以前，我曾認(rèn)為只要不隨便運(yùn)行網(wǎng)友發(fā)來(lái)的文件就不會(huì)中病毒或木馬，但后來(lái)出現(xiàn)了利用漏洞傳播的沖擊波、震蕩波;以前，我曾認(rèn)為不上小網(wǎng)站就不會(huì)中網(wǎng)頁(yè)木馬，但后來(lái)包括國(guó)內(nèi)某知名游戲網(wǎng)站在內(nèi)的多個(gè)大網(wǎng)站均在其首頁(yè)被黑客掛上了木馬。從此，我知道:安全，從來(lái)沒(méi)有絕對(duì)的。

　　雖然沒(méi)有絕對(duì)的安全，但如果能知已知彼，了解木馬的隱藏手段，對(duì)于木馬即使不能百戰(zhàn)百勝，也能做到及時(shí)發(fā)現(xiàn)，使損失最小化。那么，木馬究竟是如何躲在我們的系統(tǒng)中的呢？

　　最基本的隱藏:不可見(jiàn)窗體＋隱藏文件

　　木馬程序無(wú)論如何神秘，但歸根究底，仍是Win32平臺(tái)下的一種程序。Windows下常見(jiàn)的程序有兩種:

　　1.Win32應(yīng)用程序(Win32 Application)，比如QQ、Office等都屬于此行列。

　　2.Win32控制臺(tái)程序(Win32 Console)，比如硬盤(pán)引導(dǎo)修復(fù)程序FixMBR。

　　其中，Win32應(yīng)用程序通常會(huì)有應(yīng)用程序界面，比如系統(tǒng)中自帶的“計(jì)算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序，但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況，如木馬使用者與被害者聊天的窗口)，并且將木馬文件屬性設(shè)置為“隱藏”，這就是最基本的隱藏手段，稍有經(jīng)驗(yàn)的用戶(hù)只需打開(kāi)“任務(wù)管理器”，并且將“文件夾選項(xiàng)”中的“顯示所有文件”勾選即可輕松找出木馬(見(jiàn)圖1)，于是便出現(xiàn)了下面要介紹的“進(jìn)程隱藏”技術(shù)。