在已知的有限样本中到没有多少让人惊艳的。那些通用的，大家已知的显然算不得强大。好的马显然是私货，大家看不到的，这说得有点假，呵呵。木马好于不好主要看功能与隐藏，什么摄像头窥屏虽然花哨，还真没什么意思。我觉得一个好的木马是很好的隐藏到目标服务器或业务流程中去真人棋牌游戏，而其功能又是借助寄生环境的功能或通道。说隐藏可能又有人想到内核 更底层，其实不一定要这类方式。隐藏于业务系统中，例如 一个大型网站脚本后门，其实你重做多少次系统也跑不掉，因为受害者不可能删除它的网站源码。如果是bios 或mbr ，如果人家换了服务器呢，呵呵。很多后门其实也可能说是漏洞，阴谋论一点说 WINDOWS的所有漏洞都可能是美帝的后门。通道比如各种协议的复用，tcp/ip各层的封装，到更上层的应用层协议，业务流程。 其实前面同学说的 update ，不就是业务流程么。功能则根据攻击者目标而定，如果目标是盗取数据，那就不需要什么摄像头\执行命令之类的功能，越少越好。简单的说 系统新启动一个tcp连接，而且还启动了cmd.exe ，再 2 都能看懂有问题。如果一个每天定期扫描读取业务文件的进程，还定期通过icmp包上报心跳，那天这读取的业务文件信息从内存中被copy一份，依旧发送的icmp包比平时多几十字节，这个数据包会流经多个不安全的网络节点。你怎么看这个事？上面描述的 可能有可能没有，信则有不信则无。呵呵各种入侵 后门啊什么的水太深，再多的口水都在高手眼里是渣渣 ，呵呵=============================看来楼主讨论得很嗨，其实我的意思是 “木马”不必拘于形，只要隐蔽的完成攻击者的任务即可。存在形式可能是文件、进程、shellcode、一句脚本、一个缺陷的业务逻辑等，而功能则看需求。常规常见通用木马则不必在这细谈了。