菜鸟必懂的木马连接通用原理

木马工作原理木马的工作原理一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。

攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。

目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。

一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。

木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。

攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。

前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。

如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。

此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK 攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。

当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。

在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。

当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。

木马的基本原理
什么是木马？
木马（Trojan Horse）是指一种在计算机网络上传播的、非法的恶意程序，通常像表面上无害的安全软件一样，却能够实施不可挽回的破坏。

木马病毒攻击是一种通过互联网传播的计算机病毒，它专门攻击用户
权限较高的网站、企业信息系统或个人机器。

木马的基本原理：
1. 运行原理：一般来说，木马通过向受害用户发送邮件或拦截用户访
问其他网站时下载的文件传播，木马植入到系统中后会伪装成有用的
程序，而在安装完毕后，它会下载其他的病毒，以实现拦截攻击者远
程控制的目的。

2. 隐蔽性：木马病毒通过不删除受害者的文件，而是将它们替换或插
入到主目录或者系统目录中，令其更加隐秘，如果不能及时发现木马，则它很可能在系统中传播并继续造成破坏。

3. 感染原理：木马通常在用户的浏览器上加上特殊的插件，来实现对
受害者的控制，同时会通过对本地网络上的用户进行感染，来使得木
马的蔓延速度大大增加。

4. 逃逸技术：木马采用的一种逃逸技术是启动机制（Boot Sector），这种技术是在用户系统运行前，木马就被植入，在此阶段植入的木马最隐蔽，很难检测到。

5. 远程控制：木马攻击者可以通过远程服务器来连接目标机器，对受害系统设备进行远程控制，使用系统资源传输大量数据，侵入者还可以安装恶意软件。

6. 破坏：木马攻击者可以通过进入系统来收集所有的信息，甚至可以破坏和删除系统上的文件和文件夹，造成严重的影响。

木马病毒的工作原理
木马病毒，是病毒的特殊形式，它与一般病毒的区别是它不仅停留在本机电脑里，更利用一些手段开放电脑端口获得与木马服务器的通信，达到获取用户信息的目的。

下面是，希望店铺整理的对你有用，欢迎阅读：
一个木马程序通常很小，它典型的工作方式是通过一些手段下载到用户电脑里，然后获得启动。

启动后的木马进入活动状态。

活动状态的木马就可以进行破坏性的操作了。

木马病毒的下载方式：
(1) 网页挂马;
(2)文件捆绑;
(3)利用系统或软件漏洞;
木马病毒的启动方式：
需要手动的启动方式：
(1)修改文件图标，比如把exe格式的文件图标换成记事本，诱惑用户点击;
(2)和捆绑文件一起启动;
(3)修改启动关联，比如修改注册表后每次打开txt文本时就能启动木马程序;
其它的自启动方式：
(4)把木马释放到WIN程序启动项里;
(5)修改注册表启动项;
(6)config.sys等方式;
木马病毒的破坏性操作：
(1)销毁自身(为了免除后患，是自我保护的手段);
(2)打开电脑端口，电脑被远程控制;
(3)信息泄露;
(4)为了驻留客户端电脑所作的其它感染或复制操作。

对于一般的电脑使用者来说，当然安装好的杀毒软件就可以解决
大部分的问题，不过杀毒软件通常对新木马不很有效。

如果之前你已经了解了木马的工作原理和驻留方式，会更有助于你保护自己的电脑。

木马免杀之汇编花指令技巧作者：逆流风（发表于《黑客X档案》07.07，转载注明出处）相信很多朋友都做过木马免杀，早期的免杀都是加壳和改特征码，现在免杀技术已经发展到花指令免杀，改壳之类的，而这些需要一定的汇编知识，但是汇编却不是一块容易啃的骨头，所以我写了这篇菜鸟版的免杀汇编教程，帮助小菜们快速入门，掌握免杀必备的汇编知识，改花指令，改特征码的技巧和编写自己的花指令。

一、免杀必备的汇编知识push 压栈，栈是一种数据结构，记住四个字：先进后出。

压栈就是把数据放如栈中，从栈顶放如，出栈的时候也是从栈顶取出，所以会有先进后出的特点！先进后出我们可以这样理解，例如：一个乒乓球筒，我们放入乒乓球，然后取出乒乓球，取出的都是就后放进的球。

就如我们放入球的顺序是球1、2、3、4，取出的顺序是球4、3、2、1。

pop 出栈，与push相对应。

mov a,b 把b的值送给a，把它看作编程中的赋值语句就是b赋值给a，这时a的值就是b了。

nop 无作用，就是什么也没做。

retn 从堆栈取得返回地址并跳到该地址执行。

下面是一些算术运算指令：ADD 加法sub 减法inc 加1dec 减1最后是跳转指令：jmp 无条件跳je 或jz 若相等则跳jne或jnz 若不相等则跳jb 若小于则跳jl 若小于则跳ja 若大于则跳jg 若大于则跳jle 若小于等于则跳jge 若大于等于则跳这些就是我们需要掌握的，怎么样不多吧，一些指令可能看不明白，看了后面的就会清楚了。

对了，忘了讲寄存器了，寄存器是中央处理器内的其中组成部份。

寄存器是有限存贮容量的高速存贮部件，它们可用来暂存指令、数据和位址。

我们需要了解的是8个通用寄存器:EAX,EBX,ECX,EDX,ESI,EDI,EBP,ESP二、特征码和花指令的修改特征码我就不多说了，大家都知道的，现在杀毒软件查杀都用特征码查杀，改了木马的特征码，杀毒软件就查不出我们的木马，这样就达到免杀的效果。

木马的工作原理
木马是一种恶意软件，通过欺骗或者胁迫方式侵入电脑系统，并在背后执行不被用户知晓的操作。

木马的工作原理可以描述为以下几个步骤：
1. 渗透：木马首先要渗透到受害者的电脑系统中。

这可以通过诱骗用户点击恶意链接、下载感染文件、插入感染的移动存储设备等方式实现。

2. 安装：一旦成功渗透，木马会开始安装自己到受害者电脑系统中，通常是将木马隐藏在合法的程序或文件中，来避免受到用户的怀疑。

3. 打开后门：安装完成后，木马会打开一个后门，以便攻击者可以远程操作受感染的电脑。

通过这个后门，攻击者可以执行各种恶意操作，比如窃取敏感个人信息、操控计算机、启动其他恶意软件等。

4. 隐蔽行动：为了不被用户察觉，木马会尽可能隐藏自己的存在。

这可以包括隐藏进程、修改注册表、关闭安全软件和防护机制等操作。

5. 通信与命令控制：木马通常会与控制服务器建立连接，通过命令控制来获取指令、向攻击者报告信息以及接收新的命令和更新。

6. 恶意行为：木马还可以执行各种其他恶意行为，比如窃取账
户密码、传播自身到其他系统、发起拒绝服务攻击等。

总之，木马的工作原理是通过欺骗和操控来在电脑系统中埋下后门，并获取对目标系统的控制权限，以实现攻击者的目的。

用户需要保持警惕，避免点击可疑链接、下载非信任来源的文件，以及定期更新和使用安全软件来防护自己的电脑。

01_木马的工作原理一、木马的工作原理木马全称“特洛伊木马”，英文为Trojan Horse。

计算机界把伪装成其他良性的程序形象地称之为“木马”。

你知道“特洛伊木马”一词的来历吗？1、木马的主要特点计算机界中的木马主要有以下特点。

（1）伪装性：木马总是伪装成其他程序来迷惑管理员。

（2）潜伏性：木马能够毫无声响地打开端口等待外部连接。

（3）隐蔽性：木马的运行隐蔽，甚至使用任务管理器都看不出来。

（4）自动运行性：当系统启动时自动运行。

2、木马被入侵者用来做什么？（1）入侵当基于认证和漏洞的入侵无法进行时，就需要考虑使用木马入侵。

（2）留后门由于木马连接不需要系统认证并且隐蔽性好，为了以后还能控制远程主机，可以种木马以留后门。

3、木马是如何工作的木马是一种基于远程控制的黑客工具，一般来说，木马程序包括客户端和服务端两部分。

其中，客户端运行在入侵者的操作系统上，是入侵者控制目标主机的平台；服务端则是运行在目标主机上，是被控制的平台，一般发送给目标主机的就是服务端文件。

木马主要是依靠邮件、下载等途径进行传播，然后，木马通过一定的提示诱使目标主机运行木马的服务端程序，实现木马的种植。

例如：入侵者伪装成目标主机用户的朋友，发送了一张捆绑有木马的电子贺卡，当目标主机打开贺卡后，屏幕上虽然会出现贺卡的画面，但此时木马服务端程序已经在后台运行了。

木马的体积都非常小，大部分在几KB到几十KB之间。

当目标主机执行了服务端程序之后，入侵者便可以通过客户端程序与目标主机的服务端建立连接，进而控制目标主机。

对于通信协议的选择，绝大多数木马使用的是TCP/IP协议，但也有使用UDP协议的木马。

木马的服务端程序会尽可能地隐蔽行踪，同时监听某个特定的端口，等待客户端的连接；此外，服务端程序为了在每次重新启动计算机后能正常运行，还需要通过修改注册表等方法实现自启动功能。

4、木马的隐藏（1）任务栏图标的隐藏这是最基本的隐藏方式。

要实现在任务栏中隐藏在编程时很容易实现，如C#中，主要把窗体Form的Visible属性设置为False，ShowInTaskBar属性设置为False即可。

计算机平安之认清木马的原理电脑资料一、根底知识在介绍木马的原理之前有一些木马构成的根底知识我们要事先加以说明，因为下面有很多地方会提到这些内容，一个完好的木马系统由硬件部分、软件部分和详细连接部分组成。

1.硬件部分建立木马连接所必须的硬件实体。

控制端：对效劳端进展远程控制的一方。

效劳端：被控制端远程控制的一方。

INTERNET：控制端对效劳端进展远程控制，数据传输的网络载体。

2.软件部分实现远程控制所必须的软件程序。

控制端程序：控制端用以远程控制效劳端的程序。

木马程序：潜入效劳端内部，获取其操作权限的程序。

木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在效劳端藏得更隐蔽的程序。

3.详细连接部分通过INTERNET在效劳端和控制端之间建立一条木马通道所必须的元素。

控制端IP，效劳端IP：即控制端，效劳端的网络地址，也是木马进展数据传输的目的地。

控制端端口，木马端口：即控制端，效劳端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

二、特洛伊木马的攻击步骤用木马这种工具进展网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。

1. 配置木马一般来说一个设计成熟的木马都有木马配置程序，从详细的配置内容看，主要是为了实现以下两方面功能：（1）木马假装：木马配置程序为了在效劳端尽可能好的隐藏木马，会采用多种假装手段，如修改图标、捆绑文件、定制端口、自我销毁等等。

（2）信息反响：木马配置程序将就信息反响的方式或地址进展设置，如设置信息反响的邮件地址、IRC号、ICQ号等。

2. 传播木马（1）传播方式木马的传播方式主要有两种：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要翻开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

木马病毒的工作原理
木马病毒是一种恶意软件，其工作原理是通过隐藏在合法程序或文件中，悄悄地进入受害者的计算机系统，隐蔽地运行并窃取、破坏或控制系统的信息。

木马病毒首先通过远程攻击、恶意链接或邮件附件等方式感染用户的计算机。

一旦成功进入系统，它会隐藏在操作系统或应用程序的进程中，并通过与系统自动启动文件的联结或修改，实现每次开机都自动激活。

木马病毒潜伏在系统中后，其主要目标是窃取用户的个人信息、敏感数据或者登录凭证。

它可以监视用户的键盘输入、截屏、记录访问的网站等活动。

此外，木马病毒还可以通过网络连接远程服务器，与黑客进行通信，将被窃取的数据传送给黑客。

木马病毒还可以拥有远程控制计算机的能力。

黑客可以通过木马病毒操控受感染计算机，远程启动、关闭或重启计算机，远程访问文件并进行修改或删除，甚至在不被察觉的情况下控制摄像头、麦克风等输入设备，获取用户的私密信息。

此外，木马病毒还可以通过传播自身的方式进行蔓延。

它可以利用受感染计算机上的联系人列表，通过发送恶意链接或文件给联系人，使得更多的计算机感染木马病毒。

为了对抗木马病毒，用户需要注意不打开来历不明的链接或附件，及时更新操作系统和应用程序的安全补丁，安装和定期更新杀毒软件，并定期扫描计算机系统，确保其安全性。

“木马”程序是目前比较流行的病毒文件，与普通的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

“木马”与计算机网络中往往要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则彻底相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的“木马”程序包含了两部份：“服务器”和“控制器”。

植入被种者电脑的是“服务器”部份，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或者几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！病毒是附着于程序或者文件中的一段计算机代码，它可在计算机之间传播。

它一边传播一边感染计算机。

病毒可损坏软件、硬件和文件。

病毒(n.) ：以自我复制为明确目的编写的代码。

病毒附着于宿主程序，然后试图在计算机之间传播。

它可能损坏硬件、软件和信息。

与人体病毒按严重性分类(从Ebola 病毒到普通的流感病毒) 一样，计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁设备。

令人欣慰的是，在没有人员操作的情况下，真正的病毒不会传播。

必须通过某个人共享文件和发送电子邮件来将它一起挪移。

“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。

在Internet 上，“特洛伊木马”指一些程序设计人员(或者居心不良的马夫)在其可从网络上下载(Download)的应用程序或者游戏外挂、或者网页中，包含了可以控制用户的计算机系统或者通过邮件盗取用户信息的恶意程序，可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。

掌握木马自动加载原理有效查杀我们先具体谈谈“木马”是怎样自动加载的。

在Win.ini文件中，在WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。

一般情况下，它们的等号后面应该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中“木马”了。

当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成 command.exe(真正的系统文件为)文件，如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。

在System.ini文件中，在[BOOT]下面有个“shell=文件名”。

正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVer sionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。

当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersi onRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersion Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVer sionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

了解木马原理一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。

1.硬件部分硬件部分是建立木马连接所必须的硬件实体。

●控制端：对服务端进行远程控制的一方。

●服务端：被控制端远程控制的一方。

●Internet：控制端对服务端进行远程控制时，数据传输的网络载体。

2.软件部分软件部分是实现远程控制所必须的软件程序。

●控制端程序：控制端用来远程控制服务端的程序。

●木马程序：潜入服务端内部，获取其操作权限的程序。

●木马配置程序：设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏蔽的程序。

3.具体连接部分通过Internet在服务端和控制端之间建立一条木马通道所必须的元素。

●控制端IP，服务端IP：即控制端、服务端的网络地址，也是木马进行数据传输的目的地。

●控制端端口，木马端口：即控制端、服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

用木马这种黑客工具进行网络入侵，从过程上看大致可分为6步，下面就按这6步来详细阐述木马的攻击原理。

（1）配置木马：一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：●木马伪装：木马配置程序为了在服务端尽可能好的隐藏木马，会采用多种伪装手段，如修改图标、捆绑文件、定制端口、自我销毁等。

●信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等。

（2）传播途径：木马的传播方式主要有两种：一种是通过E-mail。

控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就感染上木马；另一种是软件下载。

一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，当你下载后，只要运行这些程序，木马就会自动安装。

（3）运行木马：服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。

首先将自身复制到Windows的系统文件夹中，然后在注册表、启动组、非启动组中设置好木马的触发条件，完成木马的安装。

班级：10监理学号：10712048姓名：杨甫磊木马的原理与攻防一、实验目的1.熟悉木马的原理和使用方法，学会配制服务器端及客户端程序。

2.掌握木马防范的原理和关键技术。

二、实验原理1.木马攻击：特洛伊木马（以下简称木马），英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。

大多数木马与正规的远程控制软件功能类似，如Manteca的anywhen，但木马有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。

攻击者经常把木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。

最常见的情况是，用户从不正规的网站上下载和运行了带恶意代码的软件，或者不小小心点击了带恶意代码的邮件附件。

大多数木马包括客户端和服务器端两个部分。

攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户一运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。

通常，木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号、程序启动时机。

如何发出调用、如何隐身、是否加密。

另外，攻击者还可以设置登录服务器的密码，确定通信方式。

木马攻击者既可以随心所欲的查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。

木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很难找到并清除它。

木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。

常见的木马，例如Back Orifice和Sub Seven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。

这些木马可以当做键记录器、远程登录控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。

木马工作原理
木马是一种恶意软件，旨在通过隐藏在合法程序或文件中，进而偷取敏感信息、控制被感染的计算机或传播其他恶意软件。

它的工作原理主要由以下几个步骤组成：
1. 欺骗用户：木马通常会被命名为吸引人的文件名，如游戏补丁、破解工具等，以诱使用户下载并执行。

2. 静默安装：一旦用户下载并执行木马程序，它会进行静默安装，尽可能避免用户察觉。

3. 植入恶意代码：木马会将自身植入计算机系统中，并将恶意代码插入到合法程序或系统文件中，使其与正常的软件功能相混合，隐藏自己的存在。

4. 启动后门：木马通过在被感染系统上创建后门，以便黑客远程控制被感染的计算机，并执行恶意操作。

5. 数据窃取：木马通常会用指令集记录用户的敏感信息，如账号密码、银行卡信息等，然后将这些数据发送到控制服务器上。

6. 扩散传播：木马可以通过多种方式传播自己，如利用邮件附件、网络下载、USB设备等，以感染更多的计算机。

为了更好地保护计算机系统免受木马的侵害，用户应该保持良好的安全意识，避免下载和执行可疑来源的文件，及时安装和更新杀毒软件，定期进行系统补丁更新，并备份重要数据。

同时，网络管理员也应采取综合的安全措施，包括防火墙、入侵检测系统等，来减少木马的风险。

目前常见的木马有三种正向连接木马反弹连接木马收信木马正向连接木马,所谓正向，就是在中马者在机器上开个端口，而我们去连接他的端口。

而我们要知道他的IP，才能够连接他。

123就是他机器上开的端口由于到现在，宽带上网(动态IP)和路由器的普遍，这个软件就有很大的不足动态IP：每次拨号，IP都会跟换.所以，就算对方中了木马，在下次拨号的时候，我们会因为找不到IP而丢肉鸡路由器：就是多个电脑同用1条宽带(网吧上网就是最好的例子)他们通过路由器连接到宽带，例如：主机的IP为225.124.3.41，而内网(就是用路由器的机器)的IP为192.168.X.X。

在内网环境下，我们外界是无法访问的，就是机器中了木马也没用。

下面大家看下我的示意图。

简单来说，内网的机器是比较安全的，外界是无法访问的，就是我们连接不了内网器。

而连接内网的机器，除非在同区域网里(在网吧A机，就能用RIDMIN连接网吧的B机).简单总结：在不同区域网下，正向木马只能连接到外网的机器，而不能连接到内网的机器由于一系列的不足，就产生了反弹连接木马，例如出门的国产软件：灰鸽子反弹连接木马，就是在我们机器上开启一个端口，让中马者来连接我们，从而获得肉鸡的信息，就算对方的IP怎么改变，也是无际于事。

如果我们自己机器上的IP改变了，肉鸡就无法找到我们的机器，从而无法获得肉鸡的信息，不过这点是不成问题的，WWW兴起，就有了域名。

在网络中通过的对域名的访问能找到自己对应的IP地址，例如 的IP地址为22.181.38.4 如果百度的IP变成12.11.22.3的话，只要域名不改变，就算IP 地址怎么变，它也能找到你。

就算是内网的机器，我们也能获得他的信息。

总结到底：本地开启1个端口，肉鸡连接上我们，就算是内外网的机器也可以反弹连接木马最头疼的地方就是使用者是内网状态的(大家可以看我的路线图，蓝色为反弹连接，黑色为正常连接)。

说到为什么最头疼，大家就回忆下正向连接木马的原理。

菜鸟要了解的三种后门技术曾经饱受木马、后门(以下统称后门)侵害的人们都不会忘记机器被破坏后的惨象,于是人们展开了积极的防御工作,从补丁到防火墙,恨不得连网线都加个验证器,在多种多样的防御手法夹攻下,一大批后门倒下了,菜鸟们也不用提心吊胆上网了。

可是后门会因此罢休吗？答案当然是否定的。

君不见,在风平浪静的陆地下,一批新的后门正在暗渡陈仓。

1.反客为主的入侵者黑客A连接上了网络,却不见他有任何行动,他在干什么呢？我们只能看见他燃起一支烟,似乎在发呆。

过了一会儿,他突然把烟头一丢,双手迅速敲击键盘,透过屏幕,我们得知他已经进入了一个企业内部的服务器,一台安装了防火墙、而且深居内部的服务器。

他怎么做到的呢？莫非他是神仙？请把镜头回退到刚才那一幕,黑客A在烟雾熏绕中盯着一个程序界面出神,突然,那个界面变动了一下,同时,黑客A 也开始敲打键盘,接下来就是熟悉的控制界面。

各位也许不相信自己的眼睛了：难道是那台机器自己找上他的？不可能。

可是这是事实,真的是服务器自己找上来的。

黑客A也不是使用高技术,他只是使用了一种反客为主的后门――反弹木马。

众所周知,通常说的入侵都是入侵者主动发起攻击,这是一种类似捕猎的方式,在警惕性高的猎物面前,他们已经力不从心;可是对于使用反弹技术的入侵者来说,他们却轻松许多,反弹木马就如一个狼外婆,等着小红帽亲自送上门去。

一般的入侵是入侵者操作控制程序去查找连接受害计算机,而反弹入侵却逆其道而行之,它打开入侵者电脑的一个端口,却让受害者自己与入侵者联系并让入侵者控制,由于大多数防火墙只处理外部数据,对内部数据却闭上眼睛,于是,悲剧发生了。

反弹木马的工作模式如下：受害者(被植入反弹木马服务端的计算机)每间隔一定时间就发出连接控制端的请求,这个请求一直循环到与控制端成功连接;接下来控制端接受服务端的连接请求,两者之间的信任传输通道建立;最后,控制端做的事情就很普通了――取得受害者的控制权。

由于是受害者主动发起的连接,因此防火墙在大多数情况下不会报警,而且这种连接模式还能突破内网与外部建立连接,入侵者就轻易地进入了内部的计算机。