屏幕“录像”

   有些网银木马的确会进行“录像”，它们并不会生成体积庞大的视频文件，而只是在键盘记录的基础上，额外记录了用户点击鼠标时的鼠标坐标，以及当时的屏幕截图。黑客根据这些数据，可以完全回放出用户在进行交易时敲击了哪些键、点击了哪些按钮、看到了什么结果。

   “证券大盗”（Trojan/PSW.Soufan）就是这样的木马，它抓取的屏幕截图是黑白色的，数据量很小，但对于病毒作者来说，这些黑白图片加上键盘鼠标数据已经足够了。

窃取数字证书文件

   数字证书是网银交易的一项重要安全保护措施。有些系统允许用户把证书保存成硬盘文件，这是一个安全隐患。2004年9月，TrojanSpy.Banker.s和TrojanSpy.Banker.t的作者仔细观察了某个人银行系统保存证书的整个流程后，编写了木马，他的程序能够准确识别这个流程的每个步骤，自动记录必要的数据，最终再复制一份证书文件。木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的。

伪装窗口

   2006年，国内出现了一系列新的网银木马，它们都是TrojanSpy.Banker.yy的变种，感染了很多用户。这类木马首先向IE浏览器注入一个DLL，用以监视当前网页的网址，同时记录键盘。当发现用户输入了卡号、密码并进行提交以后，迅速隐藏浏览器，弹出自己的窗口。木马弹出的窗口看上去和在线理财的页面非常相似，并且包含一些“钓鱼”文字：称由于系统维护需要，用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时，木马才会把密码发送给木马作者。伪装成浏览器界面的木马实现简单，虽然技术上听起来比较幼稚，但效果却很好。
  
   上面列举了网银木马的常用手段。实际情况是，大部分网银木马同时采用多种技术来保证窃取过程的成功率和隐蔽性。网上银行业务正在不断的普及、深入和扩展，越来越多的新业务形式正在涌现，比如运行在智能手机上的掌上银行。木马作者们的跟进速度总是很快，可以预见，更多更老练、更有创造性的方法也会在不久的将来被新网银木马所采用。