最基本的隐藏:不可见窗体+隐藏文件

木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:

1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1)，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术:Windows 98的后门

在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。

第二代进程隐藏技术:进程插入

在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。
进程(Process)代表什么

对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。
1.进程插入是什么

独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。

2.木马是如何盗走QQ密码的

普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊!

3.如何插入进程

(1)使用注册表插入DLL

早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

(2)使用挂钩(Hook)插入DLL

比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。
你知道吗——什么是API

Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。

(3)使用远程线程函数(CreateRemoteThread)插入DLL

在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。

木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。

不要相信自己的眼睛:恐怖的进程“蒸发”

严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失!

它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。
什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏

利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干:反杀毒软件外壳

木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

你知道吗——什么是壳

顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

总结：

其实木马的隐藏方式还有很多种，不过无论其怎么变化，都离不开上述几点。作为用户，在当前计算机安装杀毒软件的情况下，还要多注意计算机的反常变化，例如：计算机速度变慢，自启动文件里有莫名程序，杀软被关闭等情况。通过这些异常情况，则能在第一时间发现木马，实现更快清除。

  一般来说，对病毒体的判断主要可以采用查看路径，查看文件名，查看文件创建日期，查看文件厂商，微软文件校验，查看启动项等方法，Wsyschck在这些方面均尽量简化操作，提供相关的数据供您分析。

  最终判断并清理木马取决际您个人的分析及对Wsyscheck基本功能的熟悉程度。

Wsyscheck基本功能简单介绍:

1:软件设置中的模块、服务简洁显示

  简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。
  SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。
 
2:关于Wsyscheck的颜色显示

进程页：

  红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。

服务页：

  红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。

  使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。

  在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。

  进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。

  在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信)

SSDT管理页：

  默认显示全部的SSDT表，红色表示内核被HOOK的函数。查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。

  SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。
 
  使用“恢复所有函数”功能则同时恢复上述两种HOOK。

  发现木马修改了SSDT表时请先恢复SSDT，再作注册表删除等操作。

活动文件页：

  红色显示的常规启动项的内容。

3:关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。”

  多数情况下是安全软件阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。

  驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。

4:关于卸载模块

  对HOOK了系统关键进程的模块卸载可能导致系统重启，这与该模块的写法有关系，所以卸载不了的模块不要强求卸载，可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。

5:关于文件删除

  驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见，但事实上已删除，重启后该文件消失。

  文件管理页的“删除”操作是删除文件到回收站，支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内，请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。

  Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面，添加待删除文件并重启，启动菜单中将出现“删除顽固文件”字样，选择后转入Dos删除文件。在某些机器上，若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏)，此时请不要修复而是立即关闭主机电源，重新开机。（这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的，并不需要真正的修复，只需关闭电源重新开机即可。）

  “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表，会问询是否执行。
  
    注意，为避免病毒程序守护，Wsyscheck可以在删除某些文件时可能会采取0字节文件占位的方式来确保删除。这些0字节文件在Wsyscheck退出后会被自动清理。是否采用此方式依赖于“软件设置”下的“删除文件后锁定”选项是否勾选。
  如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”，它将在删除前将文件备份到%SystemDrive%\VirusBackup目录中，且将文件名添加.vir后缀以免误执行。
6:关于进程的结束后的反复创建

  如果确系木马文件,可选择结束进程并删除文件,这样的话Wsyscheck会将其结束并删除文件。但有时因为木马有关联进程未同时结束，会重新加载木马文件。这时我们可以选择“软件设置”下的“删除文件后锁定”。这时当结束进程并删除文件后Wsyscheck将创建0字节的锁定文件防止木马再生。

  也可以使用进程页的“禁止程序运行”，这个功能就是流行的IFEO劫持功能，我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能，所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。

  软件设置下的“禁止进程与文件创建”功能是针对木马的反复启动，反复创建文件，反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页，取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是，如果木马插入系统进程，则反映的日志是阻止系统进程的动作，你需要自我分辨该动作是否有害并分析该进程的模块文件。

  要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。

  对于反复写注册表启动项无法修复的情况，可以先用“禁止进程与文件创建”找出覆写该注册表项的进程，针对木马插入的线程进行挂起，再修复注册表。

  懒于查看分析，不想太麻烦的话，可以先删除文件（直接删除、重启删除），待重启之后再修复注册表。

8:关于批量处理

  各页中可尝试用Ctrl,Shift多选再执行相关的功能。

  文件搜索中的“保存文件列表”导出搜索结果列表1，在PE启动后再执行一次得到结果2,将结果1与结果2相比较，可以用来对付某些Wsyscheck检测不出深度隐藏的RootKit。

9:关于如何清理木马的简单方法：
 
  1: 勾选“软件设置”下的“删除文件后锁定”以阻止文件再生。

  2: 批量选择病毒进程，使用“结束进程并删除文件”。

  3: 插入到进程中的模块多不可怕，全局钩子在各进程中通常都是相同的，处理进程的模块即可。建议采用“直接删除模块文件”，本功能执行后看不到变化，但文件其实已经删除。不建议使用“卸载模块”功能（为保险也可以与“重启删除”联用），原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。

  4: 执行“清理临时文件”、“清除Autorun.inf”

  5：在安全检查中可以修复的修复一下。不强求，重启后再执行二次清理。

  6: 重启机器，大部份的病毒应该可以搞定了。此时再次检查，发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。

  7: 清理完后切换到文件搜索页，限制文件大小为50K左右，去除“排除微软文件的勾”搜索最近一周的新增的文件，从中选出病毒尸体文件删除。
10:Wsyscheck可以使用的参数说明:

  Wsyscheck可以带参数运行以提高自身的优先级
  Wsyscheck 1 高于标准  Wsyscheck 2 高  Wsyscheck 3 实时
  例如需要实时启动Wsyscheck,可以编辑一个批处理 RunWs.bat ,内容为 Wsyscheck 3
  将RunWs.bat与Wsyscheck放在一起，双击RunWs.bat即可让Wsyscheck以实时优先级启动。

  Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。
  Wsyscheck -s 在-f的基础上执行创建安全环境后退出。

  如将Wsyscheck.exe更名，则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数，其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外，更名后Wsyscheck将使用随机驱动名来释放驱动。
11:随手工具说明(指菜单工具下的子菜单功能)

  一般看其意即识其意,仅对部份子项说明:

  清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\Downloaded Program Files下的所有文件。

  禁用硬盘自动播放:本功能还包括磁盘无法双击打开故障。注意，某些故障修复后可能需要注销或重启才能生效。

  修复安全模式：某些木马会破坏安全模式的键值导致无法进入安全模式，本功能先备份当前安全模式键值再恢复默认的安全模式键值。

  如果Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。
         官方地址：http://wangsea.ys168.com

         本站提供下载地址：http://www.box.net/shared/bhspr1tkwo