木马病毒的起源，为什么称为木马？谁知道？

全部展开

木马2113（以下简称木马），英文为“ Trojan house”，其名称5261取自希腊神话中的4102木马.

这是一个基于远程控制的1653黑客工具，具有隐藏和未经授权的特征.

所谓的隐蔽意味着木马的设计者将使用多种方法隐藏木马，以防止发现木马. 这样，即使发现服务器感染了木马，也无法确定木马的特定位置.

所谓的未授权是指一旦控制终端连接到服务器，控制终端将享受服务器的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等. ，但这些权利并非最终赋予的服务，而是通过木马程序被盗的.

从木马的发展角度来看，它基本上可以分为两个阶段.

最初，网络仍在UNIX平台上. 木马诞生. 当时木马程序的功能相对简单，通常将程序嵌入系统文件中，并使用跳转指令执行某些木马功能. 在此期间，木马的设计者和用户主要是技术人员，并且必须具有相当的网络和编程知识.

随着WINDOWS平台的日益普及，出现了一些基于图形操作的木马，并且用户界面得到了改进，从而使用户无需太多知识就能熟练地操作木马. 经常出现，并且由于在此期间木马的功能变得越来越完善，因此对服务器的损害也更大.

因此，木马发展到今天，并已得到最大程度的利用. 一旦受木马控制，您的计算机将没有任何秘密.

鉴于该木马的巨大危害，我们将分三部分详细介绍该木马: 原理，防御和反击以及数据. 希望您对木马攻击方法有一个全面的了解.

原理

基本知识

在介绍木马的原理之前，我们需要预先解释一些木马的基本知识，因为下面提到了很多地方.

一个完整的Trojan系统由硬件，软件和特定的连接组成.

（1）硬件部分: 建立木马连接所需的硬件实体. 控制端: 在服务器端执行远程控制的一方. 服务器: 由控制器远程控制的一方. INTERNET: 用于控制服务器和控制终端进行数据传输的网络载体.

（2）软件部分: 远程控制所需的软件程序. 控制程序: 控件用于远程控制服务器的程序. 木马程序: 潜入服务器以获取其操作权限的程序. 木马配置程序: 设置木马程序的端口号，触发条件，木马名称等，以将其隐藏在服务器端.

（3）特定的连接部分: 在服务器和控制终端之间通过Internet建立Trojan通道所需的元素. 控制终端IP，服务器IP: 控制终端和服务器的网络地址，以及木马传输数据的目的地. 控制端口和木马端口: 即控制端和服务器的数据入口. 通过该条目，数据可以直接到达控制端程序或木马程序.

木马原则

使用木马作为网络入侵的黑客工具，此过程可以大致分为六个步骤（有关详细信息，请参见下图）. 下面我们将根据这六个步骤详细阐述木马的攻击原理.

一个. 配置木马

通常来说，设计良好的Trojan具有Trojan配置程序. 从具体的配置内容来看，主要是实现以下两个功能:

（1）木马伪装: 为了尽可能在服务器端隐藏木马，木马配置程序将采用多种伪装方法，例如修改图标，绑定文件，自定义端口，自毁等. 本节将详细介绍“木马”.

（2）信息反馈: Trojan配置程序将设置信息反馈方法或地址，例如设置信息反馈电子邮件地址，IRC编号，ICO编号等，我们将在“信息反馈”中详细信息.

第二. 传播木马

（1）传输方式:

主要通过两种方式传播木马: 一种是通过E-MAIL，控制端将以电子邮件附件的形式发送木马程序，收件人会在附件中感染木马. 系统已打开；另一种是软件下载. 一些非正式网站以提供软件下载的名义将木马捆绑到软件安装程序中. 下载后，只要运行这些程序，木马程序就会自动安装.

（2）伪装方法:

鉴于木马的危害性，许仍然对木马有所了解，这对木马的传播具有一定的抑制作用. 这是Trojan设计人员不希望看到的，因此他们开发了多种功能来伪装Trojan，以达到降低用户警觉性和欺骗用户的目的.

（1）修改图标

当您在E-MAIL附件中看到此图标时，您认为它是文本文件吗？但是我必须告诉您，这也可能是木马程序. 已经有可以服务于木马的木马. 程序的图标更改为HTML，TXT，ZIP等各种文件的图标，这非常令人困惑，但是目前提供此功能的木马很少见，并且这种伪装并不完美，因此没有需要调整天堂是如此的担心，可疑.

（2）捆绑的文件

此伪装方法是将木马程序绑定到安装程序. 运行安装程序时，木马会在用户不知情的情况下进入系统. 至于捆绑的文件，它们通常是可执行文件（即EXE和COM文件）.

（3）错误显示

了解木马的人知道，如果打开文件，则什么也不会发生. 这可能是木马程序. 木马的设计者也意识到了这一缺陷，因此已经有一个木马提供了错误显示. 特征. 当服务器用户打开Trojan程序时，将弹出一个错误提示框，如下图所示（这当然是错误的）. 可以自由定义错误内容，并且大多数错误内容将被自定义为诸如“文件已损坏且无法打开！”之类的内容. 这样的信息，当服务器用户相信事实时，木马悄悄地入侵了系统.

（4）自定义端口

许多旧的木马端口都是固定的，这为确定木马是否受到感染带来了便利. 只需检查特定端口即可知道感染了木马，因此现在许多新的木马都添加了自定义端口功能，控制最终用户可以选择1024至65535之间的端口作为木马端口（通常不选择1024以下的端口），给被感染的木马类型带来麻烦.

（5）自毁

此功能是为了弥补木马的缺陷. 我们知道，当服务器用户打开包含木马的文件时，木马会将其自身复制到WINDOWS系统文件夹（在C: WINDOWS或C: WINDOWSSYSTEM目录下）. 一般而言，原始木马文件与系统文件夹中的木马文件大小相同（捆绑该文件的木马除外），那么打过木马的朋友可以在最近收到的木马中找到原始木马文件. 字母和下载的软件，然后根据原始木马的大小转到系统文件夹中，找到相同大小的File，确定哪个是木马. 木马的自我破坏功能意味着安装木马后，原始木马文件将被自动销毁. 这使服务用户很难找到木马的来源. 没有木马工具的删除，很难删除木马.

（6）重命名木马

安装在系统文件夹中的木马的文件名通常是固定的，因此只要根据一些有关查杀木马的文章，根据在系统文件夹中搜索特定文件，就可以确定木马在其中. 因此，许多木马现在允许控制用户自由自定义已安装的木马文件名，这使得确定受感染木马的类型变得困难.

三个. 正在运行木马

服务器用户运行木马或捆绑木马的程序后，将自动安装木马. 首先将您自己复制到WINDOWS系统文件夹（C: WINDOWS或C: WINDOWSSYSTEM目录），然后在注册表，启动组和非启动组中设置木马的触发条件，从而完成木马的安装. 安装后，您可以启动木马. 具体过程如下图所示:

（1）触发条件激活的木马

触发条件是指启动木马的条件，大致出现在以下八个位置:

1. 注册表: 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的Run和RunServices下，打开五个主键，然后查找可能是启动Trojan的键值.

2. WIN.INI: C: WINDOWS目录中有一个配置文件win.ini，该文件以文本模式打开. 在[windows]字段中，有启动命令load =和run =，它们通常为空白. 如果有启动程序，则可能是木马. 3. SYSTEM.INI: C: WINDOWS目录中有一个配置文件system.ini，该文件以文本模式打开. 在[386Enh]，[mic]，[drivers32]中都有命令行，并寻找该木马的启动命令.

4.Autoexec.bat和Config.sys: C驱动器根目录中的这两个文件也可以启动木马. 但是，这种加载方法通常要求控制端的用户与服务器建立连接，然后将与Trojan启动命令添加了相同名称的文件上载到服务器以覆盖这两个文件.

5. *. INI: 应用程序的启动配置文件. 控制终端使用这些文件的特征来启动程序，并使用Trojan启动命令将具有相同名称的文件上载到服务器以覆盖具有相同名称的文件. 您可以达到启动木马的目的.

6. 注册表: 打开HKEY_CLASSES_ROOT文件类型\ shellopencommand主键并查看其键值. 例如，家用冰球“ Binghe”将在HKEY_CLASSES_ROOTxtfileshellopen命令下修改密钥值，并将“ C: WINDOWS NOTEPAD.EXE％1”更改为“ C: WINDOWSSYSTEMSYXXXPLR.EXE％1”. 这时，在双击TXT文件后，原来使用NOTEPAD打开文件，现在它已变成木马程序. 还应注意，不仅是TXT文件，还可以通过修改HTML，EXE，ZIP等文件的启动命令的键值来启动木马，区别仅在于“文件类型”的区别主键，TXT是txtfile，ZIP是WINZIP，您可以尝试找到它.

7. 捆绑文件: 要达到此触发条件，控制终端和服务器必须首先通过木马建立连接，然后控制用户使用工具软件将木马文件与应用程序捆绑在一起，然后将其上传到服务器. 覆盖原始文件，以便即使删除了木马，只要运行与木马捆绑在一起的应用程序，都会再次安装木马.

8. 开始菜单: “开始-程序-开始”选项下，可能存在木马触发条件.

（2）木马运行过程

激活木马后，进入内存并打开预定义的木马端口，准备与控制终端建立连接. 这时，服务器用户可以在MS-DOS模式下键入NETSTAT -AN来查看端口状态. 通常，个人计算机离线时不会打开端口. 如果打开了端口，则应注意端口是否感染了木马. . 以下是在计算机感染木马后使用NETSTAT命令查看端口的两个示例:

其中①是服务器和控制终端建立连接时的显示状态，而②是服务器和控制终端尚未建立连接时的显示状态.

在浏览Internet的过程中，您必须下载软件，发送信件和聊天，并且必须打开一些端口. 以下是一些常用端口:

（1）端口在1到1024之间: 这些端口称为保留端口，并为外部通信程序保留，例如FTP 21，SMTP 25和POP3 110. 只有少数木马使用保留端口作为木马端口.

（2）1025以上的串行端口: 浏览Internet时，浏览器将打开多个串行端口，以将文本和图片下载到本地硬盘. 这些端口都是1025以上的串行端口.

（3）4000端口: 这是OICQ的通信端口.

（4）6667端口: 这是IRC通信端口. 除了上述端口之外，您基本上可以排除它们. 如果发现其他端口（特别是值相对较大的端口）处于打开状态，则必须怀疑木马是否已被感染. 当然，如果木马具有自定义端口功能，则任何端口都可以是木马端口.

四个. 信息公开:

通常，设计良好的木马具有信息反馈机制. 所谓信息反馈机制，是指木马安装成功后，将收集服务器的一些软硬件信息，并通过E-MAIL，IRC或ICO通知控制终端用户. 下图是典型的信息反馈电子邮件.

从此电子邮件中，我们可以了解服务器的一些软件和硬件信息，包括使用的操作系统，系统目录，硬盘分区状态，系统密码等. 在这些信息中，最重要的是服务器IP，因为只有使用此参数，控制终端才能与服务器建立连接. 具体的连接方法将在下一节中说明.

五个. 建立连接:

在本节中，我们将说明如何建立Trojan连接. 建立Trojan连接必须首先满足两个条件: 首先，Trojan程序已安装在服务器上；第二，控制终端，服务器必须. 在此基础上，控制终端可以通过Trojan端口与服务器建立连接. 为了便于说明，我们使用插图的形式进行说明.

如上图所示，机器A是控制终端，机器B是服务器. 为了使机器A与机器B建立连接，您必须知道机器B的木马端口和IP地址. 由于木马端口是由机器A预先设置的，这是已知项，所以最重要的是如何获取B机器的IP地址. 获取B机IP地址的主要方法有两种: 信息反馈和IP扫描. 上一节已经介绍了上一个，因此不再赘述. 我们将专注于IP扫描. 由于B机器配备了Trojan程序，因此其Trojan端口7626已打开，因此现在A机器只需在IP地址段中扫描端口7626为打开的主机即可. 例如，图中机器B的IP地址为202.102.47.56. 当机器A扫描该IP并发现端口7626已打开时，将使用该IP. 添加到列表中，此时，机器A可以通过Trojan的控制终端程序向机器B发送连接信号. 机器B中的Trojan程序在收到信号后立即响应. 机器A收到响应信号后，打开. 然后端口1031与B机器的Trojan端口7626建立连接，然后真正建立Trojan连接. 值得一提的是，扫描整个IP地址段显然很费时且费力. 一般来说，控制端首先通过信息反馈获取服务器的IP地址. 因为拨号Internet访问的IP是动态的，即每次Internet访问时用户的IP都是不同的，是的，但是此IP在一定范围内变化. 如图所示电脑病毒为什么叫木马，机器B的IP为202.102.47.56，则Internet上机器B的IP的变化范围为202.102.000.000 --- 202.102.255.255，因此每次控制终端只要搜索该IP地址段，就可以找到B机.

六. :

建立木马连接后，控制端口和木马端口之间将出现一个通道，请参见下图

控制终端上的控制程序可以使用此通道与服务器上的Trojan程序取得联系，并使用Trojan程序远程控制服务器. 下面我们将介绍控制终端可以享受的特定控制权，它比您想象的要大得多.

（1）窃取密码: 木马程序可以检测到所有纯文本格式的*或缓存在CACHE中的密码. 此外，许多木马还提供了击键记录功能，该功能将记录每次敲击键盘两次的操作，因此一旦木马入侵，密码就很容易被盗.

（2）文件操作: 控制端可以通过远程控制在服务器端进行删除，创建，修改，上传，下载，运行，更改属性等一系列操作，基本上覆盖了整个WINDOWS平台. 文件操作功能.

（3）修改注册表: 控制终端可以随意修改服务器注册表，包括删除，创建或修改主键，子键和键值. 使用此功能，控制端可以禁止使用服务器的软盘驱动器和CD-ROM驱动器，锁定服务器的注册表，以及将服务器上的木马程序的触发条件设置为一系列更隐蔽的高级操作.

（4）系统操作: 此内容包括重新启动或关闭服务器操作系统，断开服务器网络连接，控制服务器鼠标，键盘，监视服务器桌面操作，查看服务器进程等. 您可以发送随时向服务器发送一条消息. 想象一下，当一个段落突然在服务器的桌面上弹出时，被吓到并不奇怪.

木马和病毒都是人工程序，属于计算机病毒. 为什么应单独提出木马程序？每个人都知道以前的计算机病毒的作用，实际上，这全都与破坏和破坏计算机中的数据有关. 数据除了破坏外，无非是为了达到某些目的或炫耀自己的技术而对某些病毒生产者的威慑和勒索. “木马”与众不同，木马的作用是秘密监视他人并窃取他人的密码，数据等，例如，窃取管理员密码，子网密码以进行破坏或娱乐；窃取密码以供其他用途，游戏帐户，股票帐户，甚至是网上银行帐户等，以实现偷窥他人隐私并获得经济利益的目的. 因此，木马的作用比早期的计算机病毒更有用. 它可以更直接地达到用户的目的！这导致许多开发人员别有用心，在盗窃和监视他人计算机的情况下编写了此类侵入性程序. 这就是为什么大量木马泛滥到Internet上的原因. 考虑到木马的巨大危害以及其与早期病毒的不同性质，木马属于病毒类别，但必须将它们与病毒类型分开. 独立地称为“木马”程序.

一般来说，一个反病毒软件程序，如果其木马程序的杀毒程序可以杀死某个木马，那么它自己的普通反病毒程序当然也可以杀死该木马程序，因为今天木马正在泛滥，对于Trojan单独设计了一种特殊的Trojan防病毒工具，可以提高防病毒软件的产品水平，也极大地提高了其声誉. 实际上电脑病毒为什么叫木马，一般的反病毒软件都包含反木马功能. 现在每个人都说某些杀毒软件没有杀木马程序，那么，这家杀毒软件制造商似乎有点不知所措，即使其普通杀毒软件确实具有杀木马功能.

另一点是，仅剥离反木马程序可以提高反病毒的效率. 当前，防病毒软件中的许多防病毒软件只能杀死木马，并且不检查常规病毒库中的病毒代码. 也就是说，当用户运行木马查杀程序时，该程序仅调用木马代码库中的数据，而不调用病毒代码库中的数据，大大提高了木马的查杀速度. 我们知道，杀死普通病毒的速度较慢，因为现在病毒太多了. 每个文件都要经过数以万计的木马代码测试，然后再添加到已知的近100,000种病毒代码测试中，是不是很慢Slow. 通过省略常见的病毒代码检查，是否可以提高效率并提高速度？就是说，许多杀毒软件附带的木马杀毒程序只能杀死木马，一般不会杀死病毒，但是它自己的常见病毒杀毒程序可以同时杀毒和木马！

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-236645-1.html