多數(shù)木馬都是本地捕捉和存儲(chǔ)數(shù)據(jù)；將數(shù)據(jù)捕捉和發(fā)送到遠(yuǎn)程地點(diǎn)；或者激活遠(yuǎn)程訪問(wèn)或控制被感染的系統(tǒng)。竊取信譽(yù)對(duì)于這些犯罪分子來(lái)說(shuō)輕而易舉，就像他們竊取企業(yè)未經(jīng)防范的數(shù)據(jù)一樣簡(jiǎn)單。不過(guò)如果犯罪分子目前竊取了大量的數(shù)據(jù)，那就很難在不被偵測(cè)到的情況下將這些記錄發(fā)送出去。因此現(xiàn)在的犯罪分子開(kāi)始使用"捕捉和存儲(chǔ)"的變種方式。

攻擊者通常都偏好那種可以竊取支付卡數(shù)據(jù)和私人身份驗(yàn)證信息的方法，因此經(jīng)常輸出包含數(shù)百萬(wàn)條記錄的大型文件就是他們下手的目標(biāo)。當(dāng)然在受害者的系統(tǒng)上存儲(chǔ)有效載荷也會(huì)為攻擊者制造某種挑戰(zhàn)，即如何找回這些存儲(chǔ)數(shù)據(jù)。為了解決這個(gè)問(wèn)題，攻擊者典型的做法是打開(kāi)一個(gè)后門(mén)來(lái)返回未被偵測(cè)的系統(tǒng)。

法規(guī)遵從推動(dòng)木馬偵測(cè)市場(chǎng)
企業(yè)目前在他們的業(yè)務(wù)流程中遵循PCI DSS標(biāo)準(zhǔn)。這種標(biāo)準(zhǔn)引進(jìn)了加密技術(shù)和各種保護(hù)數(shù)據(jù)不受犯罪分子侵襲的加強(qiáng)型防御措施。企業(yè)已經(jīng)開(kāi)始將不太敏感的數(shù)據(jù)作為常規(guī)業(yè)務(wù)運(yùn)營(yíng)的組成部分來(lái)存儲(chǔ)，而對(duì)要保留的敏感數(shù)據(jù)進(jìn)行加密。犯罪分子當(dāng)然也不會(huì)坐以待斃，無(wú)論企業(yè)采用何種商業(yè)模式，他們都會(huì)改變攻擊方式來(lái)與之相適應(yīng)。

傳統(tǒng)上說(shuō)，我們都是講數(shù)據(jù)作為文件存儲(chǔ)在硬盤(pán)上。無(wú)論如今的企業(yè)如何部署運(yùn)營(yíng)，數(shù)據(jù)都可以從RAM或頁(yè)面文件或未分配的磁盤(pán)中刪除。這就意味著在企業(yè)目前所需的保護(hù)措施中存在鴻溝。

如今要?jiǎng)?chuàng)建能分析RAM的木馬，需要考慮的因素有知識(shí)，時(shí)間和金錢(qián)。不會(huì)有外行人去做這項(xiàng)工作。你會(huì)發(fā)現(xiàn)是專(zhuān)業(yè)的木馬編程人員為了實(shí)施有組織的犯罪行為來(lái)專(zhuān)門(mén)研發(fā)木馬程序。大量有價(jià)值的數(shù)據(jù)從某方面驅(qū)動(dòng)著木馬編程人員去開(kāi)發(fā)新的木馬程序來(lái)實(shí)施犯罪目的，而且他們想方設(shè)法編譯不被目前防病毒引擎?zhèn)蓽y(cè)到的木馬代碼。這是個(gè)很?chē)?yán)肅的話題，特別是當(dāng)你看到木馬的新型變種能夠繞過(guò)最新配置的加密系統(tǒng)時(shí)，問(wèn)題的嚴(yán)重性可想而知。

不僅是企業(yè)的變化推動(dòng)了新的木馬變種，而且黑市本身也導(dǎo)致了這種變化。因?yàn)橛腥绱吮姸嗟男庞每ㄐ畔⒛軓氖袌?chǎng)上輕易獲取，因此價(jià)格也隨之下降，犯罪分子不得不研發(fā)新的方法來(lái)收集更具價(jià)值的數(shù)據(jù)來(lái)維持盈利。在信用卡數(shù)據(jù)方面，獲取與磁條數(shù)據(jù)相關(guān)的PIN密碼也不是什么新鮮話題了。內(nèi)存可擦除技術(shù)也處在了這種新發(fā)掘金礦的前沿。

面對(duì)木馬程序的復(fù)雜性，你該如何保護(hù)你的數(shù)據(jù)？
我們都配置了常規(guī)法規(guī)遵從標(biāo)準(zhǔn)所要求的安全保護(hù)措施。即使是這樣，我們知道犯罪分子還是會(huì)想方設(shè)法繞過(guò)所有我們?cè)O(shè)置的屏障。了解防火墻，入侵檢測(cè)系統(tǒng)，防病毒，反間諜和其他各種終端解決方案現(xiàn)在已經(jīng)不像曾經(jīng)那樣有效了，是時(shí)間真正檢查一下我們的業(yè)務(wù)流程，看看是否有辦法來(lái)完成這些任務(wù)。

yajing