木马程序的原理与实现是什么_木马程序的原理与实现

木马的工作方式

分类: 电脑/网络 反病毒

问题描述:

求助,我有个 朋友说现在的木马是监听端口传输的数据包网络数据包是加密的,比如你只要启动游戏输入了密码,PIN2码和帐号,并且发送到9C,数据包经过端口,木马就会把这些特定的数据包截留并发送到盗号者邮箱,然后如果盗号者拥有了破解数据包的解密方式,就可以获得密码,PIN2码和帐号,所以无论你是以什么方式输入密码,PIN2码和帐号包括错位输入,剪切粘贴或者软键盘等等,由于无论怎么输入,都是输入完全以后才能发送到9C,所以数据包仍然没有本质变化虽然数据包本身有随机打乱传输,但加密算法不变,盗号者依然可以用同一种解密方式解开密码,PIN2码和帐号.

木马是否是有如上所说的

解析:

木马入侵手段及防范措施

前言

木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序，是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。

1 木马的实现原理及特征

1.1 木马的实现原理

从本质上看，木马都是网络客户/服务模式，它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。

当攻击者要利用木马进行网络入侵，一般都要完成“向目标主机传播木马”，“启动和隐藏木马”，“建立连接”，“远程控制”等环节。

1.2 木马的特征

一个典型的木马程序通常具有以下四个特征：隐蔽性、欺骗性、顽固性和危害性。

(1)隐蔽性：隐蔽性是木马的生命力，也是其首要特征。木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒（或杀马）软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。木马的隐蔽性主要体现在以下两方面：

a.不产生图标。木马虽然在系统启动时会自动运行，但它不会在“任务栏”中产生一个图标。

b.木马自动在任务管理器中隐藏或者以“系统服务”的方式欺骗操作系统。这也就使得要及时了解是否中了木马带来了一定的困难。

(2)欺骗性：木马常常使用名字欺骗技术达到长期隐蔽的目的。它经常使用常见的文件名或扩展名，如dll、win、sys、explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常常修改几个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中而已。

(3)顽固性：很多木马的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。当木马被检查出来以后，仅仅删除木马程序是不行的，有的木马使用文件关联技术，当打开某种类型的文件时，这种木马又重新生成并运行。

(4)危害性：当木马被植入目标主机以后，攻击者可以通过客户端强大的控制和破坏力对主机进行操作。比如可以窃取系统密码，控制系统的运行，进行有关文件的操作以及修改注册表等。

2 木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着网络知识的普及以及网络用户安全意识的提高，木马的入侵手段也随着发生了许多变化。

2.1木马的传统入侵手段

所谓传统入侵手段就是指大多数木马程序采取的、已经广为人知的传播方式，主要有以下几种：

1)电子邮件（E-mail）进行传播：攻击者将木马程序伪装成E-mail附件的形式发送过去，收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

2)网络下载进行传播：一般的木马服务端程序都不是很大，最大也不超过200K，有的甚至只有几K。如果把木马捆绑到其它正常文件上，是很难发现的。一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装。通过Script、ActiveX及Asp、Cgi交互脚本的方法传播：由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者主机进行文件操作等控制。如果攻击者有办法把木马服务端程序上载到目标主机的一个可执行WWW目录夹里面，他就可以通过编制Cgi程序在被攻击的目标主机上执行木马程序。

3)网页浏览传播：这种方法利用Java Applet编写出一个HTML网页，当我们浏览该页面时，Java Applet会在后台将木马程序下载到计算机缓存中，然后修改注册表，使指向木马程序。

4)利用系统的一些漏洞进行传播：如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即可把IIS服务器崩溃，并且同时在受控服务器执行木马程序。

5)远程入侵进行传播：黑客通过破解密码和建立IPC$远程连接后登陆到目标主机，将木马服务端程序拷贝到计算机中的文件夹（一般在C:\WINDOWS\system32或者C:\WINNT\system32）中，然后通过远程操作让木马程序在某一个时间运行。

2.2 木马入侵手段的发展

以上的木马入侵手段虽然使用广泛，但也很容易引起用户的警觉，所以一些新的入侵手段也相继出现，主要有：

1) 基于DLL和远程线程插入的木马植入

这种传播技术是以DLL的形式实现木马程序，然后在目标主机中选择特定目标进程（如系统文件或某个正常运行程序），由该进程将木马DLL植入到本系统中。

DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先，由于DLL文件映像可以被映射到调用进程的地址空间中，所以它能够共享宿主进程（调用DLL的进程）的资源，进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次，因为DLL没有被分配独立的进程地址空间，也就是说DLL的运行并不需要创建单独的进程，所以从系统的进程列表里看不见DLL的运行踪迹，从而可以避免在目标主机中留下木马进程踪迹，因此满足了隐蔽性的要求。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Load Library函数来加载木马DLL，从而实现木马的传播。

2)利用蠕虫病毒传播木马

以前的木马传播大都比较被动，而使用E-mail传播效率又太低，系统漏洞很快又被打上补丁，所以在某种程度上限制了木马的传播能力。网络蠕虫病毒具有很强的传染性和自我复制能力，将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性，在网络上大批量地进行传播、复制，这就加快了木马的传播速度，扩大了其传播范围。

3 木马的防范措施

为了减少或避免木马给主机以及网络带来危害，我们可以从两方面来有效地防范木马：使用防火墙阻止木马入侵以及及时查杀入侵后的木马。

防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP、ICMP等其它IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。但是，仍然有一些木马可以绕过防火墙进入目标主机（比如反弹端口木马），还有一些将端口寄生在合法端口上的木马，防火墙对此也无能为力。因此，我们必须要能迅速地查杀出已经入侵的木马。

木马的查杀,可以采用自

木马程序的原理

一、木马的隐蔽手段

1.隐蔽木马加载的手段可以说是千变万化。但木马都是为一个目的，那就是骗取用户运行它，以运行它的服务产，端程序。随着互联网技术的发展，越来越多的技术为木马所利用。javaScript\VBSrcipt\ActiveX\XML......等等等等，几乎每一个WWW的新功能都会导致木马的快速进化。

2.很多木马喜欢把自己的名字改为Windows.exe，看见这个进程你敢随意地删掉它吗？还有就是更改一些后缀名，用系统dll文件作为自己的名字，只不过后缀名改为dl，如果你不仔细看也不会发现。

3.木马还有一种更隐蔽的方法，那就是修改虚拟设备驱动程序“.vxd”。这种方法的木马基本上摆脱了原有的木马的监听端口模式。这样的木马使用dll进行监听，一旦发现控制端的连接请求就激活自身，将自己插入一个进程以启动自身，这样就会造成系统没有增加新文件，没有新的进程运行，不需要打开端口。因此使用一些常规的方法是查不到它的！可以说它的运行几乎是无迹可寻！

二、防范

1.查看系统托盘。

有些木马会使用冒充工具软件的图标来欺骗用户，从而达到常驻内存的目的。因此如果系统托盘上出现一些未明的图标时一定要查明它的来源。

2.查看正在运行的进程可以快速获知木马的存在。查看时最简单的方法是打开任务管理器，如果看到有不明的进程运行，也须查明这个进程的身份。如果是木马则可以停止它。

3.常使用一些端口检测软件对系统的端口进行监控。

4.不要执行任何来历不明的软件或程序，因为其中会包含病毒。

5.由于木马常用使用邮件附件、QQ信息的附件的方式传播，所以要谨慎对待这些信息的附件，不要随意去点击！（包括熟悉的人的信息）。在接收邮件后都首先要用杀毒软件扫描一遍。

6.经常升级杀毒软件的病毒库。进行全系统的病毒扫描查杀。

特洛伊木马的原理与发展

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，实时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。

特洛伊木马程序不能自动操作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的，对一个不怀疑的用户来说，它可能看起来是有用或者有趣的计划（或者至少无害），但是实际上当它被运行时是有害的。 特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马有两种，universale的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。木马程序不能算是一种病毒，但可以和最新病毒、漏洞利用工具一起使用，几乎可以躲过各大杀毒软件，尽管越来越多的新版的杀毒软件可以查杀一些防杀木马了，但是不要认为使用有名的杀毒软件电脑就绝对安全，木马永远是防不胜防的，除非你不上网。 木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历了6代的改进：

第一代木马：伪装型病毒这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。第二代木马：AIDS型木马继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。第三代木马：网络传播型木马随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征：第一，添加了后门功能。所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。第二，添加了击键记录功能。从名称上就可以知道，该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们有如下共同特点：基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。虽然木马程序手段越来越隐蔽，但是苍蝇不叮无缝的蛋，只要加强个人安全防范意识，还是可以大大降低中招的几率。对此笔者有如下建议：安装个人防病毒软件、个人防火墙软件；及时安装系统补丁；对不明来历的电子邮件和插件不予理睬；经常去安全网站转一转，以便及时了解一些新木马的底细，做到知己知彼，百战不殆 第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。 第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。 第三代，主要改进在数据传递技术方面，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度。 第四代，在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。 第五代，驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。 第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。

木马病毒的运作原理?

不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。 “木马”程序会想尽一切办法隐藏

特洛伊木马的工作原理是什么

特洛伊是具有某些功能或仅仅是有趣的程序。但它通常会做一些令人意想不到的事情，如盗取口令或文件。

特洛伊是如何工作的

一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植人到你的电脑里面。 [内容来自"华西黑客联盟"]

目前木马的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所以，有一些网站提供的往往是捆绑了木马文件的，你执行这些下载的文件，也同时运行了木马。

木马也可以通过Script、ActiveX及Asp.CGI交互脚本的方式植入，由于微软的浏览器在执行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出，通过一个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。 www.

当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端在被感染机器上运行以后，它一方面尽量把自己隐藏在计算机的某个角落里面，以防被用户发现；同时监听某个特定的端口，等待客户端与其取得连接；另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。