一．研究背景

    随着互联网技术的发展，利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁，例如黑客攻击，计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下，如何保证自己的信息安全就显的非常重要。
    特洛伊木马（简称木马）是一种具有运行非预期或未授权之功能的程序，例如可以记录用户键入的密码，远程传输文件，甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后，就会在主机上安装后门，即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等，甚至可以远程监控用户的操作，因此，某些行业，如国防、外交和商务部门，特洛伊木马的危害性更大，一旦这些部门被安装了木马，损失就会非常惨重。
    人们常常将特洛伊木马看成是计算机病毒，其实，它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性，而特洛伊木马具有数据的泄密性。特洛伊木马一般没有复制能力，不会感染其他的寄宿文件，一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性，会不断感染其他的同类文件，在同一台主机上，会出现很多被感染的文件。
    而目前，人们对计算机病毒的研究比较多，而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马，但是，现在的大多数反病毒软件采用的是特征码检测技术，即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码，放入病毒库中，将待检测的软件与病毒库中的特征码比较，如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码，非常快捷有效，但是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的出现的，在这个时间差内，新的恶意代码可能就会泛滥，造成重大损失，特征码技术的这种局限性就决定了其滞后性。
    因此，研究如何预防和检测新的未知恶意代码就显的非常重要。由于特洛伊木马特殊的危害性，研究木马的预防和检测意义重大。