目前的木马主要具备哪些功能

目前的木马主要具备以下功能：

• 修改注册表：木马在本机上运行后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可借这条通道与服务器端上的木马程序取得联系，任意修改服务器端注册表，包括删除、新建或修改主键、子键、键值。有了这项功能，控制端就可以禁止服务器端光驱的使用，锁住服务器端的注册表，将服务器端上木马的触发条件设置得更隐蔽。

• 文件操作：控制端可借由远程控制对服务端上的文件进行各种操作，如更改文件、新建文件、上传或下载文件，以及将对方的文件拷贝一份等操作。

• 窃取密码：一切以明文的形式或缓存在Cache中的密码都能被木马侦测到。很多木马还提供有击键记录功能，它将会记录服务器端每次敲击键盘的动作，从键盘输入的任何字符都被记录下来，所以一旦有木马入侵，密码将很容易被窃取。

• 视频监控：打开对方的视频摄像头，远程查看摄像头捕获的画面，与公共场所的视频监控没有区别。

• 屏幕监视：能够查看对方的计算机屏幕，对方操作计算机的整个过程，如看电脑、编辑文档、聊天等，攻击者都能看到。

• 远程终端：操作系统的命令提示符，方便用指令操作计算机，如新建系统用户、查看网络状态等。

检测木马的主流技术有以下这些：

• 特征码检测技术：特征码技术是反病毒反木马领域最早使用的技术，也是目前公认的最成熟、最有效的恶意代码检测技术。即便现在动态检测技术发展得如此迅速，也没有撼动特征码检测技术的地位。特征码技术准确性高、误报率低、检测速度快的优点是其他检测技术无法比拟的，因此一直被杀毒软件广泛使用并且沿用至今。特征码检测技术主要包括基于特征码的静态扫描、广谱特征码扫描和内存特征码比对技术3类。

• 基于文件静态特征的检测技术：木马程序的本质是可执行文件。通常Windows操作系统中的EXE和32位的DLL文件都采用的是PE（Portable Executable）格式。由于PE文件具有规范的结构，因此可以利用数据挖掘等信息处理技术分析木马文件与正常的可执行文件的静态特征，研究两者的区别，找出木马文件不同于正常文件的特征，用于木马的检测。目前，基于此思想的木马检测方法主要有PE文件API分析法和静态特征法。

• 文件完整性检测技术：由于木马感染计算机后通常会修改某些系统文件，因此可以通过检查系统文件的完整性判断木马是否存在。文件完整性检测技术又称校验和检测技术，其基本原理是在系统正常的情况下对所有的系统文件做校验，得到每个系统文件的校验和，并保存到数据库中。在后续检测时，首先计算当前状态下系统文件的校验和，然后与数据库中保存的完整的校验和做比较，如果出现某个系统文件的两个校验和不一致，则认为此文件的完整性被破坏，即此文件被修改过，则当前计算机有可能感染了木马。

• 虚拟机检测技术：虚拟机检测技术的原理和VMWare有些类似，都是一种模仿操作系统环境的虚拟环境。虚拟机技术用于木马检测的方法是诱使木马把虚拟机当作真正的主机环境，开始安装、运行以及破坏操作，这样木马就把运行的流程以及行为特征都暴露在分析人员的眼前，这样病毒分析人员就可以根据这些信息判断是否为木马并制定反木马的策略。

• 行为分析技术：行为分析（Behavior Analysis）技术是一种基于程序行为的动态分析技术，主要用于未知木马的检测，在一定程度上解决了信息安全领域防御落后于攻击的难题，是主动防御技术的一种实现方法。行为分析是根据可疑程序运行过程中所体现的一系列行为来判断此程序是否为木马。这些行为包括对文件、注册表的操作以及网络通信的动作等。因此首先要动态监控并获取运行程序的行为，然后分析行为之间的逻辑关系，并运用一定的算法计算出此程序的可疑度，从而决定是否把该程序判定为木马。

• 入侵检测技术：入侵检测是用于检测损害或企图损害系统的机密性、完整性或可用性等行为的一类安全技术。此类技术通过在受保护网络或系统中部署检测设备来监视受保护网络或系统的状态与活动，根据所采集的数据，采用相应的检测方法发现非授权或恶意的系统及网络行为，并为防范入侵行为提供技术支持方法。

• 云安全技术：根据互联网发展的趋势可以预测不久的将来杀毒软件可能无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马，在这样的情况下，仅仅采用传统的特征库判别法显然已经过时。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。