遠(yuǎn)程控制工具是一種用于正常的網(wǎng)絡(luò)管理的工具,，遠(yuǎn)程控制工具的存在及使用通常是為人所知的，而木馬除了具有遠(yuǎn)程控制工具的功能外,，通常還具有隱蔽性,、秘密性,、破壞性等特點(diǎn)。有些遠(yuǎn)程控制工具通過一些相應(yīng)的配置可以作為木馬使用,，而木馬也可以作為正當(dāng)用途的遠(yuǎn)程控制工具使用,。
　　
　　木馬的實現(xiàn)技術(shù)：
　　1.木馬的常用啟動方式
　　
　　對于一般的應(yīng)用程序來說通常有下面的幾種自啟動方式：
　　
　　a.把程序放入系統(tǒng)的啟動目錄中，注意在windows中有兩個自啟動目錄,；
　　
　　b.把程序的自啟動設(shè)置到系統(tǒng)配置文件中,，如win.ini、system.ini等中,；
　　
　　c.在注冊表中進(jìn)行配置實現(xiàn)程序的自動啟動,；
　　
　　d.把程序注冊為系統(tǒng)服務(wù)；
　　
　　c.替換系統(tǒng)文件,；(該方法在目前的Windows2000及以后的操作系統(tǒng)中已經(jīng)基本失效),；
　　
　　木馬為了達(dá)到隱藏自己的目標(biāo)，通常在設(shè)置注冊表啟動項時具有很強(qiáng)的迷惑性,，有些木馬還可以隨機(jī)更改有關(guān)的啟動項。
　　
　　2.木馬的隱蔽性
　　
　　木馬的隱蔽性是木馬能否長期存活的關(guān)鍵,，這主要包括幾方面的內(nèi)容：
　　
　　a.木馬程序本身的隱蔽性,、迷惑性；
　　
　　在文件名的命名上采用和系統(tǒng)文件的文件名相似的文件名,，設(shè)置文件的屬性為系統(tǒng)文件,、隱藏、只讀屬性等,，文件的存放地點(diǎn)是不常用或難以發(fā)現(xiàn)的系統(tǒng)文件目錄中,；
　　
　　b.木馬程序在運(yùn)行時的隱蔽性；
　　
　　通常采用了遠(yuǎn)程線程技術(shù)或HOOK技術(shù)注入其他進(jìn)程的運(yùn)行空間,，采用API HOOK技術(shù)攔截有關(guān)系統(tǒng)函數(shù)的調(diào)用實現(xiàn)運(yùn)行時的隱藏,，替換系統(tǒng)服務(wù)等方法導(dǎo)致無法發(fā)現(xiàn)木馬的運(yùn)行痕跡；
　　
　　c.木馬在通信上的隱蔽性,；
　　
　　可以采用端口復(fù)用技術(shù)不打開新的通信端口實現(xiàn)通信,、采用ICMP協(xié)議等無端口的協(xié)議進(jìn)行通信，還有些木馬平時只有收到特定的數(shù)據(jù)包才開始活動,，平時處于休眠狀態(tài),。
　　
　　d.不安全的木馬技術(shù)；
　　
　　具資料顯示有些木馬在運(yùn)行時能夠刪除自身啟動運(yùn)行及存在的痕跡,，當(dāng)檢測到操作系統(tǒng)重新啟動時再重新在系統(tǒng)中設(shè)置需要啟動自身的參數(shù),，這類木馬存在的問題：不安全，當(dāng)系統(tǒng)失效時(如斷電,、死機(jī)時)無法再次恢復(fù)運(yùn)行,。

 

木馬的發(fā)現(xiàn)及清除：
　　1.木馬的發(fā)現(xiàn)
　　
　　可以查看系統(tǒng)端口開放情況,，查看系統(tǒng)服務(wù)情況，查看系統(tǒng)運(yùn)行任務(wù)是否有可疑之處,，注意網(wǎng)卡的工作情況,，注意系統(tǒng)日志及運(yùn)行速度有無異常。
　　
　　
　　2.木馬的清除
　　
　　通?？梢允褂脷⒍拒浖M(jìn)行清除木馬,，也可以采用手工的方法來進(jìn)行清除，但是對有些木馬采用手工清除的方法可能會存在一些困難,，主要時因為：
　　
　　a.有些木馬采用了多進(jìn)程相互監(jiān)視技術(shù)來啟動被關(guān)閉的進(jìn)程,，很多關(guān)鍵性應(yīng)用中使用了該技術(shù)，比如InterBase數(shù)據(jù)庫等,；
　　
　　b.有些木馬使用任務(wù)管理器無法停止運(yùn)行,，導(dǎo)致無法刪除；
　　
　　c.有些木馬運(yùn)行在其他的進(jìn)程空間中無法在任務(wù)管理器中發(fā)現(xiàn)及停止,。
　　
　　對于上述幾種情況在一定程度上可以采用修改注冊表,，使用第三方的一些任務(wù)管理器來停止任務(wù)，重新啟動進(jìn)入命令行模式來手工清除木馬,，使用一些專殺工具來清除木馬,。