网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

特洛伊木马造成的危害是非常惊人的，由于它具有远程控制机器以及捕获屏幕、音频、视频的功能，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。

1.1 木马的起源

木马来源于“特洛伊木马”（Trojan-horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。 木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客。

1.2 木马的分类

木马程序技术发展至今，已经经历了四代：

第一代木马只是简单的密码窃取，发送等没有什么特别之处。

第二代木马，在技术上有了很大的进步，冰河可以说是国内木马的典型代表之一。

第三代木马，在数据传递技术上，又做了不少的改进，出现了ICMP类型的木马，利用畸形报文传送数据，增加了查杀的难度。

第四代木马，在进程的隐藏方面，采用了内核插入式的嵌入方式 ，利用远程插入线程技术，嵌入DLL线程，或者挂接PSAPI，实现木马的隐藏，甚至在windows NT/2000下，都能达到良好的隐藏效果。

总的来说木马可以分为以下几类：

远程控制型木马

这是现在最流行的木马，每个人都想拥有这样的木马，因为他们可以控制别人的电脑就像控制自己的电脑一样。灰鸽子就是此类木马的佼佼者，它使用起来非常简单，只需要某人运行服务器，就可以对他的计算机有完全的访问和控制权。

发送密码型木马

这类木马的目的是得到用户的一些游戏、QQ、银行等账号和密码，然后利用这些获得的账号和密码从事非法活动。绝大多数木马都是通过asp收信和邮箱收信这两种方式来获取账号和密码的，现在网上很多人都在做这种非法的事，所以该类木马的危害还是比较大的。

破坏性木马

这种木马唯一功能就是破坏和删除文件，非常简单易用，他们能自动删除受害人计算机上所有后缀名为DLL、EXE、INI文件。这是非常危险的木马，一旦被感染，又没有及时清理，受害人的计算机信息将不再存在。比如：硬盘炸弹，只要运行这个木马，你的C盘的所有数据将毁于一旦。

FTP型木马

这种木马在你的电脑中打开端口21，让任何有FTP客户软件的人都可以不用密码就能连接上你的电脑并自由上传和下载，这是最常用的木马，危险很大。

2.1 木马系统的组成

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

1) 硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

2) 软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3) 具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见图2-1)，下面我们就按这六步来详细阐述木马的攻击原理。

图 2-1 木马的攻击原理

2.2 木马的传播与伪装