木马来源于希腊神话，希腊的军队一直无法攻下特洛依城，英雄奥德休斯想出了一个办法，就是制造一个巨大的木马，将自己的士兵藏在里面，然后把木马送进去，在特洛依的军队以为希腊要投降而狂欢的时候，木马里面的士兵突然冲了出来然后称趁乱打开了特洛依的城门。好了不要丢番茄了，我不讲故事了还不行……
    现在我们所知的木马，和那个攻下特洛依的木马其实是一样的。他们都喜欢伪装成其他的看来比较正常的程序，在你疏忽的时候打开你电脑的大门，嘿嘿。正所谓知己知彼，百战不殆，所以现在我们就来分析一下木马的几种常见手段。
    木马要进入你的电脑，不外乎几种手段：其一，伪装成一个非常友好的程序然后引诱你下载；其二，他利用IE的漏洞藏身于网页当中，在你浏览网页的时候偷偷进入你的电脑 ；其三，黑客直接把木马送入你的电脑里。暂时就能想到这么多了。
    无论木马使用的是何种手段，他都一定会在你的电脑中留下点东西的。当然不留东西的也有，不过那个就不是木马勒。知道了这一点，我们其实对木马根本没什么可怕的，一个标准的木马是由Client客户端/Sever服务器端（以下简称C/S）组成的，一般来说，黑客会将S送给你，当S在你的电脑中悄然运行时，就等于给黑客敞开了大门，他用C就可以轻松的连接到你的电脑，此时你的电脑控制权就已经交给他了。
    差不多木马就是这样的一种东西，你完全无需害怕他，因为总有个S在你的电脑里，只有一个C的木马是没有任何用处的。而发现这个S的过程就是以下内容了～
    S无论如何也是需要运行的。他可能直接加入你的启动项中，或者利用其他程序来运行，现在我们来详细的分析分析——
    网页木马，嘿嘿，这个冬冬麻烦一些，在你浏览网页的时候会偷偷下载来的。解决方法很多，可以把IE的安全级别改成高，或者装杀软即时网页监控（废话），换非IE内核浏览器最好，嘿嘿，另外那个木马一般是下载到C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5，这个路径是看不到的，直接打入到地址栏里就能进去，IE的临时文件拉^_^，其实你不用特别在意这里，因为这里的文件都没有，木马在进入这里之后只要没被拦下来马上会跑到其他文件夹去的
    msconfig，这是一个相当有用的软件，这里你可以看到相当多的启动项目，大多数木马都可以在这里发现。这里，我们主要注意的地方就是服务和启动。服务列表里猛一看确实挺凌乱，不过可以选择隐藏所有非微软服务，现在就好多了。如果这里有一些陌生的程序，那么你就不得不怀疑一下，把他的名称打入搜索引擎应该会得到不错的结果。启动里面也一样的，这里木马出现的机率非常高。如果启动的文件在系统目录里，八成可能是木马，如果看到了rundll32.exe那么九成可能是木马在使用它调用自己运行，另外一成可能是广告程序。多看看路径，自己装了什么软件应该很熟悉的吧，有陌生的文件名就去搜索一下吧。
还有win.ini这里，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马也喜欢这里的，还有system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”，如果不是这个就要注意了。
    另外不得不提及注册表编辑器，运行regedit即可，来这里看看，木马经常藏匿的地方
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

    上面那个是最常见的了。还有一种木马会插入你的系统进程，比较难被发现的说。在此我特别推荐IceSword，非常方便的查看目前所调用的dll进程。另外也有一些木马会代替你的系统文件运行。这类木马并不多，但不是没有。要发现他们比较麻烦，只能靠多监控系统的运行状况。这里我推荐直接运行netstat /a来查看网络状况，如果发现了陌生的连接就很值得怀疑。
    这些都是挺麻烦的方法吧，所以我再次推荐hijackthis，很方便的工具，可以查看到系统中所有可能藏着木马的地方以及可能被木马修改过的选项。他的log比较复杂，对于木马来说，我们要注意的就是 O4 - HKLM\..\Run和O23 - Service，一个是启动项一个是非微软服务，只要平时有注意自己装了什么软件就不要紧。
    强力推荐一款系统检测软件WinPatrol，平时运行着他，可以检测新增的启动项等等，很小巧的软件不过却能在的一时间引起你的注意。关于这个软件的介绍稍后搞定。
    木马的防护并是一件很困难的事情，只要有心就可以了。木马也不是神话，只要有S在你的电脑里总会被发现的。感觉自己说的方法并不多，不过事实上通用的方法就这些了，具体来说每个木马都略有不同，但那只不过是路径和文件名的变化而已。还是那句老话，多注意自己的启动项，对安全比较关注的话可以看一下IceSword和hijackthis。另外也推荐一下tcoview，完全可以替代netstat，呵呵^_^。只要你多注意一点，木马根本就没什么可怕的。
    另外，如果有问题的话在这里回帖好了，我尽量答复你。自己对这个文章不很满意，我还会修改的，希望多给我提提意见啊～
    根据国际惯例，在文章的最后，我特别BS一下newpants，答应帮我找资料结果人就跑了，强力的BS中
    PS.中级篇终于是差不多了呵，高级篇策划中，今后推出，嘿嘿，还是继续华丽的期待吧～～～