实验12 网页木马汇总

特洛伊木马

特洛伊木马（Trojan Horse）又称木马，是一种通过各种方法直接或者间接与远程计算机之间建立起连接，使远程计算机能够通过网络控制本地计算机的程序。这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

通常木马并不被当成病毒，因为它们通常不包括感染程序，因而并不自我复制，只是靠欺骗获得传播。现在，随着网络的普及，木马程序的危害变得十分强大，概括起来，木马的危害有：窃取数据、接受非授权操作者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁、远程运行程序、跟踪监视对方屏幕、直接屏幕鼠标控制，键盘输入控制、监视对方任务且可以中止对方任务、锁定鼠标键盘和屏幕、远程重启和关机、远程读取和修改注册表、共享被控制端的硬盘等。

远程控制概述。要了解木马，首先应了解远程控制。所谓远程控制，是指管理人员在异地通过计算机网络异地拨号或双方都接入Internet等手段，联通需被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远方计算机进行配置、软件安装程序、修改等工作。这里的远程不是字面意思的远距离，一般指通过网络控制远端电脑。早期的远程控制往往指在局域网中的远程控制而言，随着互联网的普及和技术革新，现在的远程控制往往指互联网中的远程控制。当操作者使用主控端电脑控制被控端电脑时，就如同坐在被控端电脑的屏幕前一样，可以启动被控端电脑的应用程序，可以使用或窃取被控端电脑的文件资料，甚至可以利用被控端电脑的外部打印设备（打印机）和通信设备（调制解调器或者专线等）来进行打印和访问外网和内网，就像利用遥控器遥控电视的音量、变换频道或者开关电视机一样。不过，有一个概念需要明确，那就是主控端电脑只是将键盘和鼠标的指令传送给远程电脑，同时将被控端电脑的屏幕画面通过通信线路回传过来。也就是说，控制被控端电脑进行操作似乎是在眼前的电脑上进行的，实质是在远程的电脑中实现的，不论打开文件，还是上网浏览、下载等都是存储在远程的被控端电脑中的。远程控制必须通过网

络才能进行。位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控计算机叫做被控端或服务器端。“远程”不等同于远距离，主控端和被控端可以是位于同一局域网的同一房间中，也可以是连入Internet的处在任何位置的两台或多台计算机。

远程控制软件一般分客户端程序(Client)和服务器端程序(Server)两部分，通常将客户端程序安装到主控端的电脑上，将服务器端程序安装到被控端的电脑上。使用时客户端程序向被控端电脑中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使用各种远程控制功能发送远程控制命令，控制被控端电脑中的各种应用程序运行。远程控制并不神秘，Windows XP系统中就提供了多种简单的远程控制手段，如远程桌面连接。目前市场上有很多远程控制软件，如PCAnywhere就是一款功能强大的远程控制软件。PCAnywhere是由赛门铁克(Symantec)公司出品的远程控制软件，它功能强大，几乎支持所有的网络连接方式与网络协议，利用PCAnywhere，计算机管理人员可以轻松地实现在本地计算机上控制远程计算机，使得两地的计算机可以协同工作。在实现远程控制的同时，PCAnywhere 还拥有更为完善的安全策略与密码验证机制，从而保证了远程被控主机的安全。

远程控制虽然可以方便地操纵远程计算机，但它也可能给远程计算机带来安全隐患。因为远程计算机一旦成为服务端后，其他人只要知道了这台计算机的IP地址和服务端口，就可以对其控制，带来安全隐患。黑客正是利用了远程控制软件的这种特点，设计了木马程序。其实木马程序的工作原理和远程控制软件是一样的，木马就是一种基于远程控制技术的黑客工具，只是它具有破坏性、隐藏性和非传播性等特点而异。

木马程序一般也是由两部分组成，分别是服务器端和客户端。服务器端程序指的是运行在被控制的电脑的木马程序，该程序为.exe后缀的可执行文件。客户端程序安装在控制端，客户端能够对服务器端的控制。在Windows系统中，木马一般作为一个网络服务程序在中了木马的计算机后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有少数是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立TCP连接，从而被客户端远程控制。

木马和常规远程控制软件的相同点：

1．常规远程控制软件和木马都是用一个客户端通过网络来控制服务端，控制端可以是WEB，也可以是手机，或者电脑，可以说控制端植入哪里，哪里就可以成为客户端，服务端也同样如此；

2．常规远程控制软件和木马都可以进行远程资源管理，比如文件上传下载修改；

3．常规远程控制软件和木马都可以进行远程屏幕监控，键盘记录，进程和窕口查看ဂ

木马和常规远程控制软件的区别：

1．木马有破坏性：比如DDOS攻击、下载者功能、格式化硬盘、肉鸡和代理功能；

2．木马有隐蔽性：木马最戾著的特征就是隐蔽性，也就是服务端是隐藏的，并不在被控者桌面显示，不被被控者察觉，这样一来无疑增加了木马的危害性，也为木马窃取密码提供了方便之门。

远程控制和木马在功能上非常相似，木马可以理解为加了恶意功能的远程控制软件。

木马的分类。

根据木马程序的具体功能，可以分为五类:

1．远程访问型木马。远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能，用起来非常简单，只需先运行服务端程序，同时获得远程主机的IP地址，控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在本地机器上做任何事情，比如键盘记录、上传和下载功能、发送一个“截取屏幕”等等。这种类型的木马有著名的BO (Back Office)和国产的冰河等。

2．密码发送型木马。密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次系统重启时都自动加载，它们大多数使用25号端口发送电子邮件。

3．键盘记录型木马。键盘记录型木马非常简单的，它只做一种事情，就是记录受害者的键盘敲击，并且在Log文件里做完整的记录。这种木马程序随着系统的启动而启动，知道受害者在线并记录每一个用户事件，然后通过邮件或其他方式发送给控制者。

4．破坏型木马：大部分木马程序只窃取信息，不做破坏性的事件，但破坏型木马却以毁坏并且删除文件为目的。它们可以自动删除受控计算机上所有的.ini.exe文件，甚至格式化受害者的硬盘，系统中的信息会在顷刻间“灰飞烟灭”。

5．FTP型木马：FTP 型木马打开被控制计算机的21号端口，使任何人无需密码就可以用一个FTP客户端程序连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。

根据木马的网络连接方向，可以分为两类:

1．正向连接型：发起通信的方向为控制端向被控制端发起，这是传统技术，其缺点是不能透过防火墙。

2．反向连接型：发起通信的方向为被控制端向控制端发起，其出现主要是为了解决从内向外不能发起连接的情况的通信要求，已经被较新的木马广泛采用。