木马病毒全解析：工作原理、传播方式、查杀技巧与深度预防策略.pdfVIP

⽊⻢病毒全解析：⼯作原理、传播⽅式、查杀技

巧与深度预防策略

作者：祝前臻

前⾔

在数字化时代，⽊⻢病毒已成为⽹络安全领域最具隐蔽性与破坏性的威胁之⼀。从早期伪装成“免费

软件”的盗号⽊⻢，到如今结合AI⽣成钓⻥⻚⾯的⽹⻚⽊⻢，其形态与技术不断迭代，攻击⽬标也从

个⼈电脑延伸⾄企业服务器、移动设备及物联⽹终端。据《2024年全球⽹络安全态势报告》显⽰，⽊

⻢病毒相关攻击占全年⽹络攻击总量的37%，其中“⽆⽂件⽊⻢”“供应链⽊⻢”等新型变种占⽐逐

年上升。

本⽂基于⽹络安全实战经验与权威⽂献（如《⿊客渗透笔记》《⽊⻢病毒的查杀与预防》等），系统

梳理⽊⻢病毒的核⼼逻辑：什么是⽊⻢病毒→如何⼯作→怎样传播→如何查杀→怎样预防。内容兼顾

专业性与实⽤性，既适合⽹络安全从业者深化认知，也能帮助普通⽤⼾建⽴“识⻢、防⻢、杀⻢”的

底层思维。

第⼀章
认知基⽯：⽊⻢病毒的本质与核⼼特征

1.1
⽊⻢病毒的定义与起源

1.1.1
术语辨析：⽊⻢≠病毒

在⽹络安全语境中，“⽊⻢”与“病毒”常被混淆，但⼆者本质不同：

•病毒：具有“⾃我复制”能⼒的恶意程序，可通过感染⽂件、磁盘扇区扩散（如CIH病毒），核⼼

是“破坏+传播”；

•⽊⻢（Trojan
Horse）：⽆⾃我复制能⼒，依赖⽤⼾主动执⾏（如点击附件、下载软件），核⼼

是“伪装+控制”（取⾃古希腊“特洛伊⽊⻢”典故⸺藏兵于“礼物”中突破防线）。

简⾔之，病毒是“主动扩散的破坏者”，⽊⻢是“被动触发的控制者”。

1.1.2
⽊⻢的起源与演化

⽊⻢的历史可追溯⾄1986年：第⼀款公开报道的⽊⻢是“PC-Write⽊⻢”，伪装成热⻔⽂字处理软件

PC-Write的安装包，运⾏后窃取⽤⼾⽂档并发送给攻击者。此后，⽊⻢随互联⽹普及不断演化：

•1990年代：以“盗号”为核⼼（如“冰河⽊⻢”，控制电脑后窃取QQ、⽹游账号）；

•2000年代：转向“远程控制”（如“灰鸽⼦”，可监控摄像头、操作⽂件）；

•2010年代：融合“漏洞利⽤”（如“Stuxnet震⽹病毒”，利⽤Windows漏洞传播，攻击⼯业控制

系统）；

•2020年代：趋向“轻量化+隐蔽化”（如⽆⽂件⽊⻢，仅驻留内存，难以被传统杀毒软件检测）。

1.2
⽊⻢病毒的核⼼特征

根据《⿊客攻防与⽹络安全从新⼿到⾼⼿》等⽂献，⽊⻢的核⼼特征可归纳为“六性”：

1.2.1
隐蔽性：藏于“正常”之中

⽊⻢会通过伪装融⼊系统环境，常⻅⼿段包括：

•图标伪装：将⽊⻢图标改为“记事本”“图⽚”等常⻅图标（如“图⽚⽊⻢⽣成器”可将⽊⻢嵌⼊

JPG⽂件）；

•名称伪装：命名为“系统更新.exe”“杀毒补丁.exe”，诱导⽤⼾点击；

•进程伪装：模仿系统进程（如将⽊⻢进程命名为“svchost.exe”，与系统服务进程同名）；

•⽆⽂件隐藏：驻留内存⽽⾮硬盘（如PowerShell⽆⽂件⽊⻢，仅存在于系统内存中，重启后消

失）。

1.2.2
潜伏性：等待“触发时机”

⽊⻢不会⽴即发作，⽽是⻓期潜伏以规避检测：

•部分⽊⻢设置“延迟启动”（如运⾏后等待24⼩时再连接攻击者服务器）；

•部分⽊⻢仅在“特定条件”下激活（如检测到⽤⼾登录⽹银时，才启动键盘记录功能）。

1.2.3
⾃动运⾏性：随系统“启动即活”

⽊⻢会通过修改系统启动项实现“开机⾃启”，常⻅⽅式包括：

•添加注册表键值（如HKCU\Software\Mirosoft\Windows\CurrentVersion\Run）；

•伪装成系统服务（如将⽊⻢注册为“Windows
Update
Service”）；

•嵌⼊启动⽂件夹（如

C:\Users\Administrator\AppData\Roaming\Mirosoft\Windows\Start

Menu\Programs\Startup）。

1.2.4
欺骗性：利⽤“⼼理盲区”

⽊⻢的核⼼是“骗⽤⼾主动执⾏”，常⻅欺骗场景包括：

•邮件附件：伪装成“合同.doc.exe”（利⽤Windows默认隐藏扩展名的特性，⽤⼾误以为是DOC⽂

件）；

•⽹⻚挂⻢：在正常⽹⻚中插⼊恶意代码，⽤⼾访问时⾃动下载⽊⻢（如“杰奇⼩说系统”漏洞挂

⻢）；

•社交软件：通过QQ、微信发送“趣味图⽚.exe”，声称“点击看搞笑视频”。