一、傳播形式

木馬病毒傳播迅速，主要歸因于其傳播方式的多樣性。內核木馬及其他木馬病毒的傳播方式主要有以下幾種：

1、利用下載進行傳播，在下載的過程中進入程序，當下載完畢打開文件就將病毒植入到電腦中。

2、利用系統漏洞進行傳播，當計算機存在漏洞，就成為木馬病毒攻擊的對象。

3、利用郵件進行傳播，很多陌生郵件里面就摻雜了病毒種子，一旦郵件被打開，病毒就被激活。

4、利用遠程連接進行傳播。

5、利用網頁進行傳播，在瀏覽網頁時會經常出現很多跳出來的頁面，這種頁面就是病毒駐扎的地方。

6、利用蠕蟲病毒進行傳播等。

二、危害

木馬病毒對用戶計算機造成的危害很嚴重，具體如下：

木馬病毒對計算機的直接破壞方式是改寫磁盤，對計算機數據庫進行破壞，給用戶帶來不便。當木馬破壞程序后，使得程序無法運行，給計算機的整體運行帶來嚴重的影響。

另外，一些木馬可以通過磁盤的引導區進行，病毒具有強烈的復制功能，把用戶程序傳遞給外部鏈接者。還可以更改磁盤引導區，造成數據形成通道破壞。病毒也通過大量復制搶占系統資源，對系統運行環境進行干擾，影響計算機系統運行速度。

三、什么是內核級木馬

內核級木馬一個無進程、無DLL、無啟動項的、集多種Rootkit技術特征的獨立功能遠程控制后門程序。其利用線程注射DLL到系統進程，解除DLL映射并刪除自身文件和啟動項，關機時恢復。

它是內核級的木馬程序，主要部分工作在Ring0，因此有很強的隱蔽性和殺傷力。

四、內核級木馬如何產生

目前，傳統應用層木馬由于當下一些主動防御軟件，殺毒的免費使用，各類反病毒工具對其伎倆了如指掌，而木馬能帶來巨大危害的主要原因在其隱蔽性。

各類反病毒工具的快速發展就導致木馬謀取利益的成本大幅度提高，其帶來的利益以及威脅程度呈現逐年下降的趨勢。

由于傳統應用層木馬的隱蔽性大幅度下降，黑客為了提升帶來的效益以及獲得被控主機更加持久的控制權，因而提升木馬的隱藏技術就顯得更加迫在眉睫。

內核級木馬的隱藏主要使用內核Rootkit技術，內核Rootkit程序在使得遠程黑客能夠更長期的享有目標機器的底層系統控制權的同時在很大程度上不被殺毒軟件發現，從而對被控主機造成更加嚴重的安全威脅。

此外內核Rootkit不僅僅存在于windows系統中，同樣存在于linux等其他系統中。而對于信息安全工作者，找出防御內核級木馬的最有效途徑自然是要深入了解內核木馬的工作機制。

內核Rootkit攻擊技術，內核Rootkit隱藏技術，掌握其規律和特性，才能更好的找到應對此類木馬的措施，以及對未來可能出現的安全隱患做好一些提前的防備。

五、內核&傳統木馬隱藏技術對比

內核級木馬隱藏主要有進程隱藏，文件隱藏，自啟動隱藏，通信隱藏等，主要與木馬的架構有關，那么對于一些主從型內核級木馬，木馬涉及到的功能模塊越多自然對應涉及的隱藏項也就越多，甚至有時候還要做注冊表隱藏，服務隱藏等。

3.1.進程隱藏

進程隱藏最初技術體系為最簡單的混淆字符隱藏，如系統進程名為svchost.exe，木馬進程名改為svch0st.exe隱藏，緊接著到注冊服務隱藏，dll注入隱藏。

現在內核級木馬大部分通過進程控制塊中的活動進程鏈表（ActiveProcessLinks）中摘除自身來達到隱藏，或通過從PspCidTable表中摘除自身等方法來達到隱藏目的。

3.2.文件隱藏

文件隱藏最初是通過存放于敏感目錄（系統目錄）并混淆文件名來實現，后來有些人通過掛鉤應用層上的FindFirstFile,FindNextFile等API來實現該目的，現在在內核層隱藏文件方法一般會用FSDHook或FSD Inline Hook來實現。

3.3.自啟動隱藏

自啟動隱藏先后經歷了添加注冊表Run值，修改系統啟動文件，注冊為服務，修改定時程序，感染系統文件技術來實現，現在黑客開始關注于在硬盤固件，bIOS等地方做手腳來實現自啟動隱藏。

3.4.通訊隱藏

對于通信隱藏來說，現在有些研究者已經實現了NDIS小端口驅動層的隱藏，不過主流的木馬仍然在TDI層面上通信或者在NDIS中間層上通信。

如何對付內核級木馬？

一般的殺毒工具可以把病毒查殺掉，但是對于內核級木馬病毒，能夠穿透還原技術，一般的技術人員是無法解決的。作為網吧熱點，針對這樣難以對付的病毒，小編分享到清除內核級木馬病毒的方法。

1．首先是要安裝一個具備進程管理功能的安全工具軟件，查看系統進程，可有經驗的技術人員對可疑進程是可以識別的，點擊其中的IE瀏覽器進程，發現其中包括了一個可疑的木馬模塊hack.dll。

2．下一步可以看到多個被明顯標識出的系統服務，說明這些服務都不是系統自身的服務。比如像是一個取名為Hack的服務較為可疑，因為它的名稱和木馬模塊的名稱相同。

3．找出工具軟件中與文件管理相關的標簽，在模擬的資源管理器窗口中，按照可疑模塊的路徑指引，很快發現了那個可疑的木馬模塊文件hack.dll。

4．找到了病毒存在的根源，接下來就是病毒的查殺了：

a,在進程管理選項中首先找到被明顯標識的IE瀏覽器進程，選中它后通過鼠標右鍵中的“結束這個進程”命令清除它；

b,接著點擊服務管理選項，選擇名為Hack的服務后，點擊右鍵菜單中的“刪除選中的服務”命令來刪除；

c,再選擇程序中的文件管理選項，對木馬文件進行最后的清除操作；

d,在系統的system32目錄找到hack.dll和hack.exe文件后，點擊右鍵菜單中的“直接刪除文件”命令，完成對木馬的最后一擊；

e,然后重新啟動系統再進行查看，確認木馬是否被清除干凈。

聲明：我們尊重原創者版權，除確實無法確認作者外，均會注明作者和來源。轉載文章僅供個人學習研究，同時向原創作者表示感謝，若涉及版權問題，請及時聯系小編刪除！

Hi，我是超級盾

更多干貨，可移步到，微信公眾號：超級盾訂閱號！精彩與您不見不散！

超級盾：從現在開始，我的每一句話都是認真的。

如果，你被攻擊了，別打110、119、120，來這里看著就行。

截至到目前，超級盾成功抵御史上最大2.47T黑客DDoS攻擊，超級盾具有無限防御DDoS、100%防CC的優勢。