木马病毒方式1：模块通过三方签名过杀毒检测，注册表进行开机启动，通过url进行数据传递，释放不同exe或者文件进行木马功能，感染的dll数据会通过加密，会通过注入explorer.exe,services.exe,spoolsv.exe进行功能实现。

木马病毒方式2： 通过向系统进程services.exe, explorer.exe，svchost.exe注入恶意代码。

木马病毒方式3：木马配置文件通过网站不断下载，通过执行配置文件来创建svchost.exe傀儡进程。

木马病毒方式4：扫描随机ip的电脑，扫描局域网相同网段机器进行病毒感染，通过创建服务SetServiceStatus进行开机自启动功能，对开放的端口进行扫描。

木马病毒方式5：通过伪装html文件去执行病毒功能， 把木马功能伪装成为图片，让那个用户去点击以此来启动功能。通过启动notepad.exe傀儡进程进行木马功能实现。

木马病毒方式6：将将木马程序伪装成为 后缀为jpg的图片文件，伪装成一个无效的快捷键方式，通过注册表来判断木马功能是否实现，通过记录键盘来盗窃账号信息。

木马病毒方式7：通过apc方式注入到系统services.exe进程。

木马病毒方式8：通过伪装成后缀为bat文件进行实现木马功能。伪装成为后缀为vbs文件进行木马功能。

木马病毒方式9：通过创建隐藏文件来执行木马功能。创建伪装成为后缀为lnk（快捷方式）进行执行。

木马病毒方式10：偷偷关闭系统防火墙，伪装成为假qq以此盗窃账号信息。

木马病毒方式11：自启动ie浏览器进程，往ie注入代码。通过U盘数据进行病毒传播，注入恶意shellcode

木马病毒方式12：会将模块隐藏并将后缀伪装成为tmp的(如：xxx.tmp),修改系统模块功能。通过hook技术进行实现功能实现。

木马病毒方式13：释放木马模块，设置LSP注入。通过创建Mutex实现只创建一个实例。

木马病毒方式14: APC注入实现木马模块注入。通过修改注册表来实现任务管理器不能启动。

木马病毒方式15：通过修改host文件劫持导航，安全软件配置文件，浏览器配置文件来实现锁定主页，通过创建svchost.exe傀儡进程进行操作功能。

检测防范思考：可以通过检测开机启动项进去木马功能检测， 端口网络可以使得木马收集的信息或者需要下载的病毒无法进行。

欢迎关注 “小道安全” 公众号，一起学习，一起进步。