?0.0 前言

?

概述

?播報

特洛伊木馬(簡稱木馬)是隱藏在系統中的用以完成未授權功能的非法程序，是黑客常用的一種攻擊工具，它偽裝成合法程序，植入系統，對計算機網絡安全構成嚴重威脅。區別于其他惡意代碼，木馬不以感染其它程序為目的，一般也不使用網絡進行主動復制傳播。?

特洛伊木馬是基于C/S(客戶/服務器)結構的遠程控制程序，是一類隱藏在合法程序中的惡意代碼，這些代碼或者執行惡意行為，或者為非授權訪問系統的特權功能而提供后門。通常，使用木馬的過程大致分兩步首先，把木馬的服務器端程序通過網絡遠程植入受控機器，然后通過安裝程序或者啟動機制使木馬程序在受控的機器內運行。一旦木馬成功植入，就形成了基于C/S結構的控制架構體系，服務端程序位于受控機器端，客戶端程序位于控制機器端。

發展

?播報

自從世界上出現第1個木馬程序（1986年的PC-Write木馬），木馬已經經歷了5個發展階段。?

第1階段：木馬在互聯網初期出現，以竊取網絡密碼為主要任務。

第2階段：木馬開始利用C/S架構，進行遠程控制和監視。但是由于植入木馬的目標計算機會打開某些端口，所以能夠被輕易發現。

第3階段：木馬在網絡連接上進行了改變，它的特征是利用ICMP通信協議偽裝自己，部分還利用欺騙技術達到被動連接的目的，這樣就可以防止被安全軟件查殺。

第4階段：木馬利用嵌入內核的方法，例如通過插入DLL線程、掛接PSAPI、偽裝線程等。

第5階段：木馬充分利用了病毒相關技術，針對互聯網和計算機操作系統的缺點和不足，滲透到目標計算機或網絡中，以達到控制目標的目的，而且可以實現自動激活的目的，使用戶和安全軟件更難發現。

原理

特洛伊木馬本質上就是一種客戶/服務器模式的網絡程序，其工作原理是一臺主機提供服務器作為服務器端，另一臺主機接受服務作為客戶端。服務器端的程序通常會開啟一個預設的連接端口進行監聽，當客戶端向服務器端的這一連接端口提出連接請求時，服務器端上的相應程序就會自動執行，來回復客戶端的請求，并提供其請求的服務。對于特洛伊木馬來說，功能端程序安裝在被攻擊的主機上，它也是木馬大部分功能的實現端，木馬對被攻擊主機的所有控制功能也都集中在服務器端。木馬的控制端程序通常安裝在攻擊者的主機上，用于控制功能端，向功能端發出各種命令，使得功能端程序按照攻擊者意圖實現各種遠程控制功能。特洛伊木馬在幾年與反病毒軟件、防火墻等防御工具的不斷較量中，技術越來越進步，攻擊模式也從最早的傳統攻擊模式升級成為由傳統攻擊模式、反彈攻擊模式和第三方中介攻擊模式混合的方式。所謂的傳統攻擊模式就是前面說到的由服務端打開端口，等待連接：客戶端首先發出連接請求與服務端建立連接；然后實施攻擊，這種攻擊模式出現的比較早，使用的也最為普遍，現有的大多數木馬都是采用的是這種攻擊模式。隨著人們安全意識的不斷提高，很多計算機安裝有防火墻，由于防火墻默認的規則都是禁止由外向內發起的連接，導致傳統攻擊模式不能成功，于是特洛伊木馬進化出新的木馬攻擊模式即反彈攻擊模式。這種攻擊模式先由客戶端使用合法的報文激活服務端，然后由服務端主動連接客戶端，形成防火墻不禁止的由內而外連接，進而開始攻擊，這種攻擊模式稱為反彈攻擊模式。又因為有些攻擊方僅僅需要傳遞很少的控制信息，攻擊者為了更好的隱藏自己，防止木馬被發現了以后自己受到追查所進化出來的一種攻擊模式。通過服務器端和客戶端不直接進行連接而是通過電子郵件服務器或者攻擊者控制的肉雞作為中介進行信息交互，客戶端將控制進行發送到第三方中介上，服務器端定期到第三方中介獲取控制信息，并將竊取的信息放到第三方中介上，由客戶端自己來取。

結構

一個完整的木馬系統由硬件部分、軟件部分和具體的連接部分組成。

1、硬件部分。建立木馬連接所必須的硬件實體分為控制端、服務端和Internet。

2、軟件部分。實現遠程控制所必須的軟件程序，包括控制端程序、木馬程序、潛入服務端內部和木馬配置程序。?

3、具體連接部分。包括控制端端口和木馬端口及網絡地址。

特點

1、隱蔽性。

特洛伊木馬的隱蔽性是其最重要的特征，如果一種特洛伊木馬不能很好地隱藏在目標計算機或網絡中就會被用戶或安全軟件發現和查殺，也就無法生存下去了。

2、自動運行性。

特洛伊木馬必須是自動啟動和運行的程序，因此其采取的方法可能是嵌入在啟動配置文件或者注冊表中。?

3、欺騙性。

特洛伊木馬要想不被用戶或安全軟件發現和查殺，常常將自己偽裝成一般的文件或系統和程序的圖標，其名字往往偽裝成一般的文件或程序名字，例如 win、dll、sys 等。?

4、頑固性。

特洛伊木馬一旦被發現就會面臨被清除的危險，此時部分特洛伊木馬能夠在用戶或安全軟件查殺的過程中潛伏下來而不被清除掉。

5、易植入性。

特洛伊木馬實現其控制或監視目的的前提是能滲透進入目標計算機，所以特洛伊木馬必須具備神不知鬼不覺地進入目標計算機的能力。

通過上面對木馬特性的分析，可以看到特洛伊木馬非常強調隱蔽能力和感染能力，其已經將蠕蟲病毒的技術吸收了進來。

功能

只要在本地計算機上能操作的功能，目前的木馬基本上都能實現。木馬的控制端可以像本地用戶一樣操作遠程計算機。木馬的功能可以概括為以下內容。

1、竊取用戶文件。

特洛伊木馬在目標計算機中潛伏，當遇到感興趣的文件時就會將相關文件傳輸給提前設定的目的地而不會被用戶發現。?

2、接受木馬釋放者的指令。

特洛伊木馬一旦感染互聯網中的服務器就會竊取較高權限，隨意地控制和監視通過該服務器的數據和賬戶。

3、篡改文件和數據。

根據指令對系統文件和數據進行修改，使目標計算機的數據和文件產生錯誤，導致作出錯誤的決策。

4、刪除文件和數據。

將目標計算機操作系統中的文件和數據隨意地刪除。

5、施放病毒。

激活潛伏在目標計算機操系統中的病毒，或將病毒下載至目標計算機系統，使其感染。

6、使系統自毀。

包括改變時鐘頻率，使芯片熱崩潰而損壞，造成系統癱瘓等。

種類

1、破壞型

唯一的功能就是破壞并且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE等重要文件。?

2、密碼發送型

木馬病毒

可以找到隱藏密碼并把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。?

3、遠程訪問型

最廣泛的是特洛伊木馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現遠程控制。以下的程序可以實現觀察"受害者"正在干什么，當然這個程序完全可以用在正道上的，比如監視學生機的操作。?

4、鍵盤記錄木馬

這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什么按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息，甚至是你的信用卡賬號哦！當然，對于這種類型的木馬，郵件發送功能也是必不可少的。?

5、Dos攻擊木馬

隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一臺機器，給他種上DoS攻擊木馬，那么日后這臺計算機就成為你DoS攻擊的最得力助手了。所以，這種木馬的危害不是體現在被感染計算機上，而是體現在攻擊者可以利用它來攻擊一臺又一臺計算機，給網絡造成很大的傷害和帶來損失。

還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發送郵件，一直到對方癱瘓、不能接受郵件為止。

6、代理木馬

黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的肉雞種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。

7、FTP木馬

這種木馬可能是最簡單和古老的木馬了，它的唯一功能就是打開21端口，等待用戶連接。新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進入對方計算機。?[4]?

8、程序殺手木馬

上面的木馬功能雖然形形色色，不過到了對方機器上要發揮自己的作用，還要過防木馬軟件這一關才行。程序殺手木馬的功能就是關閉對方機器上運行的這類程序，讓其他的木馬更好地發揮作用。?[4]?

9、反彈端口型木馬

木馬是木馬開發者在分析了防火墻的特性后發現：防火墻對于連入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監測控制端的存在，發現控制端上線立即彈出端口主動連結控制端打開的主動端口；為了隱蔽起見，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，稍微疏忽一點，你就會以為是自己在瀏覽網頁。?[4]?

隱藏方式

1、在任務欄里隱藏

這是最基本的隱藏方式。如果在windows的任務欄里出現一個莫名其妙的圖標，大家都會明白是怎么回事。要實現在任務欄中隱藏在編程時是很容易實現的。?[5]?

2、在任務管理器里隱藏

查看正在運行的進程最簡單的方法就是按下Ctrl+Alt+Del時出現的任務管理器。如果你按下Ctrl+Alt+Del后可以看見一個木馬程序在運行，那么這肯定不是什么好木馬。所以，木馬會千方百計地偽裝自己，使自己不出現在任務管理器里。木馬發現把自己設為 "系統服務“就可以輕松地騙過去。

3、端口

一臺機器有65536個端口，你會注意這么多端口么?而木馬就很注意你的端口。如果你稍微留意一下，不難發現，大多數木馬使用的端口在1024以上，而且呈越來越大的趨勢。當然也有占用1024以下端口的木馬，但這些端口是常用端口，占用這些端口可能會造成系統不正常，這樣的話，木馬就會很容易暴露。?

4、隱藏通訊

隱藏通訊也是木馬經常采用的手段之一。任何木馬運行后都要和攻擊者進行通訊連接，或者通過即時連接，如攻擊者通過客戶端直接接入被植入木馬的主機；或者通過間接通訊，如通過電子郵件的方式。木馬把侵入主機的敏感信息送給攻擊者。大部分木馬一般在占領主機后會在1024以上不易發現的高端口上駐留，有一些木馬會選擇一些常用的端口，如80、23，有一種非常先進的木馬還可以做到在占領80HTTP端口后，收到正常的HTTP請求仍然把它交與Web服務器處理，只有收到一些特殊約定的數據包后，才調用木馬程序。

5、協同隱藏

顧名思義，協同隱藏就是指一組木馬之間互相協作，實現更強的隱藏能力。Harold Thimbleby??等人提出了木馬程序的模型框架。這種框架從宏觀整體上擺脫了傳統隱藏技術的單一性，得到了不斷的發展。其后，梅登華等人將多代理技術與木馬技術結合，提出了基于多代理的木馬技術；康治平等人在木馬協同隱藏模型的基礎上提出了基于多線程和多對多的結構。

偽裝方法

1、修改圖標

木馬服務端所用的圖標也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標，這樣很容易誘惑你把它打開。

2、捆綁文件

這種偽裝手段是將木馬捆綁到一個安裝程序上，當安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被捆綁的文件一般是可執行文件 （即EXE、COM一類的文件）。?[5]?

3、出錯顯示

有一定木馬知識的人部知道，如果打開一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時，會彈出一個錯誤提示框 （這當然是假的），錯誤內容可自由定義，大多會定制成一些諸如 "文件已破壞，無法打開！"之類的信息，當服務端用戶信以為真時，木馬卻悄悄侵人了系統。?

4、自我銷毀

這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶打開含有木馬的文件后，木馬會將自己拷貝到Windows的系統文件夾中（C:\windows或C:\windows\system目錄下），一般來說，源木馬文件和系統文件夾中的木馬文件的大小是一樣的 （捆綁文件的木馬除外），那么，中了木馬的朋友只要在收到的信件和下載的軟件中找到源木馬文件，然后根據源木馬的大小去系統文件夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。

防范策略

1、不執行來歷不明的軟件

大部分木馬病毒都是通過綁定在其他的軟件中來實現傳播的，一旦運行了該軟件就會被除數感染。因此，一般推薦去一些信譽較高的站點下載應用軟件，并且在安裝軟件之前一定要用反病毒軟件檢查一下，確定無毒后再使用。

2、不隨便打開郵件附件

絕大部分木馬病毒都是通過郵件來傳遞，而且有的還會連環擴散，因此對郵件附件的運行尤其需要注意。?

3、重新選擇新的客戶端軟件

很多木馬病毒主要感染的是Outlook和OutlookExpress的郵件客戶端軟件。如果選用其他的郵件軟件，受木馬病毒攻擊的可能性就會減小。另外通過Web方式訪問郵箱也可以減小感染木馬的概率。

4、盡量少用或不用共享文件夾

如果非因工作需要，盡量少用或不用共享文件夾，注意千萬不要將系統目錄設置成共享。多渠道地拒絕木馬程序的傳播。

5、實時監控

運用已有的木馬查殺工具進行實時監控是最好的途徑，同時也需要不斷升級更新木馬程序及殺毒軟件，并安裝防火墻等軟件工具，讓自己計算機做到相對高的安全性。

感染后措施

1、所有的賬號和密碼都要馬上更改，例如撥號連接、ICQ、mIRC、FTP、你的個人站點、免費郵箱等等，凡是需要密碼的地方，你都要把密碼盡快改過來。

2、刪掉所有你硬盤上原來沒有的東西。?

3、檢查一次硬盤上是否有病毒存在。

4、如果條件允許、重裝系統或是拷貝數據后直接換掉硬盤。

木馬清除

刪除木馬時，首先要將網絡斷開，再用相應的方法來刪除它。

1、通過木馬的客戶端程序刪除

在win.ini或system.ini的文件中找到可疑文件判斷木馬的名字和版本，然后在網絡上找到相應的客戶端程序，下載并運行該程序，在客戶程序對應位置填入本地算機地址端口號，就可以與木馬程序建立連接，再由客戶端的刪除木馬服務器的功能來刪除木馬。?

2、手工刪除

用Msconfig打開系統配置實用程序，對Win.ini、system.ini和啟動項目進行編輯，屏蔽掉非法啟動項。用regedit打開注冊表編輯器，對注冊表進行編輯，先由上面的方法找到木馬的程序名，再在整個注冊表中搜索，并刪除所有木馬項目。由查找到的木馬程序注冊項，分析木馬文件在硬盤中的位置，然后再進行刪除。重新啟動以后再用上面各種檢測木馬的方法對系統進行檢查，以確保木馬確實被刪除。?

3、工具刪除

上面二種方法對于非專業人員來說操作起來并不容易，但現在已有許多非常好的木馬專殺工具，大家可以根據自己需要下載或購買使用.利用工具刪除，可以免除煩瑣的操作，完全由軟件程序自行完成。?

發展趨勢

1、木馬將會更加隱蔽。目前，能夠查殺特洛伊木馬的安全軟件日益增多，對特洛伊木馬的隱蔽性提出了挑戰。特洛伊木馬如果想生存下來就必須更加重視隱蔽性。

2、木馬將會具有即時通訊能力?；ヂ摼W中動態網絡地址的使用日益增多，在這種情況下特洛伊木馬可能無法將信息傳輸到提前設定的傳輸目的地。因此，特洛伊木馬必須與傳輸目的地建立即時通訊線路。?

3、木馬將會具有自我更新能力。為了應對不斷更新的反木馬安全軟件，特洛伊木馬也必須能夠具有自我更新的能力。?

4、木馬將會繼續融合蠕蟲和病毒的部分技術，增強自身傳播和生存能力。??

轉載于特洛伊木馬（計算機木馬程序）_百度百科

總結

以上是生活随笔為你收集整理的隐蔽的特洛伊木马的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。