网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

例如：在正常情况下，txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开。例如著名的国产木马冰河就是这样。

6）捆绑文件

入侵者可以通过一些黑客软件，如著名的Deception Binder，完成文件的捆绑，之后将这些捆绑文件放到网站、FTP、BT等资源下载场所，当用户下载并执行捆绑文件，同时就启动了木马的服务端程序。

(三) 木马植入技术

1）图标伪装

黑客为了迷惑用户，将木马服务端程序的图标换成一些常见的文件类型的图标。

2）文件捆绑欺骗

文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起，达到欺骗对方从而运行捆绑的木马程序的目的。

例如，把木马服务端和某个游戏，或者flash文件捆绑成一个文件通过QQ或邮件发送给受害者。当受害者对这个游戏或flash感兴趣而下载到机器上，并开打了该文件，木马程序就会悄悄运行。

3）定制端口

很多老式的木马端口都是固定的，只要查一下特定的端口就知道感染了什么木马。现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024～65535之间任选一个端口作为木马端口，一般不选1024以下的端口，这就给判断所感染的木马类型带来了麻烦。

4）扩展名欺骗

例如，图像文件的扩展名不可能是.exe，而木马程序的扩展名又必定是.exe，大多数用户在看到扩展名为".exe"的文件时，就会很小心。于是设计者就将文件名进行一些改变，例如将"picture.tiff"更改为"pitcture.tiff.exe"，因为windows默认是不显示扩展名的，于是用户就只能看到"picture.tiff"，很容易将其作为一个图片文件而启动。

1、木马的演变

从木马的发展来看，把木马分为五代。

1）第一代木马

第一代的木马功能相当简单，典型的有back orifice（简称：BO）、netSpy等，早就退出了历史的舞台。

第一代windows木马只是一个将自己伪装成特殊的程序或文件的软件，如伪装成一个用户登录窗口，当用户运行了木马伪装的登录窗口，输入用户名和密码后，木马将自动记录数据并转发给入侵者。

2）第二代木马

提供了几乎所有能够进行的远程控制操作。国内最具代表性的就是冰河木马和广外女生。

3）第三代木马

继续完善了连接与文件传输技术，并增加了木马穿透防火墙的功能，并出现了"反弹端口"技术，如国内的灰鸽子木马软件。

4）第四代木马

利用了远程线程插入技术，将木马线程插入DLL线程中，使系统更加难以发现木马的存在与入侵的连接方式。

5）第五代木马

相对于第四代木马，功能更加全面。而且应用DLL技术后在目标主机的计算机中不生成新的文件。

2、木马的种类

1）破坏型

破坏并删除文件，自动删除电脑上的dll、EXE等文件，以达到使被感染的电脑瘫痪的目的。

2）密码发送型

密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的，该木马一旦被执行，就会自动搜索内存，Cache，临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱。从而达到获取密码的目的，所以这类木马大多使用25号端口发送E-mail。

3）远程访问型