病毒和木馬的隱藏手段
　　一. 無處可尋的病毒

　　曾經有一個朋友在一家公司擔任計算機維護員的工作，有天主任把他找去維修一臺出現異常的計算機，這臺計算機上什么程序都未運行，可是機內安裝的卡巴斯基殺毒軟件卻在不停的提示在系統目錄發現特洛伊木馬程序，而后自動進行查殺，可是剛查殺完畢就又跳出了同樣的提示，一旦斷開網絡連接，這個現象立刻終止，再連接網絡，立即再次提示發現特洛伊木馬程序……如此反復循環，最終導致任何正常工作都無法進行。由于機器上儲存有大量重要資料和數據庫，如果要重裝系統，后面的環境恢復工作必將十分龐大，主任通過殺毒軟將無法解決，只好把所有希望都寄托在這名小伙子身上了。

　　通過詳細的檢測，很快就清理了一堆惡意程序和流氓軟件，在經過幾次慎重檢查所有涉及的啟動項都沒有異常程序后，再次把網絡給連接上了，正欲離開辦公室，身后卡巴斯基發現病毒的嘶叫聲猛的嚇了他一跳，怎么還有病毒……

　　二. 永無休止的躲藏

　　隱藏是病毒的天性，在業界對病毒的定義里，“隱蔽性”就是病毒的一個最基本特征，任何病毒都希望在被感染的計算機中隱藏起來不被發現，因為病毒都只有在不被發現的情況下，才能實施其破壞行為。為了達到這個目的，許多病毒使用了各種不同的技術來躲避反病毒軟件的檢驗，這樣就產生了各種各樣令普通用戶頭痛的病毒隱藏形式。由于木馬后門的行為特征已具備病毒條件，因此本文將木馬后門也統一歸納為病毒來描述。

　　開山鼻祖：隱藏窗口 & 隱藏進程 & 隱藏文件
　　在計算機流行的早期，計算機病毒和木馬后門等危害程序在普通用戶范圍的普及并不是很廣泛，這個時期的用戶群對計算機和網絡安全的防范意識可以說是幾乎沒有的，普通用戶的系統也多為脆弱的Windows 95/98系列和電話線撥號的慢速網絡，而那一段時間正是外國木馬“BO”和國產木馬雛形“冰河”、“NetSpy”等在如今看來各方面技術都頗為簡單的遠程控制軟件大行其道的黃金時期，很多用戶根本就沒有防火墻和殺毒軟件(即使有，也是以殺CIH的為主)，即使遠方的黑客把用戶的計算機翻了個底朝天，用戶也不會有所察覺，這一時期接觸此類技術的人相對較少，因此并未造成如今這個病毒到處蔓延的局面。

　　因為這個階段國內用戶的機器環境仍然以Windows 9x為主流，所以病毒編寫者們并不需要消耗太多的腦筋就可以做到讓病毒悄無聲息運行的效果，并讓它在Alt+Del+Ctrl呼出的任務管理器中不可見。

　　我們都知道，在Windows下運行的程序界面都被定義為“窗口”，程序通過這個途徑與用戶產生交互，每個完整的程序都必須擁有至少一個窗口，但是如果編寫者將這個窗口在運行期間設置為“不可見”呢?這樣一來，用戶就不會察覺到這個程序在桌面上運行了，但是如果有一定經驗的用戶打開任務管理器，他就會因為發現系統里多出來的進程而產生懷疑，因此病毒編寫者在這個時期采取了初級形式的隱藏手段：隱藏進程。

　　其實所謂隱藏進程，是利用微軟未公開的一個API(Application Programming Interface，應用程序接口)函數“RegisterServiceProcess”將自身注冊為“服務進程”，而恰巧Windows 9x中的任務管理器是不會顯示此類進程的，結果就被病毒鉆了空子，讓“冰河”等木馬在國內大部分普通用戶的機器上安家落戶。

　　而早期后門技術里，還有一個最基本的行為就是隱藏文件，與今天的各種隱藏手段相比，它可謂是“不入流”級別了——這里提到的“隱藏”，就是簡單的將文件屬性設置為“隱藏”而已，除此之外，再無別的保護手段了，然而，由于系統設計時為了避免初學者胡亂刪除文件而默認“不顯示系統和隱藏文件”的做法(到了Windows 2000/XP時代，這個做法更升級到“隱藏受保護的系統文件”了)，卻恰好給這些病毒提供了天然的隱身場所——大部分對電腦操作不熟悉的用戶根本不知道“隱藏文件”的含義，更別提設置為“顯示所有文件”了，在那個安全軟件廠商剛開始探索市場的時代，用戶更是不會留意太多安全產品及其實際含義，因而這個時期成了各種初期木馬技術發展的重要階段，利用這種手段制作的木馬被統稱為“第一代木馬”。

　　以現在的技術和眼光看來，這些早期技術作品的發現和清理是相對較簡單的了，因為它們采用的“進程隱藏”技術在NT體系上的Windows2000/XP/2003等操作系統上已經無效了，直接使用系統自帶的任務管理器便能發現和迅速終止進程運行，而后在“控制面板”——“文件夾選項”里面設置“顯示所有文件”和取消“隱藏受保護的系統文件”，就能發現那個被隱藏起來的木馬程序了。對于Windows 9x用戶，使用任意一款第三方的進程管理工具如“Windows優化大師”的進程管理組件即可輕松發現。

　　繼續發展：使用線程注射技術的DLL木馬

　　雖然現在使用“線程注射”的木馬病毒和流氓軟件已經遍地開花了，但是從那個混沌時代經歷過來的人都不會忘記首個采用“線程注射”的DLL木馬“廣外幽靈”在當時所帶來的恐懼，“線程注射”到底是種什么東西呢?下面就讓我們來詳細講解一下。

　　首先，用戶可能不會了解“線程”(Thread)的意思，而要講解“線程”，就不能不先提到“進程”(Process)的概念。許多剛接觸計算機的用戶無法理解“進程”是什么東西：常常聽到高手說打開任務管理器關閉某某進程，但是一看到任務管理器列表里的一堆東西，頭就大了。許多用戶知道使用任務管理器關閉一些失去響應的任務，但是如果某個任務沒有在“應用程序”列表里出現，用戶就不知所措了。到底什么是“進程”呢?“進程”是指一個可執行文件在運行期間請求系統在內存里開辟給它的數據信息塊，系統通過控制這個數據塊為運行中的程序提供數據交換和決定程序生存期限，任何程序都必須擁有至少一個進程，否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質復制在內存中的映像，它通常和某個在磁盤上的文件保持著對應關系，一個完整的進程信息包括很多方面的數據，我們使用進程查看工具看到的“應用程序”選項卡包含的是進程的標題，而“進程”選項卡包含的是進程文件名、進程標識符、占用內存等，其中“進程文件名”和“進程標識符”是必須掌握的關鍵，“進程標識符”是系統分配給進程內存空間時指定的唯一數字，進程從載入內存到結束運行的期間里這個數字都是保持不變的，而“進程文件名”則是對應著的介質存儲文件名稱，根據“進程文件名”我們就可以找到最初的可執行文件位置。

　　任務管理器的“應用程序”項里列出來的“任務”，是指進程在桌面上顯示出來的窗口對象，例如用戶打開Word 2003撰寫文檔，它的進程“WINWORD.EXE”會創建一個在桌面上顯示的前臺窗口，這個窗口就是任務管理器里看得見的“任務”了，而實際上真正在運行的是進程“WINWORD.EXE”。并不是所有的進程都會在任務管理器里留下“任務”的，像QQ、MSN和所有后臺程序，它們并不會在任務列表里出現，但是你會在進程列表里找到它們，如果要它們在任務列表里出現該怎么辦呢?只要讓它們產生一個在桌面上出現的窗體就可以了，隨便打開一個好友聊天，就會發現任務列表里終于出現了QQ的任務。因此，真正科學的終止程序執行方案是針對“進程”來結束程序的運行，而不是在任務列表里關閉程序，因為木馬作者們是不會讓自己的木馬在任務列表里出現的，但是進程列表里一般人都是逃不過的。

　　而“線程”，則是在一個進程里產生的多個執行進度實例，舉個簡單例子，一個網絡文件傳輸程序如果只有一個線程(單線程)運作，那么它的執行效率會非常低下，因為它既需要從網絡上讀取文件數據，又需要把文件保存到磁盤，同時還需要繪制當前傳輸進度條，由于在代碼的角度里這些操作只能一條條的順序執行，程序就不能很好的做到在保存數據的同時繪制傳輸進度條，即使程序員將其勉強湊到一塊執行，在用戶方面看來，這個程序的響應會非常緩慢甚至直接崩潰，而“多線程”技術則是為了解決這種問題而產生的，采用“多線程”技術編寫的應用程序在運行時可以產生多個同時執行的操作實例，例如一個采用“多線程”技術的網絡文件傳輸程序就能同時分出三個進度來同時執行網絡數據傳輸、文件保存操作和繪制傳輸進度條的操作，于是在用戶看來，這個程序運行非常流暢，這就是線程的作用。在程序運行時，只能產生一個進程，但是在這個進程的內存空間(系統為程序能正常執行而開辟的獨立內存領域)里，可以產生多個線程，其中至少有一個默認的線程，被稱為“主線程”，它是程序主要代碼的運行部分。

　　那么，“線程注射”又是什么含義呢?其實它的全稱是“遠程線程注射”(RemoteThread Injection)，通常情況下，各個進程的內存空間是不可以相互訪問的，這也是為程序能夠穩定運行打下基礎，這個訪問限制讓所有進程之間互相獨立，這樣一來，任何一個非系統關鍵進程發生崩潰時都不會影響到其他內存空間里的進程執行，從而使NT架構的穩定性遠遠高于Win9x架構。但是在一些特定的場合里，必須讓進程之間可以互相訪問和管理，這就是“遠程線程”技術的初衷，這個技術實現了進程之間的跨內存空間訪問，其核心是產生一個特殊的線程，這個線程能夠將一段執行代碼連接到另一個進程所處的內存空間里，作為另一個進程的其中一個非核心線程來運行，從而達到交換數據的目的，這個連接的過程被稱為“注射”(Injection)。遠程線程技術好比一棵寄生在大樹上的蔓藤，一旦目標進程被注射，這段新生的線程就成為目標進程的一部分代碼了，只要目標進程不被終止，原進程無論是否還在運行都不會再影響到執行結果了。

　　與“線程注射”離不開的是“Hook”技術，這個“Hook”，又是什么呢?其官方定義如下：

　　鉤子(Hook)，是Windows消息處理機制的一個平臺，應用程序可以在上面設置子程以監視指定窗口的某種消息，而且所監視的窗口可以是其他進程所創建的。當消息到達后，在目標窗口處理函數之前處理它。鉤子機制允許應用程序截獲處理window消息或特定事件。

　　鉤子實際上是一個處理消息的程序段，通過系統調用，把它掛入系統。每當特定的消息發出，在沒有到達目的窗口前，鉤子程序就先捕獲該消息，亦即鉤子函數先得到控制權。這時鉤子函數即可以加工處理(改變)該消息，也可以不作處理而繼續傳遞該消息，還可以強制結束消息的傳遞。

　　在這里，木馬編寫者首先把一個實際為木馬主體的DLL文件載入內存，然后通過“線程注射”技術將其注入其他進程的內存空間，最后這個DLL里的代碼就成為其他進程的一部分來實現了自身的隱藏執行，通過調用“Hook”機制，這個DLL木馬便實現了監視用戶的輸入輸出操作，截取有用的資料等操作。這種木馬的實際執行體是一個DLL文件，由于Windows系統自身就包含著大量的DLL文件，誰也無法一眼看出哪個DLL文件不是系統自帶的，所以這種木馬的隱蔽性又提高了一級，而且它的執行方式也更加隱蔽，這是由Windows系統自身特性決定的，Windows自身就是大量使用DLL的系統，許多DLL文件在啟動時便被相關的應用程序加載進內存里執行了，可是有誰在進程里直接看到過某個DLL在運行的?因為系統是把DLL視為一種模塊性質的執行體來調用的，它內部只包含了一堆以函數形式輸出的模塊，也就是說每個DLL都需要由一個用到它的某個函數的EXE來加載，當DLL里的函數執行完畢后就會返回一個運行結果給調用它的EXE，然后DLL進程退出內存結束這次執行過程，這就是標準的DLL運行周期，而采用了“線程注射”技術的DLL則不是這樣，它們自身雖然也是導出函數，但是它們的代碼是具備執行邏輯的，這種模塊就像一個普通EXE，只是它不能直接由自身啟動，而是需要有一個特殊作用的程序(稱為加載者)產生的進程把這個DLL的主體函數載入內存中執行，從而讓它成為一個運行中的木馬程序。了解Windows的用戶都知道，模塊是緊緊依賴于進程的，調用了某個模塊的進程一旦退出執行，其加載的DLL模塊也就被迫終止了，但是在DLL木馬里，這個情況是不會因為最早啟動的EXE被終止而發生的，因為它使用了“遠程線程注射”技術，所以，在用戶發現異常時，DLL木馬早就不知道被注入哪個正常進程里了，即使用戶發現了這個木馬DLL，也無法把它終止，因為要關閉它就必須在那么多的系統進程里找到被它注射的進程，并將其終止，對一般用戶來說，這是個不可能完成的任務。

　　自從“廣外幽靈”開創了DLL木馬時代的先河以來，現在采用線程注射的DLL木馬和惡意程序已經隨處可見了，除了普遍被采用的另行編寫DLL加載器程序躲在啟動項里運行加載DLL主體之外，“求職信”還帶來了一種比較少見的通過注冊表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs”項目加載自身DLL的啟動方法，而相對于以上幾種早期方法，現在更有一種直接利用系統服務啟動自身的木馬程序，這才是真正的難纏!

　　“服務”是Windows系統的一大核心部分，在NT架構系統中，服務是指執行指定系統功能的程序、例程或進程，以便支持其他程序，尤其是底層(接近硬件)程序。通過網絡提供服務時，服務可以在Active Directory中發布，從而促進了以服務為中心的管理和使用。服務是一種應用程序類型，它在后臺運行。服務應用程序通?？梢栽诒镜睾屯ㄟ^網絡為用戶提供一些功能，例如客戶端/服務器應用程序、Web服務器、數據庫服務器以及其他基于服務器的應用程序。 “服務”自身也是一種程序，由于使用的領域和作用不同，服務程序也有兩種形式：EXE和DLL，采用DLL形式的服務是因為DLL能實現Hook，這是一些服務必需的數據交換行為，而NT架構系統采用一個被稱為“svchost.exe”的程序來執行DLL的加載過程，所有服務DLL都統一由這個程序根據特定分組載入內存，然而，如今越來越多病毒作者瞄上了這個系統自帶的加載器，因為它永遠也不能被查殺。

　　病毒作者將木馬主體寫成一個符合微軟開發文檔規范的服務性質DLL模塊文件，然后通過一段安裝程序，將木馬DLL放入系統目錄，并在服務管理器(SCM)里注冊自身為通過svchost.exe加載的服務DLL組件之一，為了提高隱蔽性，病毒作者甚至直接替換系統里某些不太重要而默認開啟的服務加載代碼，如“Distributed Link Tracking Client”，其默認的啟動命令是“svchost -k netsvcs”，如果有個病毒替換了啟動命令為自己建立的分組“netsvsc”，即“svchost -k netsvsc”，在這種旁門左道加社會工程學的攻勢下，即使是具備一般查毒經驗的用戶也難以在第一時間內察覺到問題出自服務項，于是病毒得以成功逃離各種查殺。

　　目前被發現使用此方法的木馬已經出現，其中一個進程名為“AD1.exe”的廣告程序就是典型例子，它通過替換“Distributed Link Tracking Client”服務的svchost啟動項來躲過一般的手工查殺，同時它自身還是個病毒下載器，一旦系統感染了這個惡意程序，各種木馬都有可能光臨你的機器。

　　要清理DLL木馬，用戶需要借助于Sysinternals出品的第三方進程管理工具“Process Explorer”，利用它的“Find Handle or DLL”功能，能迅速搜索到某個DLL依附的進程信息并終結，讓DLL失去載體后就能成功刪除，而DLL木馬的文件名為了避免和系統DLL發生沖突，一般不會起得太專業，甚至有“safaf.dll”、“est.dll”這樣的命名出現，或者在某些系統下根本不會出現的文件名，如“kernel.dll”、“rundll32.dll”等。除了使用“Process Explorer”查找并終止進程以外，還可以用IceSword強行卸載某個進程里的DLL模塊來達到效果。

　　對于服務性質的DLL，我們仍然使用“Process Explorer”進行查殺，由于它的層次結構，用戶可以很直觀的看到進程的啟動聯系，如果一臺機器感染了殺不掉的頑固木馬，有經驗的用戶做的第一件事情就是禁止掉不相關或者不重要的程序和服務在開機時運行，然后使用“Process Explorer”觀察各個進程的情況，通過svchost.exe啟動的DLL木馬雖然狡猾，但是它釋放出EXE文件運行時，一切都暴露了：一個svchost.exe服務進程執行了一個AD1.exe，還有比這更明顯的嗎?

　　Svchost的分組信息位于注冊表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost”項目，這是svchost加載DLL時的分組依據，如果用戶發現了一個奇怪的分組信息，那就要提高警惕了。

　　隱藏技術發展的顛峰：Rootkit木馬

　　隨著安全技術的發展和計算機用戶群的技術提高，一般的木馬后門越來越難生存，于是一部分有能力的后門作者把眼光投向了系統底層——Ring 0。位于Ring 0層的是系統核心模塊和各種驅動程序模塊，所以位于這一層的木馬也是以驅動的形式生存的，而不是一般的EXE。后門作者把后門寫成符合WDM規范(Windows Driver Model)的驅動程序模塊，把自身添加進注冊表的驅動程序加載入口，便實現了“無啟動項”運行。一般的進程查看器都只能枚舉可執行文件EXE的信息，所以通過驅動模塊和執行文件結合的后門程序便得以生存下來，由于它運行在Ring 0級別，擁有與系統核心同等級的權限，因此它可以更輕易的把自己隱藏起來，無論是進程信息還是文件體，甚至通訊的端口和流量也能被隱藏起來，在如此強大的隱藏技術面前，無論是任務管理器還是系統配置實用程序，甚至系統自帶的注冊表工具都失去了效果，這種木馬，就是讓人問之色變的Rootkit。

　　要了解Rootkit木馬的原理，就必須從系統原理說起，我們知道，操作系統是由內核(Kernel)和外殼(Shell)兩部分組成的，內核負責一切實際的工作，包括CPU任務調度、內存分配管理、設備管理、文件操作等，外殼是基于內核提供的交互功能而存在的界面，它負責指令傳遞和解釋。由于內核和外殼負責的任務不同，它們的處理環境也不同，因此處理器提供了多個不同的處理環境，把它們稱為運行級別(Ring)，Ring讓程序指令能訪問的計算機資源依次逐級遞減，目的在于保護計算機遭受意外損害——內核運行于Ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有Ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內核來決定能否執行，一旦發現有可能對系統造成破壞的指令傳遞(例如超越指定范圍的內存讀寫)，內核便返回一個“非法越權”標志，發送這個指令的程序就有可能被終止運行，這就是大部分常見的“非法操作”的由來，這樣做的目的是為了保護計算機免遭破壞，如果外殼和內核的運行級別一樣，用戶一個不經意的點擊都有可能破壞整個系統。

　　由于Ring的存在，除了由系統內核加載的程序以外，由外殼調用執行的一般程序都只能運行在Ring 3級別，也就是說，它們的操作指令全部依賴于內核授權的功能，一般的進程查看工具和殺毒軟件也不例外，由于這層機制的存在，我們能看到的進程其實是內核“看到”并通過相關接口指令(還記得API嗎?)反饋到應用程序的，這樣就不可避免的存在一條數據通道，雖然在一般情況下它是難以被篡改的，但是不能避免意外的發生，Rootkit正是“制造”這種意外的程序。簡單的說，Rootkit實質是一種“越權執行”的應用程序，它設法讓自己達到和內核一樣的運行級別，甚至進入內核空間，這樣它就擁有了和內核一樣的訪問權限，因而可以對內核指令進行修改，最常見的是修改內核枚舉進程的API，讓它們返回的數據始終“遺漏”Rootkit自身進程的信息，一般的進程工具自然就“看”不到Rootkit了。更高級的Rootkit還篡改更多API，這樣，用戶就看不到進程(進程API被攔截)，看不到文件(文件讀寫API被攔截)，看不到被打開的端口(網絡組件Sock API被攔截)，更攔截不到相關的網絡數據包(網絡組件NDIS API被攔截)了，我們使用的系統是在內核功能支持下運作的，如果內核變得不可信任了，依賴它運行的程序還能信任嗎?

　　但即使是Rootkit這一類恐怖的寄生蟲，它們也并非所向無敵的，要知道，既然Rootkit是利用內核和Ring 0配合的欺騙，那么我們同樣也能使用可以“越權”的檢查程序，繞過API提供的數據，直接從內核領域里讀取進程列表，因為所有進程在這里都不可能把自己隱藏，除非它已經不想運行了。也就是說，內核始終擁有最真實的進程列表和主宰權，只要能讀取這個原始的進程列表，再和進程API枚舉的進程列表對比，便能發現Rootkit進程，由于這類工具也“越權”了，因而對Rootkit進行查殺也就不再是難事，而Rootkit進程一旦被清除，它隱藏自身的措施也就不復存在，內核就能把它“供”出來了，用戶會突然發現那個一直“找不到”的Rootkit程序文件已經老實的呆在文件管理器的視圖里了。這類工具現在已經很多，例如IceSword、Patchfinder、gdb等。

　　道高一尺，魔高一丈，因為目前的主流Rootkit檢測工具已經能檢測出許多Rootkit木馬的存在，因此一部分Rootkit作者轉而研究Rootkit檢測工具的運行檢測算法機制，從而制作出新一代更難被檢測到的木馬——FUTO Rootkit。

　　國產優秀檢測工具IceSword在FUTO面前敗下陣來，因為FUTO編寫者研究的檢測工具原型就是一款與之類似的Black & Light，所以我們只能換用另一款Rootkit檢測工具DarkSpy，并開啟“強力模式”，方可正常查殺Rootkit。

　　但是由于檢測機制的變化，DarkSpy要檢測到FUTO的存在，就必須保證自己的驅動比FUTO提前加載運行，這就涉及到優先級的問題，也是讓業界感覺不太滿意的一種方式，因為這樣做的后果會導致系統運行效率下降，不到緊急關頭，都不要輕易采用這種方法，然而現在的瑞星卡卡助手所推廣的“破甲”技術，實現原理是與之類似的，它也會對系統造成一定影響，因而，這個介于安全和效率之間的選擇，唯有留給用戶自己思考了。

　??另一種隱藏：給自己做個“殼”

　　今年底，國內殺毒軟件廠商瑞星推出了2007測試版，細心的用戶應該都能觀察到，瑞星這次更新的重點基本在于“脫殼技術”，這個“殼”是什么，為什么廠商那么重視呢?

　　“殼”(Shell)，顧名思義，就是一種包裹容器，在計算機方面，它指一種把應用程序壓縮精簡或者加密處理后用自身代碼形成一個新程序的技術，“殼”在運行時將自身包裹的程序資源釋放到內存中執行，就恢復了原來程序的面目，由于“殼”的初衷就是加密和精簡程序文件的體積，因此許多殺毒軟件其實根本無法檢測出一個加了殼的病毒，因為針對“殼”而產生的脫殼技術相對復雜，如何完善的檢測出大部分被“殼”處理過的病毒一直是業界的難題，利用這一特點，一部分病毒利用“殼”把自身包裹起來，因為殺毒軟件對其無能為力，病毒便能先發制人，把殺毒軟件消滅以后才釋放真實的病毒文件運行感染，這種明目張膽的隱藏可謂惡毒。

　　由于各種原因，我們只能等待殺毒廠商提供一套完善的解決方案，因為手工脫殼對于一般用戶來說是非常不實際的。

　　混合型木馬

　　“灰鴿子”，國內一款優秀的遠程控制工具，同時也是危害廣大用戶的木馬病毒，它是目前主流的一種結合了Rootkit驅動、遠程線程注射的混合型DLL木馬，它將兩個技術整合起來，最終形成了這種在正常模式下無法發現進程和文件的強大后門。

　　針對此類病毒，用戶需要結合IceSword和Process Explorer等工具發現被篡改的SSDT和木馬DLL文件，而后進入安全模式刪除。現在已經有流氓軟件掌握了高優先級啟動方法，使得其在安全模式下也能正常運作，如果遭遇這種惡劣病毒，用戶只能求助于DOS了。

　　三. “進化論”和“安全威脅”

　　病毒技術一刻不停的發展著，與之相對的反病毒技術也在追逐，這場貓和老鼠的大戰永遠不會停止，戰爭過后，留下的是面目全非的操作系統。雖然從某個角度來看，這種技術追逐會給業界帶來無數種計算機科技發展的可能，但是，普通用戶要在網絡上被迫“適者生存”的時代，還是不要到來的好。

總結

以上是生活随笔為你收集整理的揭穿病毒和木马的隐藏手段的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。