分析并清除web服务器上的网页木马

　　加壳处理：关于壳的概念我们曾经介绍过，就是为了让别人无法修改编译好的程序文件，同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀，这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀，但只局限于一些比较热门的加壳程序，例如aspack、UPX等，而碰上一些经过冷门加壳程序处理后的木马时，就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。

　　冷门的加壳程序

　　修改特征码：杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时，如果在程序中发现了病毒特征码，就将该程序判定为病毒。黑客当然也明白这个道理，于是他们会修改木马中被定为特征码的部分代码，将其加密或使用汇编指令将其跳转，这样杀毒软件就无法在木马中找到病毒特征码，自然也就不会将其判定为病毒了。

　　虽然这两种方法都可以躲过杀毒软件的查杀，但是我们还是有办法阻止木马运行的，具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢？这里我们以“灰鸽子”木马为例，演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理，杀毒软件无法查杀。

　　潜伏的攻击者：网页木马

　　为什么我们一打开网页就会运行木马程序，木马又是如何“挂”在网站上的呢？这就要涉及“网页木马”这个概念。 网页木马就是将木马和网页结合在一起，打开网页的同时也会运行木马。最初的网页木马原理是利用IE浏览器的ActiveX控件，运行网页木马后会弹出一个控件下载提示，只有点击确认后才会运行其中的木马。这种网页木马在当时网络安全意识普遍不高的情况下还是有一点使用价值的，但是其缺点是显而易见的，就是会出现ActiveX控件下载提示。当然现在很少会有人去点击那莫名其妙的ActiveX控件下载确认窗口。