木马植入与查杀之认识木马

在电脑安全方面，病毒与木马永远是主旋律，木马的危害性在于他对计算机有强大的控制和破坏能力，同时还有窃取资料，偷窥重要信息，控制系统操作，进行文件操作等里能力,从而达到完全控制目标计算机的目的，因此使用木马是黑客进行攻击的最重要的手段。

虽然目前大多数的杀毒软件都有自动清除木马的能力，但并不能对付木马的变种和最新的木马，因此对计算机用户来说了解木马的攻击原理就显得非常重要。

【木马植入与查杀之_认识木马】

在著名的特洛伊战争中，古希腊人依靠藏匿与木马腹中的内应攻陷了特洛伊城。在互联网中，这个计策被黑客们所应用，计算机木马的设计者套用了同样的思路，将木马程序插入正常的软件、图片、文本、可执行程序等宿主中，当用户执行这些软件的时候，木马程序就会悄悄运行，向黑客开放进入这台计算机的大门。

一、【木马的定义】

木马是一种基于远程控制的黑客工具，具有隐秘性和非授权的特点。

1.所谓隐秘性是指木马的设计者为了防止木马被发现，会次用多种手段隐藏木马的，这样服务端几时发现感染了木马，但由于不能确定其具体的位置，往往也只能望"马"兴叹。

2.所谓非授权性是指一但控制端与服务端连接后，控制端将享有服务端大部分的操作权限，包括修改文件、修改注册表、远程终端、控制鼠标键盘等，这些权利并不是服务端赋予的，而是通过木马程序窃取的。

二、【木马的结构】

一个完整的木马系统由硬件部分、软件部分和具体连接部分等组成。

1.硬件部分

建立木马连接所必须的硬件实体主要包括以下三个部分

控制端：对服务端进行远程控制的一方。

服务端：被控制端远程控制的一方。

lnternet：控制端对服务端进行远程控制，数据传输的网络载体。

2.软件部分

实现远程控制所必须的软件程序，软件程序主要包括以下3个方面。

控制端程序：控制端用于远程控制服务端的程序。

木马程序：潜入服务端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件、木马名称等、使其在服务端隐藏得更隐秘的程序。

二、【木马的特征】

木马种类很多，而所有的木马一般都有以下几个基本的特征。

1.隐蔽性

木马也是一种病毒，他必须隐藏在用户的系统之中并想尽一切办法不让用户发现，一般的局域网间通信的软件在运行的时候，客户端与服务器端连接成功之后客户端机上会出现很项目的提示标志，而木马类的软件的服务器端在运行的时候会应用各种手段隐藏自己，决不可能还出现什么提示，因为设计者不会低级到让用户轻易就能够发现木马程序的程度，比如：修改注册表和ini文件以便机器在下一次启动后任能够载入该木马程序，他并不是自己生成一个启动程序，而是依附在乞讨的程序之中，木马的隐蔽性主要体现在两个方面：一是不产生图标，二是木马程序会自动在任务管理器中隐蔽，或者禁止任务管理器。

2.欺骗性

木马程序要达到目地，就必须要借助某些欺骗性假象让用户忽略“如：QQ木马，下线后欺骗用户从新登陆达到窃取密码目地。甚至仿制一些不易被人区别的文件名”甚至干脆借用系统文件中已有的文件，只不过他保存在不同的路径中，还有的木马程序会将自己自动删除在某不易被发现的磁盘目录复制新的马，以便于隐藏自己。

3.能自动打开特别端口

木马程序潜入他人的计算机之中的目的不住要是为了破坏他人的系统，而是为了获取他人系统中有用的信息，这样就需要他人上网的时候能与远程端客户进行通信，木马程序就会用服务器/客户端的通信手段把信息告诉幕后的黑客，以便黑客能控制该机器或者实现某种目的。

4.功能的特殊性

通常木马的功能都是十分特殊的，除了普通的文件操作以外，还有一些木马具有搜索 cache中的口令，设置口令、扫描目标机器的IP地址、键盘记录、远程注册表操作以及锁定鼠标等功能。

当然，木马种类繁多，我只是提一些常见的木马功能!

三、【木马的种类】

自木马诞生至今已经出现了多种类型，想要给所有的木马来一次完全的列举和说明是不可能的，更何况大多数的木马杜不是单一功能的木马，他们往往是很多种功能的集成，甚至很多从未公开的功能在一些木马中也广泛存在着，尽管如此，给木马程序来一个初步的分类，对于电脑使用者来说也是非常有必要的。

1.远程控制马

远程控制木马是数量最多，危害最大，同时知名度也是最高的，他可以让攻击者完全控制被感染的机器，攻击者可以利用他完成一些甚至连计算机主人本事都不能顺利进行的操作，其危害之大实在不容小视。

用于想要达到远程控制的目地，所以该种类的木马往往集成了其他种类木马的一些功能，使其在被感染的机器上能够为所欲为，可以任意访问文件，得到其他用户的重要账号等。

大名鼎鼎的国产木马“冰河”就是一个远程访问型特洛伊木马，这类木马使用起来非常简单的，只需要有人运行服务端并且得到了受害人的IP，黑客即可访问到该计算机并进行任何操作，远程访问型木马的普遍特征是键盘记录，上传和下载、注册表操作、限制系统、远程视频等功能。远程访问型特洛伊木马会在用户的电脑上打开一个端口以保持连接。

2.密码发送马

在信息安全日益重要的今天，密码是通向总要信息的一把及其有用的钥匙，只要掌握了对方的密码，从很大程度上说就可以无所顾忌的得到对方很多信息，而密码发送型的木马正是专门为了盗取被感染的计算上的密码而编写写，该木马一旦被执行，就会自动执行木马本身功能“如：qq木马”去窃取用户账号密码。

一旦成功，木马就会利用免费的电子邮件服务器将密码发送到指定的邮箱，从而达到获取密码的目的，所以这类木马大多数使用20端口发送E-mail，大多数这类特洛伊木马不会在每次windows启动的时候重启，这种特洛伊木马的目的是找到指定的密码并且在受害者不知道的情况下把他们发送到指定的邮箱，或者收信箱子中。

3.键盘记录马

这种特洛伊木马是非常简单的，因为该类木马只做一件事情，就是记录受惠者的键盘敲击并在log文件里查找密码。该木马分别别记录用户在线和离线状态下敲击键盘时的按键情况，当然也有记录操作的比如打开IE QQ窗口等。

4.破坏性质的木马

这种木马唯一功能就是破坏被感染的计算机，使受害者受到巨大损失(建议别玩这种东西)

5.DDOS攻击木马

随着DDOS攻击越来越被广泛应用，被用做DDSO攻击的木马越来越流行，当黑客入侵一台计算机并种上了DDOS攻击木马，那么日后这台计算机就成为了黑客DDOS最得力的助手(“俗称：肉鸡”)黑客控制的“肉鸡”数量越多，发动攻击取得成功的几率就越大，这种木马体现在攻击上，给网络造成很大的伤害和损失。

6.代理木马

黑客在入侵的同时掩盖自己足迹，谨防别人发现自己身份!

7.FTP马

这种木马可能是最简单的和古老的木马了，该木马唯一功能就是打开21端口，等待用户连接，现在新的FTP马还加上了密码功能。

本文来源 我爱IT技术网 http://www.52ij.com/jishu/4272.html 转载请保留链接。