打开木马程序的命令_打开木马程序

带木马的程序，，怎样才能正常使用？

最好先进行杀毒，使专业的木马杀毒软件。建议使用木马专杀软件，木马清道夫2010，360木马专杀，都可以。你可以试一试木马清道夫2010，10年最新版本，木马查杀、恶意网站拦截、防木马盗号等各种功能功能都更加强大和完善，是一款不错的专业杀毒杀木马软件，而且使用方便快捷，希望能帮到你。

怎么用木马？

木马和冰河的使用！【教程】

木马

大家对他的名字很熟悉吧？？是啊木马作为一个远程控制的软件已经深入人心，木马是

什么那？如何使用木马程序控制他人那？？先不要着急，我们来看看木马的发展，对这

个工具作一个简单的介绍：

黑客程序里的特洛伊木马有以下的特点：

（1）主程序有两个，一个是服务端，另一个是控制端。（如果你下载了，请千万不要

用鼠标双击服务器端）

（2）服务端需要在主机（被你控制的电脑）执行。

（3）一般特洛伊木马程序都是隐蔽的进程。（需要专业的软件来查杀，也有不用软件

查杀的办法，我会介绍）

（4）当控制端连接服务端主机后，控制端会向服务端主机发出命令。而服务端主机在

接受命令后，会执行相应的任务。

（5）每个系统都存在特洛伊木马。（包括Windows，Unix，liunx等）

眼中，特洛伊木马是一种病毒。其实特洛伊木马并不是一种病毒，它没有完全具备病

毒的性质。（包括：转播，感染文件等，但是很多的杀毒软件还是可以查杀，毕竟这是

一种使用简单但是危害比较大的软件）

木马的发展：

第一代木马：控制端 -- 连接 -- 服务端

特点：属于被动型木马。能上传，下载，修改注册表，得到内存密码等。

典型木马：冰河，NetSpy，back orifice（简称：BO）等。

第二代木马：服务端 -- 连接 -- 控制端

特点：属于主动型木马。隐蔽性更强，有利用ICMP协议隐藏端口的，有利用DLL（动态

连接库）隐藏进程的，甚至出现能传播的木马。

典型木马：网络神偷，广外女生等。（反弹端口型木马）

第二代木马象广外女生可以使用WINDOWS的漏洞，越过许多防火墙从而进行对系统的监

控（像金山，天网等）

随着木马的发展，并且作为很多人使用的软件，杀毒软件也越来越对这个传播很广的半

病毒不病毒的软件越来越关注（因为作为服务器端可以夹带在任何文件中传播，只要你

打开这个文件，你就肯定会被中上木马，甚至可以在网络上通过下载来传播）所以查杀

木马的工具很多，但是道高一尺，魔高一丈，木马又不断演化出新的品种来对抗杀毒软

件，毕竟中国的广大网民的安全意识不高，加上盗版猖狂，可以正式在网络上进行升级

的并不多，所以木马还是很有使用空间的。下面，我们将介绍一款国产的木马-------

冰河。

需要工具：冰河（随便你找什么版本，因为界面根本就差不多）

Superscan3.0 中文汉化版（上黑白搜索一下可以找到）

首先最重要的一步-------工具接压缩（啊~~我知道是废话。。大家多多包涵嘛。。不

要打拉）

然后运行Superscan3.0（就是那连着的两个电脑图标）

出现界面在IP表里面有两个选项

起始IP：

终止IP：

随便填上两个IP地址（最好是C类IP范围从192.0.0.0--223.255.255.255）

顺便讲一下IP的类型：

A类范围：0.0.0.0---127.255.255.255

B类范围：128.0.0.0---191.255.255.255

C类范围：192.0.0.0---223.255.255.255

D类范围：224.0.0.0---239.255.255.255

E类范围：240.0.0.0---247.255.255.255

一般只有B、C类用的着D类地址是用于多点播送的其他的我也不是很清楚，有兴趣的朋

友可以看看相关的资料。。。。。

闲话说到这里我们继续看起始IP和终止IP

我给大家一个参考

起始IP：202.103.139.1

终止IP：2020103.139.255

填好这个在扫描类型里看列表中定义：

你可以扫描很多的端口，但那对我们的木马攻击没有实际意义

所以我们把两个窗口填上7626（冰河服务端开的端口）。

好了，点开始。

扫描结果会出现在底下兰色的列表中

当然不是所有的结果都有用你要按“Prune”把多余的IP删除掉。剩下IP就是中了冰河

的主机。（假如没有找到，请不要灰心，继续扫描。一个成功的黑客最重要是有耐心

！）

好了打开我们的冰河的客户端（再次提醒！！千万不要点服务器端！！！否则你等于种

木马给自己！！什么？？你已经点了？？你不会那么傻吧。。。。）

具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕

变化的同时，监控端的一切键盘及鼠标*作将反映在被控端屏幕（局域网适用）；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对

话框中出现过的口令信息；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、*作系统版本、当

前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定

注册表等多项功能限制；

5．远程文件*作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏

览文本文件、远程打开文件（提供了四中不同的打开方式--正常方式、最大化、最小化

和隐藏方式）等多项文件*作功能；

6．注册表*作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表

*作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

呵呵，是不是很拽？？哼哼~~我叫你不服！！！我要删掉你C盘文件！！！修改你注册

表！！盗你QQ号码！！上网帐号！！

！………………………………………………………………

罗嗦一下！！你们千万不要搞破坏哦，学会了使用就好。。。

接着，我会介绍特洛伊木马“冰河”的使用：

首先打开客户端

出现*作界面

文件 编辑 设置 帮助

点文件出现下拉菜单

点自动搜索

出现提示框

里面只有起始域 起使地址 终止地址

这三个比较有用

比如我刚才用Superscan3.0 中文汉化版搜索到的IP是202.103.139.25

那么我们就在起始域里输入：202.103.139

起始地址：25

终止地址：25

表示搜索这一个主机

如果扫描结果里显示ERR表示该计算机没有种木马，如果是OK你就爽拉~~

（你也可以在起始域里输入：202.103.139起始里面：1终止里面255，这样是搜索

202.103.139子网里所有的计算机）

看到这里有的朋友会问拉，既然木马可以自己扫描为什么还要上面哪个工具？？嘿嘿~~

哪个比较快嘛，多学一点没有坏处的~~（啊~~我错了还不行？？大家息怒）

只要有扫到的OK的IP就会把该计算机的IP添到主界面的文件管理的下面他的前面有一个

小加号，点开他你可以随便对对方的文件进行修改删除了，你甚至可以上传一个病毒到

他的文件夹中（不推荐，你们没那么大仇吧？？）

好了我们再来看看文件管理右面的命令控制台，这里有你感兴趣的东西哦~~命令很简单

都是一看就会的，你们只要每个都实验一下就知道作什么用的拉

由于危害性我只介绍一个点“命令控制台”---“控制类命令”---“系统控制”

简单的就象小孩子的游戏~~~

看看下面有什么？？

远程关闭计算机

远程从新启动计算机

后面两个没什么用不理他也罢

你只要点一下远程“关闭计算机”

OK拉，他的电脑自己关机拉，不相信？？好，QQ上和他说话，他能回答你才怪：）

好了，关于*作的方法我已经向大家介绍了，这是一个傻瓜式的软件，*作命令全中文，

作用一看就知道，很容易上手，用他来盗QQ也不错哦~~~~（在口令类命令的系统信息及

口令里，要先做键盘记录哦）具体方法请自己研究，我可不想犯罪。。

关于使用方法就介绍到这里，到这里以上为止都是对不特定人物的入侵，那么要怎么对

特定的人物进行入侵那？？记得我不叫你们点的服务器端吗？呵呵，就是他，他是没有

图标的一个运行文件，可以夹带在几乎任何文件里运送，比如照片，FLASH等……（有

相关的合成软件，我不知道具体那里有下载，不过我有的，你们需要可以找我，不过不

要拿来作坏事）你只需要给你的网友用QQ传送个照片呀，一篇文章呀就可以顺利种上木

马，然后你要取得他（她）的IP地址就可以对他进行控制拉，这方法不是我教你们的啊

！！以后不要出卖我，还有电子邮件也可以传播。。。。。。。木马病毒。。

方法有很多大家可以自己研究。。。。。。

下面有几点提示：

1：为什么我解压缩的时候杀毒软件老是报有病毒呀？？

木马本身就是一个病毒，只要你不点服务器端，对你不会造成任何影响

运行的时候也要关掉防火墙，否则系统无法运行。

2：为什么我种上木马以后连接不到计算机？？

很简单，你的版本过旧拉，去下载新的版本吧，再者对方在网吧，由于

设定和家里不一样所以无法连接请尽量选择在家里的倒霉鬼进行实验。

什么？？你不知道他是不是在家？？看QQ的IP地址

比如对方IP是202.103.139.22：4000表示在家

202.103.139.22：1030网吧

只有后面是4000、7000的用户是在家

有的时候是4001、4002表示对方现在运行的QQ数目，不用管他

3：关于冰河的万能密码：

2.2版：Can you speak chinese?

2.2版：05181977

3.0版：yzkzero

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq2000!

有的是要密码口令登陆的，不过一般不要，也不用刻意注意

4：我也种上服务器端了，对方也在家，他也并没发觉我给他种了，但就是连接不正常

呵呵，对方懂得使用代理服务器那你看到的IP地址不是真实的IP地址。这种情况，你还

是放弃吧。

5：冰河是一个很麻烦的家伙，卸载很麻烦就是你安装以后卸载和其他的程序不一样

网上相关文章很多，我由于最近考试关系就不一一介绍了，你可以去黑白网络看看：）

6：如果清除冰河服务端：

方法一： 俗话说，解铃还需系铃人。中了冰河，就用它的控制端来卸载服务端。具体

方法：

1、启动“冰河”的控制端程序。

2、选择“文件”--“添加主机”，或者直接点击快接按钮栏的第一个图标 。

3、弹出的对话框中，“远程主机”一项，填写自己的IP。

4、连接服务端，然后，点击“命令控制台”标签。

5、选择“控制类命令”--“系统控制”，在右面的窗口下方，你会发现四个按钮。点

击“自动卸载”，就将冰河的服务器端清除了。

方法二：

冰河 v1.1

1、打开注册表“Regedit.exe”。（可以在“开始”--“运行”里输入

“regedit”。）

2、点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3、查找以下的两个路径，并删除

“C:\windows\system\kernel32.exe”

"“C:\windows\system\sysexplr.exe”

4、关闭“Regedit.exe”，重新启动Windows。

5、删除“C:\windows\system\kernel32.exe”和

“C:\windows\system\sysexplr.exe”木马程序。

6：重新启动。完成。

方法一是对于你给别人种的服务器端的，记得玩完以后给人家清除掉，作事情不要那么

决情！！

方法二是对于清除自己计算机里的服务器端的，现在就好好看看是不是由于自己的疏忽

被人家种下冰河。。。。。。。。。

小结：对于木马的大家庭来说冰河只是一个小弟弟，但是大家也看到了他的危害性，所

以本人只建议大家学习这个软件，并不是用他去干什么，恶意破坏是低级黑客（根本可

以说是菜鸟）的做法，建议大家不要搞破坏，学习就好。。。。。。。。。。

什么是木马程序，有什么功能？

木马简介前言

在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马，当初怎么就想不通它与病毒扯上关系了。经过一番了解，原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市，从而一举占领敌方城市的故事，因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟：它就是通过潜入你的电脑系统，通过种种隐蔽的方式在系统启动时自动在后台执行的程序，以“里应外合”的工作方式，用服务器/客户端的通讯手段，达到当你上网时控制你的电脑，以窃取你的密码、游览你的硬盘资源，修改你的文件或注册表、偷看你的邮件等等。

一旦你的电脑被它控制，则通常表现为蓝屏然死机；CD-ROM莫名其妙地自己弹出；鼠标左右键功能颠倒或者失灵或文件被删除；时而死机，时而又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用CTRL＋ALT＋DEL调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多等等。

不过要知道，即使发现了你的机器染上木马病毒，也不必那么害怕，因为木马病毒与一般病毒在目的上有很大的区别，即使木马运行了，也不一定会对你的机器造成危害。但肯定有坏处，你的上网密码有可能已经跑到别人的收件箱里了，这样黑客们就可以盗用你的上网账号上网了！木马程序也是病毒程序的一类，但更具体的被认为黑客程序，因为它入侵的目的是为发布这些木马程序的人，即所谓的黑客服务的。

本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。

木马的基本特征

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：

1、隐蔽性是其首要的特征

如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，举个例子来说吧，象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧，大家也知道它是一款远程通讯软件。PCanwhere在服务器端运行时，客户端与服务器端连接成功后客户端机上会出现很醒目的提示标志。而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能还出现什么提示，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。例如大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 它的隐蔽性主要体现在以下两个方面：

a、不产生图标

它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible ”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。

6、 功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

7、黑客组织趋于公开化

以往还从未发现有什么公开化的病毒组织（也许是我孤陋寡闻），多数病毒是由个别人出于好奇（当然也有专门从事这一职业的），想试一下自己的病毒程序开发水平而做的，但他（她）绝对不敢公开，因为一旦发现是有可能被判坐牢或罚款的，这样的例子已不再什么新闻了。如果以前真的也有专门开发病毒的病毒组织，但应绝对是属于“地下”的。现在倒好，什么专门开发木马程序的组织到处都是，不光存在，而且还公开在网上大肆招兵买马，似乎已经合法化。正因如此所以黑客程序不断升级、层出不穷，黑的手段也越来越高明。我不知道为什么，但据讲其理由是“为了自卫、为了爱国” 。

木马入侵的常用手法及清除方法

虽然木马程序千变万化，但正如一位木马组织的负责人所讲，大多数木马程序没有特别的功能，入侵的手法也差不多，只是以前有关木马程序的重复，只是改了个名而已，现在他们都要讲究效率，据说他们要杜绝重复开发，浪费资源。当然我们也只能讲讲以前的一些通用入侵手法，因为我们毕竟不是木马的开发者，不可能有先知先觉。

1、在win.ini文件中加载

一般在win.ini文件中的[windwos]段中有如下加载项：

run= load= ，一般此两项为空，如图1所示。

图1

如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪装。

2、在System.ini文件中加载

我们知道在系统信息文件system.ini中也有一个启动加载项，那就是在[BOOT]子项中的“Shell”项，如图2所示。

图2

在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改"Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把“Explorer”改为别的什么名字，因为他知道还是有很多朋友不知道这里就一定是“Explorer”，或者在“Explorer”加上点什么东东，加上的那些东东肯定就是木马程序了。

3、修改注册表

如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是”Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce]，如图3所示；

图3

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如图4所示。

图4

你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则立即删除。

4、修改文件打开关联

木马程序发展到了今天，他们发现以上的那些老招式不灵了，为了更加隐蔽自己，他们所采用隐蔽的手段也是越来越高明了（不过这也是万物的生存之道，你说呢？），它们采用修改文件打开关联来达到加载的目的，当你打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件（.txt）这个最常见，但又最不引人注目的文件格式关联来加载自己，当有人打开文本文件时就自动加载了冰河木马。

修改关联的途经还是选择了注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图5所示，

图5

如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是“c:\windows\notepad.exe %1”，而是改为“sy***plr.exe %1”。

以上所介绍的几种木马入侵方式，如果发现了我们当然是立即对其删除，并要立即与网络断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除。如果作了注册表备份，最好全部删除注册表后再导入原来的备份注册表。

在清除木马前一定要注意，如果木马正在运行，则你无法删除其程序，这时你可以重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果你是在木马处于活动时删除该项的话它能自动恢复，这时你可以重启到DOS下将其程序删除后再进入Win9x下将其注册表中的自启动项删除。

Windows系统下常遇的木马预防技巧总结

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

随着微软的.操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。