常駐型病毒進入內存，只要執行文件，其就會對內存進行感染。

3)復合型病毒

復合型病毒(Multi-Partite Virus)兼具引導型病毒和文件型病毒的特性。復合型病毒可以傳染.com、.exe文件，也可以傳染磁盤的引導區。由于這個特性，這種病毒具有相當程度的傳染力。一旦發病，其破壞程度將會非常可怕。

4)宏病毒

宏病毒(Macro Virus)主要是利用軟件本身所提供的宏能力來設計病毒，所以凡是具有宏能力的軟件都有存在宏病毒的可能，如Word、Excel、Powerpoint等。

2、病毒攻擊原理分析

以引導型病毒為例來分析病毒的攻擊原理。

想要了解引導型病毒的攻擊原理，首先要了解引導區的結構。硬盤有兩個引導區，在0面0道1扇區的稱為主引導區，內有主引導程序和分區表，主引導程序查找激活分區，該分區的第一個扇區即為DOS BOOT SECTOR。絕大多數病毒可以感染硬盤主引導扇區和軟盤DOS引導扇區。

盡管Windows操作系統使用廣泛，但計算機在被引導至Windows界面之前，還是需要基于傳統的DOS自舉過程，從硬盤引導區讀取引導程序。圖1和圖2分別描述了正常的DOS自舉過程和帶病毒的DOS自舉過程。

 

 

 

 

圖1 正常的DOS自舉過程

 

 

 

 

圖2 帶病毒的DOS自舉過程

正常的DOS啟動過程如下：

① 通電開機后，進入系統的檢測程序并執行該程序，以對系統的基本設備進行檢測;

② 檢測正常后，從系統盤0面0道1扇區(即邏輯0扇區)讀Boot引導程序到內存的0000:7C00處;

③ 轉入Boot執行;

④ Boot判斷是否為系統盤，如果不是，則給出提示信息;否則，讀入并執行兩個隱含文件，并將COMMAND.com裝入內存;

⑤ 系統正常運行，DOS啟動成功。

如果系統盤感染了病毒，則DOS的啟動將會是另一種情況，其過程如下：

① 將Boot區中的病毒代碼首先讀入內存的0000:7C00處;

② 病毒將自身的全部代碼讀入內存的某一安全地區，常駐內存，并監視系統的運行;

③ 修改INT 13H中斷服務處理程序的入口地址，使之指向病毒控制模塊并執行;因為任何一種病毒感染軟盤或者硬盤時，都離不開對磁盤的讀寫操作，所以修改INT 13H中斷服務程序的入口地址是一項必不可少的操作;

④ 病毒程序全部被讀入內存后，再讀入正常的Boot內容到內存的0000:7C00處，并進行正常的啟動過程;

⑤ 病毒程序伺機(準備隨時)感染新的系統盤或非系統盤。

如果發現有可攻擊的對象，則病毒要進行下列工作：

① 將目標盤的引導扇區讀入內存，并判別該盤是否感染了病毒;

② 當滿足傳染條件時，將病毒的全部或部分寫入Boot區，把正常的磁盤引導區程序寫入磁盤的特定位置;

③ 返回正常的INT 13H中斷服務處理程序，完成對目標盤的傳染。

3、木馬的發展與分類

木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠程控制用戶的計算機。木馬全稱特洛伊木馬，其名稱源于古希臘神話中的《特洛伊木馬記》。在公元前12世紀，希臘向特洛伊城宣戰，交戰了10年也沒有取得勝利。最后，希臘軍隊佯裝撤退，并在特洛伊城外留下很多巨大的木馬。這些木馬是空心的，里面藏了希臘最好的戰士。在希臘人佯裝撤走后，特洛伊人把這些木馬作為戰利品拉進了城。當晚，希臘戰士從木馬中出來并與城外的希臘軍隊里應外合攻下特洛伊城，這就是特洛伊木馬名稱的由來。因此，特洛伊木馬一般會偽裝成合法程序植入系統，進而對系統安全構成威脅。完整的木馬程序一般由兩部分組成，一是服務器被控制端程序，二是客戶端控制端程序。黑客主要利用植入目標主機的客戶端控制端程序來控制目標主機。

(1)木馬技術的發展

從木馬技術的發展來看，其基本上可分為4代。

第1代木馬功能單一，只是實現簡單的密碼竊取與發送等，在隱藏和通信方面均無特別之處。

第2代木馬在隱藏、自啟動和操縱服務器等方面有了很大進步。國外具有代表性的第2代木馬有BOZ000和Sub7。冰河可以說是國內木馬的典型代表之一，它可以對注冊表進行操作以實現自動運行，并能通過將程序設置為系統進程來進行偽裝隱藏。

第3代木馬在數據傳遞技術上有了根本性的進步，出現了ICMP等特殊報文類型傳遞數據的木馬，增加了查殺的難度。這一代木馬在進程隱藏方面也做了很大的改進，并采用了內核插入式的嵌入方式，利用遠程插入線程技術嵌入DLL線程，實現木馬程序的隱藏，達到了良好的隱藏效果。

第4代木馬實現了與病毒緊密結合，利用操作系統漏洞，直接實現感染傳播的目的，而不必像以前的木馬那樣需要欺騙用戶主動激活。具有代表性的等4代木馬有最近新出現的磁碟機和機器狗木馬等。

(2)木馬程序的分類

根據木馬程序對計算機的具體動作方式，可以把現在的木馬程序分為以下5類。

1)遠程控制型

遠程控制型木馬是現今最廣泛的特洛伊木馬，這種木馬具有遠程監控的功能，使用簡單，只要被控制主機聯入網絡并與控制端客戶程序建立網絡連接，就能使控制者任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任何事情，如鍵盤記錄、文件上傳/下載、屏幕截取、遠程執行等。

2)密碼發送型

密碼發送型木馬的目的是找到所有的隱藏密碼，并且在用戶不知情的情況下把它們發送到指定的郵箱。在大多數情況下，這類木馬程序不會在每次Windows系統重啟時都自動加載，它們大多數使用25端口發送電子郵件。

3)鍵盤記錄型

鍵盤記錄型木馬非常簡單，它們只做一件事情，就是記錄用戶的鍵盤敲擊，并且在LOG文件里進行完整的記錄。這種木馬程序會隨著Windows系統的啟動而自動加載，并能感知受害主機在線，且記錄每一個用戶事件，然后通過郵件或其他方式將用戶事件發送給控制者。

4)毀壞型

大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機上所有的.ini或.exe文件，甚至遠程格式化受控主機硬盤，使受控主機上的所有信息都受到破壞。總而言之，該類木馬的目標只有一個，就是盡可能地毀壞受感染系統，使其癱瘓。

5)FTP型

FTP型木馬會打開被控主機系統的21號端口(FTP服務所使用的默認端口)，使每個人都可以用一個FTP客戶端程序無需密碼就能連接到被控主機系統，進而進行最高權限的文件上傳和下載，竊取受害系統中的機密文件。

根據木馬的網絡連接方向，可以將木馬分為以下兩類。

1. 正向連接型：發起連接的方向為控制端到被控制端，這種技術被早期的木馬廣泛采用，其缺點是不能透過防火墻發起連接。
2. 反向連接型：發起連接的方向為被控制端到控制端，其出現主要是為了解決從內向外不能發起連接這一問題。其已經被較新的木馬廣泛采用。

根據木馬使用的架構，木馬可分為4類。

1. C/S架構：這種架構是普通的服務器、客戶端的傳統架構，一般將客戶端作為控制端，服務器端作為被控制端。在編程實現的時候，如果采用反向連接的技術，那么客戶端(也就是控制端)就要采用socket編程的服務器端的方法，而服務端(也就是被控制端)就要采用Socket編程的客戶端的方法。
2. B/S架構：這種架構是普通的網頁木馬所采用的方式。通常在B/S架構下，服務器端被上傳了網頁木馬，控制端可以使用瀏覽器來訪問相應的網頁，進而達到對服務器端進行控制的目的。
3. C/P/S架構：這里的P意為Proxy，也就是在這種架構中使用了代理。當然，為了實現正常的通信，代理也要由木馬作者編程實現，進而才能實現一個轉換通信。這種架構的出現，主要是為了適應一個內部網絡對另外一個內部網絡的控制。但是，這種架構的木馬目前還沒有被發現。
4. B/S/B架構：這種架構的出現，也是為了適應一個內部網絡對另外一個內部網絡的控制。當被控制端與控制端都打開瀏覽器瀏覽這個服務器上的網頁時，一端就變成了控制端，而另一端就變成了被控制端。這種架構的木馬已經在國外出現。

根據木馬存在的形態的不同，可將木馬分為以下幾種：

• 傳統EXE程序文件木馬：這是最常見、最普通的木馬，即在目標計算機中以.exe文件運行的木馬。
• 傳統DLL/VXD木馬：此類木馬自身無法運行，它們須利用系統啟動或其他程序來運行，或使用Rundi132.exe來運行。
• 替換關聯式DLL木馬：這種木馬本質上仍然是DLL木馬，但它卻會替換某個系統的DLL文件并將它改名。
• 嵌入式DLL木馬：這種木馬利用遠程緩沖區溢出的入侵方式，從遠程將木馬代碼寫入目前正在運行的某個程序的內存中，然后利用更改意外處理的方式來運行木馬代碼。這種技術在操作上難度較高。
• 網頁木馬：即利用腳本等設計的木馬。這種木馬會利用IE等的漏洞嵌入目標主機，傳播范圍廣。
• 溢出型木馬：即將緩沖區溢出攻擊和木馬相結合的木馬，其實現方式有很多特點和優勢，屬于一種較新的木馬類型。

此外，根據隱藏方式，木馬可以分為以下幾類：本地文件隱藏、啟動隱藏、進程隱藏、通信隱藏、內核模塊隱藏和協同隱藏等。隱藏技術是木馬的關鍵技術之一，直接決定木馬的生存能力。木馬與遠程控制程序的主要不同點就在于它的隱蔽性，木馬的隱蔽性是木馬能否長期存活的關鍵。

(3)木馬的功能

木馬的功能可以概括為以下5種。

1)管理遠程文件

對被控主機的系統資源進行管理，如復制文件、刪除文件、查看文件、以及上傳/下載文件等。

2)打開未授權的服務

為遠程計算機安裝常用的網絡服務，令它為黑客或其他非法用戶服務。例如，被木馬設定為FTP文件服務器后的計算機，可以提供FTP文件傳輸服務、為客戶端打開文件共享服務，這樣，黑客就可以輕松獲取用戶硬盤上的信息。

3)監視遠程屏幕

實時截取屏幕圖像，可以將截取到的圖像另存為圖片文件;實時監視遠程用戶目前正在進行的操作。

4)控制遠程計算機

通過命令或遠程監視窗口直接控制遠程計算機。例如，控制遠程計算機執行程序、打開文件或向其他計算機發動攻擊等。

5)竊取數據

以竊取數據為目的，本身不破壞計算機的文件和數據，不妨礙系統的正常工作。它以系統使用者很難察覺的方式向外傳送數據，典型代表為鍵盤和鼠標操作記錄型木馬。

4、木馬攻擊原理

木馬程序是一種客戶機服務器程序，典型結構為客戶端/服務器(Client/Server，C/S)模式，服務器端(被攻擊的主機)程序在運行時，黑客可以使用對應的客戶端直接控制目標主機。操作系統用戶權限管理中有一個基本規則，就是在本機直接啟動運行的程序擁有與使用者相同的權限。假設你以管理員的身份使用機器，那么從本地硬盤啟動的一個應用程序就享有管理員權限，可以操作本機的全部資源。但是從外部接入的程序一般沒有對硬盤操作訪問的權限。木馬服務器端就是利用了這個規則，植入目標主機，誘導用戶執行，獲取目標主機的操作權限，以達到控制目標主機的目的的。

木馬程序的服務器端程序是需要植入到目標主機的部分，植入目標主機后作為響應程序。客戶端程序是用來控制目標主機的部分，安裝在控制者的計算機上，它的作用是連接木馬服務器端程序，監視或控制遠程計算機。

典型的木馬工作原理是：當服務器端程序在目標主機上執行后，木馬打開一個默認的端口進行監聽，當客戶端(控制端)向服務器端(被控主機)提出連接請求時，被控主機上的木馬程序就會自動應答客戶端的請求，服務器端程序與客戶端建立連接后，客戶端(控制端)就可以發送各類控制指令對服務器端(被控主機)進行完全控制，其操作幾乎與在被控主機的本機操作的權限完全相同。

木馬軟件的終極目標是實現對目標主機的控制，但是為了實現此目標，木馬軟件必須采取多種方式偽裝，以確保更容易地傳播，更隱蔽地駐留在目標主機中。

下面介紹木馬的種植原理和木馬的隱藏。

(1)木馬種植原理

木馬程序最核心的一個要求是能夠將服務器端程序植入目標主機。木馬種植(傳播)的方式一般包括以下3種。

1)通過電子郵件附件夾帶

這是最常用也是比較有效的一種方式。木馬傳播者將木馬服務器端程序以電子郵件附件的方式附加在電子郵件中，針對特定主機發送或漫無目的地群發，電子郵件的標題和內容一般都非常吸引人，當用戶點擊閱讀電子郵件時，附件中的程序就會在后臺悄悄下載到本機。

2)捆綁在各類軟件中

黑客經常把木馬程序捆綁在各類所謂的補丁、注冊機、破解程序等軟件中進行傳播，當用戶下載相應的程序時，木馬程序也會被下載到自己的計算機中，這類方式的隱蔽度和成功率較高。

3)網頁掛馬

網頁掛馬是在正常瀏覽的網頁中嵌入特定的腳本代碼，當用戶瀏覽該網頁時，嵌入網頁的腳本就會在后臺自動下載其指定的木馬并執行。其中網頁是網頁木馬的核心部分，特定的網頁代碼使網頁被打開時木馬能隨之下載并執行。網頁掛馬大多利用瀏覽器的漏洞來實現，也有利用ActiveX控件或釣魚網頁來實現的。

(2)木馬程序隱藏

木馬程序為了能更好地躲過用戶的檢查，以悄悄控制用戶系統，必須采用各種方式將其隱藏在用戶系統中。木馬為了達到長期隱藏的目的，通常會同時采用多種隱藏技術。木馬程序隱藏的方式有很多，主要包括以下4類：

① 通過將木馬程序設置為系統、隱藏或是只讀屬性來實現隱藏;

② 通過將木馬程序命名為和系統文件的名稱極度相似的文件名，從而使用戶誤認為其是系統文件而忽略之;

③ 將木馬程序存放在不常用或難以發現的系統文件目錄中;

④ 將木馬程序存放的區域設置為壞扇區的硬盤磁道。

(3)木馬啟動隱藏

木馬程序在啟動時必須讓操作系統或殺毒軟件無法發現自身才能駐留系統。木馬程序啟動的隱藏方式介紹如下。

1)文件偽裝

木馬最常用的文件隱藏方式是將木馬文件偽裝成本地可執行文件。例如，木馬程序經常會將自己偽裝成圖片文件，修改其圖標為Windows默認的圖片文件圖標，同時修改木馬文件擴展名為.jpg、.exe等，由于Windows默認設置不顯示已知的文件后綴名，因此文件將會顯示為.jpg，當用戶以正常圖片文件打開并瀏覽其時就會啟動木馬程序。

2)修改系統配置

利用系統配置文件的特殊作用，木馬程序很容易隱藏在系統啟動項中。例如，Windows系統配置文件MSCONFIG.sys中的系統啟動項system.ini是眾多木馬的隱藏地。Windows安裝目錄下的system.ini[boot]字段中，正常情況下有boot=“Explorer.exe”，如果其后面有其他的程序，如boot=“Explorer.exe file.exe”，則這里的file.exe就有可能是木馬服務端程序。

3)利用系統搜索規則

Windows系統搜尋一個不帶路徑信息的文件時遵循“從外到里”的規則，它會由系統所在的盤符的根目錄開始向系統目錄深處遞進查找，而不是精確定位。這就意味著，如果有兩個同樣名稱的文件分別放在“C:\”和“C:\WINDOWS”下時，搜索會執行C:\下的程序，而不是C:\WINDOWS下的程序。這樣的搜尋規則就給木馬提供了一個機會，木馬可以把自己改為系統啟動時必定會調用的某個文件，并復制到比原文件的目錄淺一級的目錄里，操作系統就會執行這個木馬程序，而不是正常的那個程序。若要提防這種占用系統啟動項而做到自動運行的木馬，則用戶必須了解自己的計算機里所有正常的啟動項信息。

4)替換系統文件

木馬程序會利用系統里的那些不會危害到系統正常運行而又會被經常調用的程序文件，如輸入法指示程序。木馬程序會替換掉原來的系統文件，并把原來的系統文件名改成只有木馬程序知道的一個生僻文件名。只要系統調用那個被替換的程序，木馬就能繼續駐留內存。木馬程序作為原來的程序被系統啟動時，會獲得一個由系統傳遞來的運行參數，此時，木馬程序就把這個參數傳遞給被改名的程序執行。

(4)木馬進程隱藏

木馬程序運行后的進程隱藏有兩種情況：一種是木馬程序的進程存在，只是不出現在進程列表里，采用APIHOOK技術攔截有關系統函數的調用以實現運行時的隱藏;另一種是木馬不以一個進程或者服務的方式工作，而是將其核心代碼以線程或DLL的方式注入合法進程，用戶很難發現被插入的線程或DLL，從而達到木馬隱藏的目的。

在Windows系統中常見的隱藏方式有注冊表DLL插入、特洛伊DLL、動態嵌入技術、CreateProcess插入和調試程序插入等。

(5)木馬通信時的信息隱藏

木馬運行時需要通過網絡與外機通信，以獲取外機的控制命令或向外機發送信息。木馬通信時的信息隱藏主要包括通信內容、流量、信道和端口的隱藏。

木馬常用的通信內容隱藏方法是對通信內容進行加密。通信信道的隱藏一般采用網絡隱蔽通道技術。在TCP/IP族中，有許多冗余信息可用于建立網絡隱蔽通道。木馬可以利用這些網絡隱蔽通道突破網絡安全機制。比較常見的有：ICMP畸形報文傳遞、HTTP隧道技術、自定義 TCP/UDP報文等。木馬采用網絡隱蔽通道技術時，如果選用一般的安全策略都會允許的端口(如80端口)進行通信，則可輕易穿透防火墻和避過入侵檢測系統等安全機制的檢測，從而獲得較強的隱蔽性。通信流量的隱藏一般采用監控系統網絡通信的方式，當監測到系統中存在其他通信流量時，木馬程序就會啟動通信;當不存在其他通信流量時，木馬程序就會處于監聽狀態，等待其他通信開啟。

(6)木馬隱蔽加載

木馬隱蔽加載是指通過修改虛擬設備驅動程序(VxD)或動態鏈接庫(DLL)來加載木馬。這種方法基本上擺脫了原有的木馬模式——監聽端口，而采用了替代系統功能的方法(改寫VxD或DLL文件)：木馬用修改后的DLL替換系統原來的DLL，并對所有的函數調用進行過濾。對于常用函數的調用，木馬會使用函數轉發器將其直接轉發給被替換的系統DLL;對于一些事先約定好的特殊情況，木馬會自動執行。一般情況下，DLL只是進行監聽，一旦發現控制端的請求，其就會激活自身。這種木馬沒有增加新的文件，不需要打開新的端口，沒有新的進程，使用常規的方法無法監測到。在正常運行時，木馬幾乎沒有任何蹤跡，只有在木馬的控制端向被控制端發出特定的信息后，隱藏的木馬程序才會開始運行。