特洛伊木马工作原理分析及清除方法

特洛伊木马的工作原理
特洛伊木马是一种常见的恶意软件，它通过伪装成正常的程序或文件来欺骗用户，使其被安装和运行在受感染的系统中。

特洛伊木马的工作原理包括以下几个步骤：
1. 伪装: 特洛伊木马会伪装成一个吸引人的程序、文件或链接，以引起用户的兴趣和点击。

这个伪装可以是一个看似合法的软件安装包、电子邮件附件、社交媒体链接等等。

2. 欺骗: 当用户执行了特洛伊木马的安装或打开操作时，它会
欺骗用户认为它是一个正常的程序或文件，并且可能对用户做出各种误导性的提示或界面交互，让用户相信这是一个可信的应用。

3. 潜伏: 一旦特洛伊木马成功地安装在系统中，它会开始在后
台运行，并潜伏于系统的各个角落，隐藏自己的存在，使用户难以察觉。

4. 攻击: 特洛伊木马会利用系统漏洞或用户权限不足的安全弱点，通过自身的程序代码或网络通信进行攻击。

这可能包括窃取用户的个人信息、密码、银行账号等敏感信息，操控受感染系统进行恶意活动，或者打开后门，为黑客提供远程访问受感染系统的权限。

5. 传播: 一旦特洛伊木马成功感染了一个系统，它还可能通过
网络传播到其他主机，利用电子邮件、即时通信软件、共享文件等方式，将自身复制到其他电脑上，进一步传播。

总之，特洛伊木马通过伪装成正常的程序或文件，欺骗用户安装并潜伏于系统中，然后利用系统漏洞进行攻击和传播。

用户需要提高警惕，并采取安全措施来预防和检测特洛伊木马的存在。

简述特洛伊木马的基本原理
简述特洛伊木马的基本原理如下：
特洛伊木马是一种基于客户/服务器模式的网络程序，它通过隐藏在正常的程序中，并利用服务端的主机漏洞，以无孔不入的方式实现自己的目的。

一旦木马进入服务端，就会通过网络远程控制服务端的程序，例如打开后门、获取系统信息、执行任意操作等。

特洛伊木马通常包括控制端和服务端两个部分。

控制端用于远程控制服务端，可以执行任意操作，而服务端则被动的接收来自控制端的指令。

为了实现特洛伊木马的基本原理，需要满足以下三个条件：
1. 硬件部分：建立木马连接所必须的硬件实体，例如网络和设备。

2. 软件部分：实现远程控制所必须的软件程序，例如控制端程序和木马程序。

3. 具体连接部分：通过互联网在服务端和控制端之间建立一条木马通道所必须的元素，例如控制端IP、服务端IP、控制端端口和木马端口等。

特洛伊木马是一种非常危险的恶意软件，因为它可以完全控制服务端的程序，从而造成严重的安全威胁。

因此，我们应该时刻保持警惕，避免下载和安装不明来源的程序，并定期更新我们的操作系统和软件程序，以避免成为特洛伊木马的受害者。

木马分析报告1. 引言木马（Trojan），又称为“特洛伊木马”，是指通过伪装成正常合法程序或文件进入目标系统，并在未被用户察觉的情况下，对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁，因此，对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析，并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播： 1. 邮件附件：木马程序常常伪装成诱人的附件，通过邮件发送给用户，一旦用户点击或下载附件，木马程序就会悄悄安装和运行。

2. 网络下载：用户在未经过恶意网站的仔细筛选的情况下，下载了含有木马的软件或文件，木马程序就会被安装到用户的系统中。

3. 可移动存储介质：如U盘、移动硬盘等存储介质中含有木马程序，只要用户将这些介质连接到自己的电脑上，木马程序就会被植入系统。

4. 动态链接库：木马程序可能会以DLL（Dynamic-Link Library）的形式出现，通过注入到正常进程中，实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护，我们需要了解木马的一些特征： 1. 欺骗性：木马程序通常伪装成合法可信的程序或文件，例如常见的.exe、.doc、.pdf等，以迷惑用户进行安装或下载。

2. 启动项修改：木马程序常常会修改系统的启动项，以保证自己能够在系统启动时自动运行，从而实现长期隐藏控制。

3. 远程控制：木马程序通常与远程服务器建立连接，以便黑客能够远程控制被感染的系统，进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加：木马程序运行时会消耗大量系统资源，例如CPU和内存，从而降低系统的整体性能。

5. 网络流量增加：木马程序会通过网络上传、下载数据，导致网络流量明显增加，对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重，包括但不限于以下几个方面： 1. 数据窃取：木马程序可以利用系统权限，窃取用户的个人隐私数据，例如登录名、密码、银行账号等。

特洛伊木马分析特洛伊木马分析摘要在计算机如此普及的网络时代，病毒对于我们来说早已不是一个新鲜的名词，而通常被称为木马病毒的特洛伊木马也被广为所知，为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。

本文对该病毒原理、预防和清除进行了详细的阐述，并对此发表了一些个人的看法。

关键词特洛伊木马病毒木马特洛伊木马是一种特殊的程序，它们不感染其他文件，不破坏系统，不自身复制和传播。

在它们身上找不到病毒的特点，但它们们仍然被列为计算机病毒的行列。

它们的名声不如计算机病毒广，但它们的作用却远比病毒大。

利用特洛伊木马，远程用户可以对你的计算机进行任意操作（当然物理的除外），可以利用它们传播病毒，盗取密码，删除文件，破坏系统。

于是这个在网络安全界扮演重要角色，课进行超强功能远程管理的“功臣”，自然而然也被列为受打击的行列。

在网络上，各种各样的特洛伊木马已经多如牛毛，它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。

下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法，以及我自己对木马病毒及其防护方法的一些见解。

一．什么是特洛伊木马特洛伊木马简称木马，英文名为Trojan。

它是一种不同于病毒，但仍有破坏性的程序，普通木马最明显的一个特征就是本身可以被执行，所以一般情况下它们是由.exe文件组成的，某些特殊木马也许还有其他部分，或者只有一个.dll文件。

木马常被用来做远程控制、偷盗密码等活动。

惯用伎俩是想办法让远程主机执行木马程序，或者主动入侵到远程主机，上传木马后再远程执行。

当木马在远程主机被执行后，就等待可控制程序连接，一旦连接成功，就可以对远程主机实施各种木马功能限定内的操作。

功能强大的木马可以在远程主机中做任何事情，就如同在自己的机器上操作一样方便。

可见，木马实际上就是一个具有特定功能的可以里应外合的后门程序，将其与其他的病毒程序结合起来造成的危害将会是相当大的。

二．木马的工作原理当木马程序或藏有木马的程序被执行后，木马首先会在系统中潜伏下来，并会想办法使自己在每次开机时自动加载，以达到长期控制目标的目的。

1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。

古希臘有大軍圍攻特洛伊城，逾年無法攻下。

有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。

城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。

到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。

後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。

特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。

而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。

原因是如果有人不當的使用，破壞力可以比病毒更強。

iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。

木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

e2/基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。

作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。

對於特洛伊木馬，被控制端就成為一台伺服器。

再加入一个文本框，用于输入服务器的IP地址或服务器名。

然后加入一个按钮，按下之后就可以对连接进行初始化。

代码如下：Private Sub cmdConnect_Click()Win_Client.RemoteHost=Text1.TextWin_Client.ConnectTimer1.Enabled=TrueEnd Sub(3)建立连接后就可以使用DataArrival事件处理收到的数据了。

(4)在服务器端Server工程中也建立一个窗体，窗体的visible属性设置为False。

加载Win Sock控件，称为Win_Server，协议选择TCP。

在Form_Lad事件中加入以下代码：Private Sub Form_Load()Win_Server.LocalPort=2001 ‘自定义的端口号Win_Server.ListenEnd Sub(5)准备应答客户端程序的请求连接，使用ConnectionRequest事件来应答客户端程序的请求，代码如下：Private Sub Win_Server_ConnectionRquest(ByValrequestID As Long)If Win_Server.State sckClosed ThenWin_Server.Close ‘检查控件的State属性是否为关闭的End If ‘如果不是，在接受新的连接之前先关闭此连接Win_Server.Accept requestIDEnd Sub(6)这样在客户端程序按下连接按钮后，服务器端程序的ConnectionRequest事件即被触发，执行以上代码。

如果不出意外，连接将被建立起来。

(7)建立连接后服务器端的程序通过JDataArrival事件接收客户机端程序发出的指令运行既定程序。

DataArrival事件程序如下：Private Sub Win_Server_DataArrival(ByVal bytesTotal As Long)Dim strData As StringDim I As LongWin_Server.GetData strData ‘接收数据并存入strDataFor i=1 ToLen(strData) ‘分离strData中的命令If Mid(strData,I,1)=”@” ThenmKey=Left(strData,i-1 ‘把命令ID号存入mKeystrData=Right(strData,Len(strData)-i) ‘把命令参数存入strDataExit FofEne IfNext iSelect Case Val*mKey)Case i ‘i为一系列命令的定义，如截获驱动器名、目录名、文件名、强制关闭服务器端的计算机，强制重启服务器端的计算机，屏蔽任务栏窗口，屏蔽开始菜单，按照客户机端传来的文件名或目录名删除它们，屏蔽热启动键，运行服务器端的任何程序。

特洛伊病毒引言在当今数字化世界中，计算机病毒已经成为网络安全的重要问题之一。

特洛伊病毒是一种恶意软件，它伪装成有害或有用的程序，在用户不知情的情况下进入系统，并窃取、损坏或破坏敏感信息。

特洛伊病毒得名于希腊神话中的特洛伊木马，其目的是通过欺骗用户进入其系统并对其进行攻击。

本文将探讨特洛伊病毒的工作原理、影响和预防措施。

一、特洛伊病毒的工作原理1.伪装成合法程序特洛伊病毒通常会伪装成合法的程序或文件，例如游戏、影音软件等。

用户下载、安装并运行这些程序时，特洛伊病毒就会开始在系统中活动。

2.隐藏恶意代码特洛伊病毒通常会隐藏自己的恶意代码，使其难以被发现。

它可以在系统的注册表、启动项、系统文件等关键位置嵌入自己的代码，以便能够在系统启动时自动运行。

3.远程控制特洛伊病毒一旦进入系统，攻击者就可以远程控制受感染的计算机。

攻击者可以通过特洛伊软件远程访问文件、操控系统、监视用户活动等，而用户则完全不知情。

二、特洛伊病毒的影响1.数据窃取特洛伊病毒可以窃取用户的个人信息，如账户名、密码、信用卡信息等。

这些信息可能被用来进行金融欺诈、身份盗用等非法活动。

2.文件损坏或删除特洛伊病毒还可以损坏或删除用户的文件和数据。

它可以破坏硬盘驱动器、操作系统文件和应用程序，导致系统不稳定或无法正常工作。

3.操控系统特洛伊病毒给攻击者提供了远程操控计算机的能力。

攻击者可以在用户不知情的情况下操纵计算机执行不法行为，例如发起DDoS攻击、散布垃圾邮件等。

三、特洛伊病毒的预防措施1.安装可信的安全软件为了避免特洛伊病毒的感染，用户应该安装一个可信的安全软件，如杀毒软件和防火墙。

这些软件可以帮助检测和阻止病毒、恶意软件的入侵。

2.谨慎下载和安装软件用户在下载和安装软件时应格外谨慎。

应只从官方网站或可信的下载平台下载软件，并确保软件的完整性和正当性。

3.定期更新操作系统和软件及时更新操作系统和软件是防止特洛伊病毒侵入的重要步骤。

更新可以修复安全漏洞，并添加新的防御机制来阻止病毒的入侵。

特洛伊木马工作原理分析及清除方法1 什么是特洛伊木马特洛伊木马（Trojan Horse，以下简称木马）的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的，而是通过木马程序窃取的。

2 木马的工作原理完整的木马系统由硬件和软件二部分组成。

硬件部分是建立木马连接所必须的硬件实体，包括控制端、服务端和数据传输的网络载体（Internet/Intranet）；软件部分是实现远程控制所必须的软件程序，包括控制端程序和木马程序。

利用木马窃取信息、恶意攻击的整个过程可以分为3个部分，下面详细介绍。

2.1 获取并传播木马木马可以用C或C++语言编写。

木马程序非常小，一般只有3~5KB，以便隐藏和传播。

木马的传播方式主要有3种：（1）通过E-MAIL。

（2）软件下载。

（3）依托病毒传播。

200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒（W32.BACTRANS.13 312@MM）。

该病毒一旦被执行，木马程序就会修改注册表键值和win.ini文件。

当计算机被重启时，该蠕虫会等候3 分钟，然后利用MAPI, 回复所有未读邮件，并将自己作为邮件的附件，使用不同的名称继续传播。

2.2 运行木马服务端用户在运行木马或捆绑了木马的程序后，木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，然后在注册表、启动组和非启动组中设置好木马触发条件，这样木马的安装就完成了。

怎么去手动清除特洛伊木马怎么去手动清除特洛伊木马特洛伊木马的名字取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，对普通用户来说，它的隐藏性和危害性是相当的大。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。

这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

木马藏身地及通用排查技术●在Win.ini中启动木马：在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：run=C:Windows ile.exeload=C:Windows ile.exe则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。

举个例子，在正常情况下txt文件的打开方式为Notepad.exe(记事本)，但一旦感染了文件关联木马，则txt 文件就变成条用木马程序打开了。

如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。

当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==特洛伊木马怎么杀篇一：特洛伊木马工作原理分析及清除方法特洛伊木马工作原理分析及清除方法1 什么是特洛伊木马特洛伊木马（Trojan Horse，以下简称木马）的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的，而是通过木马程序窃取的。

2 木马的工作原理完整的木马系统由硬件和软件二部分组成。

硬件部分是建立木马连接所必须的硬件实体，包括控制端、服务端和数据传输的网络载体（Internet/Intranet）；软件部分是实现远程控制所必须的软件程序，包括控制端程序和木马程序。

利用木马窃取信息、恶意攻击的整个过程可以分为3个部分，下面详细介绍。

2.1 获取并传播木马木马可以用C或C++语言编写。

木马程序非常小，一般只有3~5KB，以便隐藏和传播。

木马的传播方式主要有3种：（1）通过E-MAIL。

（2）软件下载。

（3）依托病毒传播。

201X年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒（W32.BACTRANS.13312@MM）。

该病毒一旦被执行，木马程序就会修改注册表键值和win.ini文件。

当计算机被重启时，该蠕虫会等候3 分钟，然后利用MAPI, 回复所有未读邮件，并将自己作为邮件的附件，使用不同的名称继续传播。

检查木马病毒删除方法木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。

那么电脑木马病毒如何删除呢？下面由店铺给你详细介绍检查删除木马病毒的方法，希望对你有帮助!。

下面由店铺给你做出详细的检查木马病毒介绍!希望对你有帮助!检查木马病毒删除介绍：在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。

在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。

虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒(哪怕宣传上称有查杀未知病毒的功能)。

而且实际的使用效果也并不理想。

比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。

本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了(哪怕是使用的是最新的病毒库)。

因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。

用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

一、木马工作的原理在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大(5000以上，但也有部分是5000以下的)。

当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。

补充章之二特洛伊木马1．特洛伊木马是如何工作的一般木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。

攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。

植入途径：利用的途径有（1）邮件附件：谎称这个木马执行文件，是你朋友送给你贺卡等。

（2）下载软件：软件下载往往是捆绑了木马的文件。

一般木马执行文件非常小，大部分都是几K到几十K。

把木马捆绑到其它正常文件上很难发现。

（3）脚本语言：利用Script、ActiveX、ASP、CGI交互脚本的方式植入，由于微软的浏览器在执行Script脚本存在一些漏洞。

攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。

例如：前不久出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面；攻击者还可把木马执行文件下载到攻击主机的一个可执行WWW 目录夹里面，再通过编制CGI程序而在被攻击主机上执行木马目录。

（4）系统的一些漏洞：如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并同时攻击服务器，执行远程木马执行文件。

服务端程序在被感染机器上成功运行以后，攻击者就可利用客户端建立与服务端的连接，进一步控制被感染的机器。

绝大多数木马在客户端和服务端之间使用TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。

服务端在被感染机器上运行后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端与其进行连接；另外，为了下次重启计算机时仍然能正常工作，木马程序一般会通过修改注册表或其它方法，让自己成为自启动程序。

2．木马的隐藏方式（1）在任务栏里隐藏这是最基本的隐藏方式，即在windows的任务栏里会出现一个莫名其妙的图标。

编程很容易实现在任务栏中隐藏。

特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

“特洛伊木马”（trojan horse）简称“木马”,木马和病毒都是一种人为的程序,都属于电脑病毒，据说这个名称来源于希腊神话《木马屠城记》。

古希腊有大军围攻特洛伊城，久久无法攻下。

于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。

城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。

到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。

后世称这只大木马为“特洛伊木马”。

如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。

“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，程序本身在无人操控的情况下不会像蠕虫病毒复制感染，不会破坏操作系统及硬件。

但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性和迅速感染系统文件的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

木马的启动方式：木马是随计算机或Windows的启动而启动并掌握一定的控制权的，其启动方式可谓多种多样，通过注册表启动、通过System.ini启动、通过某些特定程序启动等，真是防不胜防。

实验1 木马攻击与防范一、实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

二、实验原理木马的全称为特洛伊木马，源自古希腊神话。

木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。

它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。

1．木马的特性木马程序为了实现其特殊功能，一般应该具有以下性质：(1)伪装性：程序将自己的服务器端伪装成合法程序，并且诱惑被攻击者执行，使木马代码会在未经授权的情况下装载到系统中并开始运行。

(2)隐藏性：木马程序同病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其它程序进行的，因此在一般情况下使用者很难发现系统中有木马的存在。

(3)破坏性：通过远程控制，攻击者可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。

(4)窃密性：木马程序最大的特点就是可以窥视被入侵计算机上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

2．木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法，如更改图标、把木马文件与普通文件合并，欺骗被攻击者下载并执行做了手脚的木马程序，就会把木马安装到被攻击者的计算机中。

木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵，由于微软的浏览器在执行Script 脚本上存在一些漏洞，攻击者可以利用这些漏洞诱导上网者单击网页，这样IE浏览器就会自动执行脚本，实现木马的下载和安装。

木马还可以利用系统的一些漏洞入侵，如微软的IIS服务器存在多种溢出漏洞，通过缓冲区溢出攻击程序造成IIS服务器溢出，获得控制权限，然后在被攻击的服务器上安装并运行木马。