新手们清除web网页木马的方法

在我们使用电脑上网的过程中，相信我们都有碰到过这种情况。那就是访问某个网站的时候，杀毒软件突然提示该网站内含有病毒。在发生这种情况的大多数时候，其实您访问的网站本身是没有病毒的，那么为什么会发生这种情况呢？可能性最大的就是该网站被挂马了。下面就详细的说明一下。

挂马的核心：木马

从“挂马”这个词中我们就可以知道，这和木马脱离不了关系。的确，挂马的目的就是将木马传播出去，挂马只是一种手段。挂马使用的木马大致可以分为两类：一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是为了得到大量的肉鸡，以此对某些网站实施拒绝服务攻击或达到其他目的（目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者）。另一类是键盘记录木马，我们通常称其为盗号木马，其目的不言而喻，都是冲着我们的游戏帐号或者银行帐号来的。目前挂马所使用的木马多数属于后者。

木马的免杀伎俩

作为挂马所用的木马，其隐蔽性一定要高，这样就可以让用户在不知不觉中运行木马，也可以让挂马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀，使用的伎俩很多。通常使用的方法有：

加壳处理：

关于壳的概念我们曾经介绍过，就是为了让别人无法修改编译好的程序文件，同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀，这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀，但只局限于一些比较热门的加壳程序，例如aspack、UPX等，而碰上一些经过冷门加壳程序处理后的木马时，就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。

冷门的加壳程序

修改特征码：

杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时，如果在程序中发现了病毒特征码，就将该程序判定为病毒。黑客当然也明白这个道理，于是他们会修改木马中被定为特征码的部分代码，将其加密或使用汇编指令将其跳转，这样杀毒软件就无法在木马中找到病毒特征码，自然也就不会将其判定为病毒了。

虽然这两种方法都可以躲过杀毒软件的查杀，但是我们还是有办法阻止木马运行的，具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢？这里我们以“灰鸽子”木马为例，演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理，杀毒软件无法查杀。