【导读】远程控制工具是一种用于正常的网络管理的工具，远程控制工具的存在及使用通常是为人所知的，而木马除了具有远程控制工具的功能外，通常还具有隐蔽性、秘密性、破坏性等特点。

　　远程控制工具是一种用于正常的网络管理的工具，远程控制工具的存在及使用通常是为人所知的，而木马除了具有远程控制工具的功能外，通常还具有隐蔽性、秘密性、破坏性等特点。有些远程控制工具通过一些相应的配置可以作为木马使用，而木马也可以作为正当用途的远程控制工具使用。

system

　　木马为了达到隐藏自己的目标，通常在设置注册表启动项时具有很强的迷惑性，有些木马还可以随机更改有关的启动项。

　　在文件名的命名上采用和系统文件的文件名相似的文件名，设置文件的属性为系统文件、隐藏、只读属性等，文件的存放地点是不常用或难以发现的系统文件目录中；

APIHOOK技术拦截有关系统函数的调用实现运行时的隐藏，替换系统服务等方法导致无法发现木马的运行痕迹；

　　可以采用端口复用技术不打开新的通信端口实现通信、采用ICMP协议等无端口的协议进行通信，还有些木马平时只有收到特定的数据包才开始活动，平时处于休眠状态。

　　具资料显示有些木马在运行时能够删除自身启动运行及存在的痕迹，当检测到操作系统重新启动时再重新在系统中设置需要启动自身的参数，这类木马存在的问题：

　　可以查看系统端口开放情况，查看系统服务情况，查看系统运行任务是否有可疑之处，注意网卡的工作情况，注意系统日志及运行速度有无异常。

　　通常可以使用杀毒软件进行清除木马，也可以采用手工的方法来进行清除，但是对有些木马采用手工清除的方法可能会存在一些困难，主要时因为：

　　a.有些木马采用了多进程相互监视技术来启动被关闭的进程，很多关键性应用中使用了该技术，比如InterBase

　　对于上述几种情况在一定程度上可以采用修改注册表，使用第三方的一些任务管理器来停止任务，重新启动进入命令行模式来手工清除木马，使用一些专杀