您当前的位置是： 服务器安全资讯网>反黑客>防黑反黑>

揭示木马工作原理

来源：   时间:2008-07-13  作者：  点击：次  责任编辑：Flyfox
TAG:   服务 工作 木马 文件 原理 揭示   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

　　所谓隐蔽性是指为了防止木马被发现，会采用多种手段隐藏程序本身，主要做法有隐藏程序，挂接关键进程，伪装系统关键项目等，其目的都是为了防止用户终止木马的服务端程序。

　　所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

　　早期的木马，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 网络和编程知识。随着WINDOWS平台的日益普及，基于图形操作的木马程序出现了，使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事 件也频繁出现，这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。因此木马发展到今天，技术已经相对成熟。一个完整的木马系统由硬件部分，软件 部分和具体连接部分组成。

　　(1)硬件部分：建立木马连接所必须的硬件实体。 包括控制端，服务端以及INTERNET载体。

　　(2)软件部分：实现远程控制所必须的软件程序。 包括控制端程序，木马程序，木马配置程序。

　　(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。包括控制端IP，服务端IP，控制端端口，木马端口。

　　木马的原理

　　木马的运行大致分为六个阶段，小编将结合这六个阶段给大家详细介绍木马的工作原理。

　　一.配置木马

　　一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：

　　(1)木马伪装：木马配置程序为了在服务端尽可能好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等。

　　(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，帐号信息等。

　　二.传播木马

　　(1)传播方式:

　　木马的传播方式主要有三种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程 序，木马就会自动安装；通过在网页中加入脚本代码，植入木马，也被称为网马。当然现在的木马传播途径已经远远不止这些，类似通过第三方而已程序下载等等， 请大家牢记，病毒技术和网络技术共同发展的，永远不要轻易放弃一个微小的细节。

　　(2)伪装方式:

　　鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。

　　但不管如何伪装木马由于其工作原理的限制，只要细心是完全可以及时发现和预防的。

　　(一)修改图标

　　这种木马主要是通过伪装成大家熟知的压缩包或文挡图标，来迷惑用户，从而消除用户的警觉性。

　　(二)捆绑文件

　　这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下 ,从后台安装到系统中。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)，现在也有通过绑定图片、压缩包等来达到目的的。

　　(三)出错显示

　　有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(当然是假的）。例如 几年前风行的QQ木马等都是利用这种技术实现的。

　　(四)定制端口

　　很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制 端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了 麻烦。

　　(五)自我销毁

　　这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中，一般来说原木马文 件和系统文件夹中的木马文件的大小是一样的,那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找 相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮 助下，就很难删除木马了。

　　(六)木马更名

　　安装到系统文件夹中的木马的文件名一般是固定的，那么查杀木马在系统文件夹中特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

　　三.运行木马

　　服务端用户运行木马程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中，然后在注册表,启动组,非启动组中设置好木马的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了。

　　(1)由触发条件激活木马

　　触发条件是指启动木马的条件,大致出现在下面八个地方:

　　1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

上一篇：黑客攻破SQL 服务器系统的十种方法 下一篇：你的网站是否有下列安全隐患?