牧馬村不在草原邊，也不在山腳下，而是在網(wǎng)上，它是一個(gè)論壇。村里人既不養(yǎng)馬，也不賣馬，他們專門殺馬，殺的是病毒木馬。我們的故事就在這里上演。對(duì)了，本故事純屬虛構(gòu)，如有雷同、實(shí)在——實(shí)在榮幸。

馬大哈的電腦常常受到的病毒木馬的騷擾，為此他重裝過N次系統(tǒng)。又一次重裝系統(tǒng)到深夜，他決心拜師，學(xué)習(xí)防殺病毒木馬的絕招。一陣胡亂搜索后，“牧馬村安全論壇”幾個(gè)大字進(jìn)入眼簾。人們常說，網(wǎng)絡(luò)可以掩蓋很多真相。確實(shí)不假，簡(jiǎn)單注冊(cè)之后，馬大哈就成了牧馬村里的新人“小馬哥”，看起來，人品、相貌和功力都提升了幾個(gè)檔次啊。不過，這個(gè)“小馬哥”可不是來做老大的。他來村子中央，大吼：“誰能回答我三個(gè)問題，我就拜他為師。”四周人來人往，卻沒人停下來，因?yàn)槊刻靵泶謇锴笾哪贻p人太多了。

為什么受傷的總是我？

小馬哥的第一個(gè)問題是：“木馬程序怎么進(jìn)入我的系統(tǒng)的？”沒人回答他，但有人給他指了一條路：“去置頂?shù)木A帖里看看?！惫?，這里有答案：

現(xiàn)如今黑客安裝木馬程序的方法有很多，常用的是文件捆綁、遠(yuǎn)程溢出、網(wǎng)頁木馬等（如圖）。

文件捆綁：用文件捆綁器把木馬和正規(guī)的程序捆綁在一起。捆綁后的文件很有迷惑性，加上木馬一般在后臺(tái)運(yùn)行，用戶點(diǎn)擊后不會(huì)出現(xiàn)什么異狀，就會(huì)在不知不覺中中招。

遠(yuǎn)程溢出：黑客利用Windows系統(tǒng)的漏洞得到遠(yuǎn)程的控制權(quán)，接著通過FTP、Tftp等方法上傳木馬程序并運(yùn)行。這種方法操作簡(jiǎn)單，也非常隱秘，黑客往往通過編寫批處理文件來批量執(zhí)行木馬的安裝操作。

網(wǎng)頁木馬：利用系統(tǒng)或軟件的漏洞制作好木馬掛在網(wǎng)頁上，再誘騙用戶瀏覽這個(gè)網(wǎng)頁。用戶瀏覽時(shí)就會(huì)激活系統(tǒng)中的漏洞，將木馬悄悄地安裝到用戶的系統(tǒng)中。

真是受益匪淺啊，原來是這么中招的。得到第一個(gè)問題的答案后，小馬哥決定在村子里長(zhǎng)住了。

殺毒軟件是萬能的嗎？

小馬哥用過不少殺毒軟件，幾乎是每中一次招就換一個(gè)。讓他迷惑的是，殺毒軟件也防不住嗎？他繼續(xù)翻著精華帖，有一篇講解了殺毒軟件的運(yùn)行原理，讓他若有所悟。

殺毒軟件在檢測(cè)到木馬后，都會(huì)提醒用戶選擇清除或隔離，實(shí)際上，它們的實(shí)時(shí)監(jiān)控功能有所差異。有的殺毒軟件在內(nèi)存里劃分一部分空間，將流過內(nèi)存的數(shù)據(jù)與自身所帶的病毒庫(kù)的特征碼相比較，以判斷是否為木馬。另一種則在內(nèi)存里虛擬執(zhí)行用戶提交的程序，根據(jù)其行為或結(jié)果做出判斷。文件掃描的方式，則和第一種實(shí)時(shí)監(jiān)控的工作方式一樣。

可是，殺毒軟件最大的缺點(diǎn)就是被動(dòng)的防護(hù)，主要依靠病毒特征碼來判斷文件是否是木馬的。對(duì)于木馬變種和新的木馬程序，殺毒廠商很難在第一時(shí)間增加它們的特征碼，所以對(duì)于新的木馬程序，殺毒軟件在第一時(shí)間往往不能察覺。另外，現(xiàn)在很多木馬程序都有自我保護(hù)的功能，它們可以終結(jié)當(dāng)前正在運(yùn)行的殺毒軟件和網(wǎng)絡(luò)防火墻。

兩個(gè)問題看完，小馬哥收獲不小，這時(shí)已經(jīng)很晚，村子里沒人了，還剩下一個(gè)問題就等明天來問吧。

本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。