一、行为方式

    黑客程序的行为是它能否作为查杀对象的根据。就目前国内最流行的几种黑客程序看，它们都可以在用户不知情时秘密运行，甚至具有对抗防火墙的功能。以最近开始流行的跨平台木马"蓝色火焰"为例，该木马有针对天网防火墙的设置选项，用户可以选择是否关闭天网防火墙。一旦所有配置选择完成，该程序会生成一个专门的服务器。此后，即使将原来的"蓝色火焰"删除，电脑也会成为他人自由操作的远程服务器。由于此类黑客程序采用了特殊的编程和运行方式，一般用户不可能觉察它的运行。您必须在MS-DOS提示符下输入"netstat -a-n"，如果出现了不正常的端口，例如"16782"等，说明电脑可能被蓝色火焰入侵。这和变形"本-拉登"病毒具有反杀除能力，能对抗某些反病毒软件和病毒监控程序，强行终止某些反病毒程序运行的表现如出一辙。

    再看看"网络神偷"，它采用服务端主动连接客户端的方式，监听端口一般开在80（HTTP服务端口），用户使用端口扫描软件也很难发现它。根据公认的电脑病毒定义，一个程序即使它不具有任何破坏性，但只要有未经用户授权就可以执行的特性，就可以认为它是电脑病毒。根据这一标准，黑客程序与病毒没有任何区别。

    另一方面，病毒程序的运行非常隐蔽，从早期的软盘感染到今天的网络扩散，没有"KV3000实时监测病毒防火墙"这样的工具，人们很难觉察它的存在。同时，病毒清除起来也很困难，不借助杀毒软件几乎不可能将它扫地出门。在这些方面，黑客程序也有同样"出色"的表现，它运行起来也是"悄无声息"，甚至使用进程监视工具也难以看到它。无论是早期的"冰河"或现在的"网络神偷"、"蓝色火焰"，普通用户不借助KV3000之类的杀毒软件很难将它赶走。从以上两点可以看出，黑客程序和病毒是一根藤上的两个毒瓜。

    二、入侵途径

    从黑客程序进入被侵害电脑的途径看，黑客程序与电脑病毒也有很多相似之处。病毒通过网络传输、磁盘交换等途径，未经用户允许强行侵入电脑。而绝大多数黑客程序采用了与电子邮件捆绑，伪装成趣味程序诱骗用户，制作蠕虫+黑客类病毒等传播手段。如"网络神偷"可以和其他程序捆绑在一起，当用户安装运行带有服务端的程序后，服务端可以从捆绑程序释放后驻留电脑。可见两者的侵入电脑的途径大同小异，只是采用的手段有一点点不同罢了。无论如何，不会有用户主动给电脑安装木马，这就像没有人主动将小偷领进家门一样。从这个意义上讲，黑客程序与私闯民宅的行径性质相同，所以将黑客程序列入病毒范畴是不容置疑的。

    三、程序设计

    从程序设计的角度看，黑客程序和病毒也存在共同点。它们都有非法侵入他人系统的故意。正规的远程控制软件具有完善的安全机制，提供了可靠的安全控制机制，能够严格限制客户端对服务端的访问，几乎不可能给予系统管理员的权限。通过VPN传输的数据均经过加密和压缩，为用户提供了较好安全信息保证，可以防止商业机密等敏感数据的泄漏。但黑客程序不是这样，它们均以最大限度控制服务端为目标。即使有些黑客程序的初衷不是为了窃密，但由于程序设计缺乏安全上的考虑，加上提供给用户权限太大，非常容易被滥用而导致一系列严重后果。前面提到的"网络神偷"、"蓝色火焰"尽管体积很小，但任何用户都可以控制服务端的所有资源，这对任何系统来说都是致命的。还有一些黑客程序则是有意寻找系统漏洞，不惜采取一切手段侵入他人的系统，这一点和臭名昭著的CIH病毒一样。

    四、危害后果

    如果将黑客程序与病毒做一个比较，可以看出两者的危害后果相似，甚至前者的危害更大些。由于绝大多数黑客程序属于远程控制类型，如新型木马"蓝色火焰"。它可以用浏览器查看系统信息，查看或清空捕获的密码；能够管理进程，列出或关闭任何进程，可以绕过用户直接关闭电脑等等。更为可怕的是："蓝色火焰"是一个没有客户端的程序，它利用服务端远程打开FTP、HTTP等端口接收信息。几乎任何网络程序都可以控制它，具有超凡的跨平台控制能力，可以登录Unix、Linux等主机。它入侵系统的能力比病毒更强。

    再如"网络神偷"，它具有Windows资源管理器那样的功能。在与服务端电脑建立联系以后，客户端能够看到其中的所有资源，可以执行文件下载、删除和更名等所有操作。更可怕的是，上述这些操作可以轻易通过防火墙，甚至还能访问局域网内部的电脑，有可能造成比病毒更严重的破坏。

    从所有黑客程序具有的功能看，它们都毫无例外的赋予自己最大的权力。服务端丝毫没有控制信息访问的能力，安装了黑客程序的电脑就像被捆绑的看家人，他对强盗没有一点点反抗的能力。不难看出，黑客程序一旦被居心叵测的人使用，所造成的可能比病毒更加严重，把黑客程序划归病毒之列一点也不过分