网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

其中，客户端运行在入侵者的操作系统上，是入侵者控制目标主机的平台；服务端则是运行在目标主机上，是被控制的平台，一般发送给目标主机的就是服务端文件。

木马主要是依靠邮件附件、软件下载、淫秽图片、通信软件等途径进行传播，然后，木马通过一定的提示诱使目标主机运行木马的服务端程序，实现木马的种植。

例如：入侵者伪装成目标主机用户的朋友，发送了一张捆绑有木马的电子贺卡，当目标主机打开贺卡后，屏幕上虽然会出现贺卡的画面，但此时木马服务端程序已经在后台运行了。

木马的体积都非常小，大部分在几KB到几十KB之间。

当目标主机执行了服务端程序之后，入侵者便可以通过客户端程序与目标主机的服务端建立连接，进而控制目标主机。

对于通信协议的选择，绝大多数木马使用的是TCP/IP协议，但也有使用UDP协议的木马。

木马的服务端程序会尽可能地隐蔽行踪，同时监听某个特定的端口，等待客户端的连接；此外，服务端程序为了在每次重新启动计算机后能正常运行，还需要通过修改注册表等方法实现自启动功能。

2、关键技术

(一) 隐藏技术

1) 程序隐藏

木马程序可以利用程序捆绑的方式，将自己和正常的exe 文件进行捆绑。当双击运行捆绑后的程序时，正常的exe 文件运行了。程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以通过任务管理器中发现木马程序的踪迹，这就需要木马程序实现进程隐藏。

2) 进程隐藏

隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程，从而提高木马程序的隐蔽性。主要有两种：

API拦截属于进程伪隐藏方式通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致任务管理器等工具无法显示该木马进程。

远程线程注入属于进程真隐藏方式 主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程内部数据和启动DLL 木马。

3) 通信隐藏

可以从通信连接的状况中发现木马程序的踪迹。因此，很有必要实现木马程序的通信隐藏。主要有两种方式：

端口复用技术，它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接，从而防止重新开启端口降低隐蔽性。关键之处在于，木马程序应增设一个数据包转交判断模块，该模块控制主机对数据报的转交选择。

利用ICMP和HTTP 协议，通常网络防火墙和入侵检测系统等安全设备只检查ICMP报文的首部，对数据部分不做处理。因此，可以将木马程序的通信数据隐藏在ICMP 报文格式的选项数据字段进行传送，如把服务端程序向客户端程序传输的数据伪装成回显请求报文，而把客户端程序向服务端程序传输的数据伪装成回显应答报文。这样，就可以通过PING\PINGRESPONSE的方式在木马服务端程序和客户端程序之间建立起一个高效的秘密会话信道。利用ICMP 协议传输数据还有一个很大的优点，即ICMP 属于IP 层协议，它在传输数据时并不使用任何端口，从而具有更好的隐蔽性。

(二) 木马自启动技术

自启动功能是必不可少的。自启动可以保证木马不会因为用户的一次关机操作而彻底失去作用。下面介绍经常使用的几种方法。

1）在Win.ini中启动