木马

木马

一、特洛伊木马

特洛伊木马（简称木马“Trojan horse”）。

古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，把士兵藏匿于巨大无比的木马中,然后佯作退兵。当特洛伊人将木马作为战利品拖入城内时，高大的木马正好卡在城门间，进退两难。夜晚木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。

二、计算机木马

木马不会自我复制，也不会刻意的去污染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者刻意任意毁坏、窃听被种者的文件，甚至远程操控被种主机。因此，木马所带来的危害要远远大于一般病毒的危害。

计算机木马组成：一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

（1）硬件部分：建立木马连接所必须的硬件实体。

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

（2）软件部分：实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

（3）具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP（服务端IP）：即控制端（服务端）的网络地址，是木马进行数据传输的目的地。

控制端端口（木马端口）：即控制端（服务端）的数据入口，通过该入口数据可直达控制端程序或木马程序。

三、木马的特征

（1）植入性。木马通常是通过计算机网络等途径，将木马程序植入到宿主计算机中。

（2）隐蔽性。木马在被植入到宿主计算机后，便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。

（3）自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。目前很多木马程序的功能模块并不是由单一的文件组成，而是具有相对多重的备份，可以在任何时刻实现相互复制、恢复的目的，防止计算机安全程序对木马病毒

的处理。

四、网络服务器木马入侵途径

木马的一般入侵步骤：配置木马→传播木马→运行木马→信息泄露→建立连接→远程控制。

（1）配置木马

木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式，将木马程序植入宿主计算机，通过各种隐藏手段实现在宿主计算机中的隐藏，然后，通过数据反馈的方式，将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中，从而最终实现木马程序的配置。

一个设计成熟的木马都有木马配置程序，主要是实现：

木马伪装：木马配置程序在服务端为了更好的隐藏木马，会采用多种伪装手段，例如修改图标，捆绑文件，定制端口，自我销毁等。

信息反馈：木马配置程序将对信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICQ号等。

（2）传播木马

木马的传播主要通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。

传播方式：主要是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；通过软件下载，非正规网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后运行该程序，木马就会自动安装；在网页的传播方式中，客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中，不经意间感染木马。

伪装方式：修改图标、捆绑文件、出错显示（如果打开一个文件，没有任何反应，有可能是木马程序，意识到这个缺陷后，已经有木马提供一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框(这当然是假的)，错误内容可自由定义，如“文件已破坏，无法打开的！”，当服务端用户信以为真时，木马却悄悄侵入了系统）、定制端口、自我销毁（当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下，一般来说原木马文件和系统文件夹中的木马文件的大小是一样的，只要在近期收到的信件和下载的软件中找到原木马文件，根据原木马的大小去系统文件夹找相同大小的文件，可判断哪个是木马。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，很难找到木马的来源，在没有查杀木马的工具帮助下，难以删除木马)、木马更名等。

（3）运行木马

传统的木马运行方式有自启动激活和触发式激活。自启动激活模式主要是木马程序中存在某些关键值，当系统内部的程序的运算结果达到木马程序的阈值时，木马程序就会自动启动；触发式激活模式则是依靠文件捆绑方式实现，当客户机对捆绑文件进行操作的时候，被

捆绑的木马程序就会启动。目前，其方式主要是先通过触发式激活模式，将木马程序植入计算机中，然后，通过自启动的方式激活程序，使程序在计算机内部活跃起来，实现对客户机的监听以及盗窃相应数据的目的。

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了，木马被激活后，进入内存，并开启事先定义的木马端口，为与控制端建立连接作准备。

（4）信息泄露

木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。

从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立连接。

（5）建立连接

木马连接的建立必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种：信息反馈和IP扫描（因为B机装有木马程序，如果它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，例如B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随机端口1031与B机的木马端口7626建立连接，此时一个木马连接才算真正建立）。

（6）远程控制

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，可通过木马程序对服务端进行远程控制：窃取密码、文件操作（删除、修改等）、修改注册表、系统操作（重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标、键盘等）。

木马的作用是赤裸裸的偷偷监视别人和盗窃密码，数据等。

五、防治木马

（1）安装杀毒软件和个人防火墙，并及时升级。将防火墙设置好安全等级，防止未知程序向外传送数据。

（2）阻断网络通信途径。