内存型木马难以检测的原因有哪些

内存型木马难以检测的原因有：

• 内存马无逻辑结构边界，难以被发现内存马仅存在于进程的内存空间中，通常与正常的合法的代码、数据混淆。内存马与传统恶意代码的不同之处在于它没有磁盘文件，会导致传统的检测防护手段失效。

• 内存马缺乏稳定的静态特征，难以被识别内存马缺乏结构化的静态形式，它依附在进程运行期间的输入数据进入进程，数据可能被加密混淆，因此，无法通过特征识别内存马。

• 内存马种类多，检测机制复杂而多样，内存马有二进制代码片段、PowerShelll脚本、Web中间件等类型，每种类型又可细分，不同类型内存马的执行方式、恶意代码行为触发机制各不相同。

针对内存不死内存木马的防御方法有：

• 对开放上传附件功能的网站，一定要进行身份认证，并只允许信任的人使用上传程序；

• 保证所使用的程序及时地更新；

• 不要在前台网页加注后台管理程序登录页面的链接；

• 时常备份数据库等文件，但是不要把备份数据放在程序默认的备份目录下；

• 管理员的用户名和密码要有一定复杂性；

• IIS中禁止目录的写入和执行功能，可以有效防止asp木马；

• 在服务器、虚拟主机控制面板设置执行权限选项中，将有上传权限的目录取消asp的运行权限；

• 创建一个robots.txt上传到网站根目录，Robots能够有效防范利用搜索引擎窃取信息的骇客；