木马

木马的安全与技术

姓名：王芳

学号：200841607049

学院：化学化工与环境学院

系别：环境科学系

在计算机领域中，木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。

木马主要可分为以下几种，（1）破坏型：这种木马唯一的功能就是破坏并且删除文件，它们非常简单，很容易使用。能自动删除目标机上的DLL、INI、EXE 文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。（2）密码发送型：这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。如果目标机有隐藏密码，这些木马是非常危险的。（3）远程访问型：这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。（4）键盘记录木马：这种特洛伊木马非常简单，它们只做一件事情，就是记录受害者的键盘敲击并且在LOG 文件里查找密码，并且随着Windows 的启动而启动，自动将密码发送到黑客指定的邮箱。（5）DOS攻击木马（6）FTP木马：这种木马是最简单和古老的木马，它的惟一功能就是打开21端口，等待用户连接。（7）反弹端口型木马：与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的被动端口；为了隐蔽起见，控制端的被动端口一般开在80，用户稍微疏忽一点，就会以为是自己在浏览网页，因为浏览网页都会打开80端口的。（8）代理木马：这是黑客用来隐藏自身踪迹的一种木马。（9）程序杀手木马：上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus 等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。

常见的木马有：闪盘窃密者（Trojan.UdiskThief），会自动把U盘中所有的资料都复制到电脑的C盘的TEST文件夹中；证券大盗，盗取多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能；外挂陷阱，盗取多个网络游戏的用户信息.

当前木马的主要传播途径有：1.利用操作系统(主要是Windows)和IE浏览器漏洞传播，好玩好用的软件，需要用的安装包，网站程序等都可能传播木马。2.利用移动存储设备（U 盘等）Autorun（自动播放）来传播病毒。3.利用第三方软件（例如RealPlayer，暴风影音、迅雷、联众世界等）漏洞传播。4.利用ARP 欺骗方式来传播。5.利用电子邮件，QQ，MSN 等即时通讯软件传播。6.利用网页挂马，嵌入恶意代码来传播。

对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC 带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前

还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。

木马的工作原理：木马是一种基于远程控制的黑客工具，一般来说，木马程序包括客户端和服务端两部分。其中，客户端运行在入侵者的操作系统上，是入侵者控制目标主机的平台；服务端则是运行在目标主机上被控制的平台，一般发送给目标主机的就是服务端文件。木马主要是依靠邮件、下载等途径进行传播，然后，通过一定的提示诱使目标主机运行木马的服务端程序，实现木马的种植。例如：入侵者伪装成目标主机用户的朋友，发送了一张捆绑有木马的电子贺卡，当目标主机打开贺卡厚，屏幕上虽然会出现贺卡的画面，但此时木马服务端程序已经在后台运行了。木马的体积都非常小，大部分在几KB到几十KB之间。当目标主机执行了服务端程序之后，入侵者便可通过客户端程序与目标主机的服务端建立连接，进而控制目标主机。对于通信协议的选择，绝大多数木马使用的是TCP/IP协议，但也有使用UDP协议的木马。木马的服务端程序会尽可能地隐蔽行踪，同时监听某个特定的端口，等待客户端的连接；此外，服务端程序为了在每次重新启动计算机后能正常运行，还需要通过修改注册表等方法实现自启动功能。

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在我们毫不知情的情况下控制你或者监视你。木马的几个爱藏身的地方：1、集成到程序中。其实木马也是一个服务器——客户端程序，它为了不让用户轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。2、隐藏在配置文件中。木马常常会藏身于一些不太重要的配置文件中，而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或监视大家。

3、伪装在普通文件中。具体方法是把可执行文件伪装成图片或文本，在程序中把图标改成windows的默认图片图标，再把文件名改为*.jpg.exe，由于扩展名经常不显示，所以人们常常会因为点击这个图标就中木马了。

4、内置到注册表中。打开HKEY-CLASSES-ROOT文件类型\shellopencommand主键，查看其键值。如国产木马“冰河”就是修改HKEY-CLASSES-ROOT xtfileshllopencommand下的键值，将“C:WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。另外，通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马。

5、在system.ini中藏身。Windows安装目录下的system.ini 也是木马喜欢隐蔽的地方。

6、隐蔽在Winstart.bat中。Winstart.bat也是一个能自动被windows 加载运行的文件，木马可以在这种文件中被加载运行。

7、捆绑在启动文件中。即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这些同名文件，这样就可以达到启动木马的目的了。

8、设置在超级链接中。木马的主人在网页上放置恶意代码，引诱用户点击。

那么我们如何查出一些常见的木马呢？我们可以使用目前常见的一些木马查杀软件及杀毒软件，当然，系统自带的一些基本命令也可以发现木马病毒：1、检查网络连接。如果你怀疑自己的计算机上被别人安装了木马，但是手里没有完善的工具来检测，那可以使用windows自带的网络命令来看看谁连接你的计算机。具体的命令为格式是：netstat-an这个命令能看到所有和本地计算机连接的IP，它包含四个部分：连接方式、本地连接地址、和本