网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

很多老式的木马端口都是固定的，只要查一下特定的端口就知道感染了什么木马。现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024～65535之间任选一个端口作为木马端口，一般不选1024以下的端口，这就给判断所感染的木马类型带来了麻烦。

4）扩展名欺骗

例如，图像文件的扩展名不可能是.exe，而木马程序的扩展名又必定是.exe，大多数用户在看到扩展名为".exe"的文件时，就会很小心。于是设计者就将文件名进行一些改变，例如将"picture.tiff"更改为"pitcture.tiff.exe"，因为windows默认是不显示扩展名的，于是用户就只能看到"picture.tiff"，很容易将其作为一个图片文件而启动。

1、木马的演变

从木马的发展来看，把木马分为五代。

1）第一代木马

第一代的木马功能相当简单，典型的有back orifice（简称：BO）、netSpy等，早就退出了历史的舞台。

第一代windows木马只是一个将自己伪装成特殊的程序或文件的软件，如伪装成一个用户登录窗口，当用户运行了木马伪装的登录窗口，输入用户名和密码后，木马将自动记录数据并转发给入侵者。

2）第二代木马

提供了几乎所有能够进行的远程控制操作。国内最具代表性的就是冰河木马和广外女生。

3）第三代木马

继续完善了连接与文件传输技术，并增加了木马穿透防火墙的功能，并出现了"反弹端口"技术，如国内的灰鸽子木马软件。

4）第四代木马

利用了远程线程插入技术，将木马线程插入DLL线程中，使系统更加难以发现木马的存在与入侵的连接方式。

5）第五代木马

相对于第四代木马，功能更加全面。而且应用DLL技术后在目标主机的计算机中不生成新的文件。

2、木马的种类

1）破坏型

破坏并删除文件，自动删除电脑上的dll、EXE等文件，以达到使被感染的电脑瘫痪的目的。

2）密码发送型

密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的，该木马一旦被执行，就会自动搜索内存，Cache，临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。从而达到获取密码的目的，所以这类木马大多使用25号端口发送E-mail。

3）远程访问型

远程访问型木马程序一般包括客户端程序和服务端程序，在目标主机上执行了服务端程序之后，只要用户知道目标主机的IP地址或主机名，就可以与目标主机连接，连接成功后，用户通过客户端程序提供的远程操作功能就可以实现对目标主机的监视与控制。

大名鼎鼎的木马冰河就是一个远程访问型特洛伊木马。

4）键盘记录木马

记录目标主机用户的键盘操作且将键盘操作记录在文件中，入侵者可以获取这些文件并在文件中获取诸如密码等有用的信息。

对于这种类型的木马，邮件发送功能也是必不可少的。

5）Dos攻击木马

Dos全名是Denial of service（拒绝服务）。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃。

当黑客侵入一台计算机并种上了DOS攻击木马后，日后这台计算机就成了黑客DOS攻击的最得力的帮手。黑客控制的计算机数量越多，发动DOS攻击取得成功的概率就越大，所以，这种木马的危害不是体现在被感染的计算机上，而是体现在攻击者可以利用它来攻击网络上的其他的计算机。

全名是 ()，很多攻击源一起攻击某台服务器就组成了DDOS攻击。

6）代理木马

给被控制的肉鸡种上代理木马，让其变成入侵者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，入侵者可以在匿名的情况下使用Telnet等程序，从而隐蔽自己的踪迹。

7）FTP木马

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方的计算机。

8）程序杀手木马

常见的查杀木马软件有瑞星，Norton Anti-Virus及木马清除大师等。程序杀手木马的功能就是关闭目标机器上运行的木马查杀程序，让木马更好地发挥作用。

9）反弹端口型木马

木马开发者在分析了防火墙的特性后发现 ：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。

于是，与一般的木马相反，反弹端口型木马在服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。

木马定时监测客户端（控制端）的存在，发现客户端（控制端）上线立即主动连接控制端打开的主动端口；