随着网络的发展，安全意识的提高，人们对木马程序的防范意识越来越强，防范方法和工具也越来越多，但是木马也一直在发展进化，各种木马技术层出不穷，下面来去留就时下流行木马技术作一盘点，希望对大家了解和防范木马有所帮助。

一.反弹端口技术

反弹端口原理：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑，并且可以穿过防火墙(包括：包过滤型及代理型防火墙)。
防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)主动连接客户端(控制端)，为了隐蔽起见，客户端的监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026　ControllerIP:80 ESTABLISHED 的情况，稍微疏忽一点，你就会以为是自己在浏览网页(防火墙也会这么认为的)。
国外的木马“Boinet”是最先实现这项技术的木马，它可以通过ICQ、IRC、HTTP(写入CGI编码)和反向主动连接这四种方式来联系客户端。

二.木马进程注册为系统服务

传统木马主要通过修改启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys来实现自启动。
将木马进程注册为系统服务主要是利用了，在NT/2K/XP这些系统中，系统启动时会加载指定的服务程序，可避免传统的木马启动方式，并使木马进程更具迷惑性。郁闷的是黑客使用的工具居然来自MS Windows2000 Resource Kits.

三.无进程、无端口的DLL（动态链接库）木马

这种木马涉及比较高深的编程技术（Windows Socket 2 SPI技术），在此,Ex4rch只能简单地介绍一下它的实现原理。所谓的无进程实际上是将DLL木马，注入到其它EXE文件中，使其成为木马的合法载体。（一般黑客会选择Explorer.exe、Svchost.exe等系统关键性服务程序，这样用户就很难终止木马的运行）。而所谓的无端口，实际上是重复利用了机器已经打开的端口（如80、135，139等常用端口）来传送数据，这样就避免了开新端口，也能骗过防火墙。并且这样的端口复用是在保证端口默认服务正常工作的条件下进行复用，这是它区别于端口劫持的地方。

四.三（多）线程技术

在操作系统中，进程是存储器、外设等资源的分配单位，同时也是处理器调度的对象，为提高进程内的并发性,Windows中引入了线程的概念，一个进程可以同时拥有多个并发线程。顾名思义，三线程就是指一个木马进程开启了三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和是否被停止自启动，举例而言，一般木马侵入一台电脑后会创建一个备份文件，并在注册表中添加键值，以实现自启动。这个监视线程会定时检查木马程序和注册表中的键值是否存在，如果不存在则使用备份文件恢复木马，并向注册表添加自启动键值。另外一个辅助线程称为守护线程，它驻留在别的EXE文件内，与木马进程同步，一旦木马进程被停止，它就会重新启动该木马，并将自身数据赋给它，类似断点续传，这样就能保证木马程序一直运行。很显然这种木马技术是受了蠕虫病毒“中国黑客”的启发。

五.无客户端木马

这类木马实际上是一个加强版的后门程序，一般被安装在防范薄弱的服务器（俗称“肉鸡”）上，所谓无客户端是指几乎任何和网路相关的程序都可以用来控制他，如Telnet,sterm,IE,Flashget,Cuteftp……由于没有客户端，你甚至可以跨平台控制，你可以登陆上Unix,linux主机，甚至某台路由器，telnet,Ftp命令就可以对服务端进行控制管理，只要黑客高兴,Macos，也可以成为他的客户端控制平台，随着网络的普及不少用户已经实现固定IP上网，对这类木马（如蓝色火焰和winshell等）的防范意识亦应有所提高。

Ex4rch 在写这篇文章时用最新版的诺顿和金山毒霸来检查文中提及的木马程序，除网络神偷外，其他木马都安全过关，这实际上证明了用户及其防范工具在不断发展的木马面前是滞后的、被动的。所以，我们在使用各种工具安全来防范木马的同时，还应进一步提高自身的安全意识，养成良好的上网习惯。