（一）木马与远程控制软件的区别

木马的目的就是窃取他人的信息，因此隐蔽性是其首要的特征。因为木马是非法进入系统的，必须隐藏在系统之中，所以木马设计者会想尽一切办法不让使用者发现该程序。这也是木马和远程控.制软件的区别。

木马和远程控制的原理是一样的，都是通过远程控制功能控制目标机器，基本的功能也差不多，但是远程控制软件的服务器端不隐藏，运行时有很明显的标志。例如，常用的远程控制软件PC anywhere等在服务器端运行时，客户端与服务器端连接成功后，服务器端的任务栏上会出现很醒目的提示标志。木马类的软件的服务器端在运行时，不可能出现提示，而是应用各种手段隐藏自己。

（二）木马文件的隐藏与伪装

1.文件的位置

木马的服务器程序文件的一般位置是在“CAWINNT”和“CAWINNT\system32”中。因为Windows的一些系统文件在这两个位置，所以许多人不敢随意删除这里的文件。如果误删了文件，计算机可能崩溃。

2.文件的属性

把文件的属性设置为隐藏，这是最简单、最初级的隐藏方法。

3.文件的捆绑

这种伪装手段是将某个可执行程序和木马捆绑成一个程序，而且会自动更改图标，使捆绑后的程序和捆绑前的程序图标一样，做到天衣无缝。执行捆绑后的程序就等于同时执行了两个程序。被捆绑的文件一般是可执行文件（即EXE、COM之类的文件），网上有各种各样的文件捆绑工具。

4.文件的名字

有些木马是独立的文件，经常使用的是常见的文件名或扩展名，或者仿制一些不易被人区别的文件名。例如，冰河木马的文件名是“kernl32.exe”，而Windows系统本身正常的文件名就有“kernel32.dU”。木马SubSeven1.5版本服务器的文件名是“C：\WINNT\window.exe”，只比正常的文件名少一个字母“s”。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”，与系统基本进程“msgsrv32.exe”类似。例如，字母“o”与数字“0”，如果不仔细留意是很难被人发现的。

5.文件的扩展名

把可执行文件伪装成图片或文本文件，把文件名改为“*.jpg.exe”，由于Windows的默认设置是“不显示已知的文件后缀名”，文件将会显示为“*.jpg”，一旦执行这个文件就会中木马。在程序中把图标改成Windows的默认图片图标，伪装得就更像了。(www.daowen.com)

6.文件的图标

现在已经有些木马可以将木马服务器端程序的图标改成HTML、TXT、ZIP、JPG等各种文件的图标。

（三）木马运行中的隐藏与伪装

1.在任务栏里隐藏

这是最基本的隐藏方式，也是所有木马的特征。在任务栏中隐藏是很谷易实现的，以VB为例，只要把from的Visible属性设置为“False”，ShowInTaskBar设为“False”，程序就不会出现在任务栏中。

2.进程隐藏

按【Ctrl+Alt+Del】组合键打开任务管理器，查看正在运行的进程，可以发现木马的进程，所以木马需要隐藏进程。

（1）系统服务：木马把自己设为“系统服务”就不会出现在任务管理器里。现在添加系统服务的工具很多，最典型的就是net service，还可以手动添加系统服务。

（2）DLL木马：DLL（Dynamic Link Library）是Windows系统的另外一种可执行文件，由多个功能函数构成，不能独立运行，必须由其他进程加载并调用，也就是说“*.dll”运行时是直接挂在调用程序的进程里，并不会另外产生进程。如果木马是一个文件，在任务管理器中就看不到了。

（3）CPL木马：每一个CPL文件都对应【控制面板】中的一个选项，由于CPL文件的特殊性，需要使用RunDll32.exe来启动该文件，如desk.cpl对应【桌面属性】。例如，选择【开始】→【运行】执行后，输入“RunDll32 shell32.dll，Control_RunDLL desk.cpl，，0”（注意是两个逗号），按【回车】键后，将打开【显示属性】对话框的【背景】窗口。CPL文件可以像“*.dll”文件那样被其他进程加载并调用，如果木马是一个“*.cpl”文件，在任务管理器中可以看到RunDll32.exe进程，而RunDll32.exe进程又是常见的进程，看不出木马痕迹。

3.隐藏端口

利用端口反弹木马，如前面讲到的灰鸽子木马。