木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来管理另一台计算机。木马通常有两个可执行程序:一个是管理端,另一个是被管理端。木马这个名字起源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前对照流行的病毒文件,与一般的病毒差异,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身假装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、盗取被种者的文件,甚至远程操控被种主机。木马病毒的发生严重危害着现代网络的安全运行。
“木马”与计算机网络中经常要用到的远程管理软件有些类似,但因为远程管理软件是“美意”的管理,因此通常不具有掩蔽性;“木马”则彻底相反,木马要到达的是“偷盗”性的远程管理,假如没有很强的掩蔽性的话,那就是“毫无价值”的。 它是指通过一段特定的程序(木马程序)来管理另一台计算机。 木马通常有两个可执行程序: 一个是客户端,即管理端;另一个是服务端,即被管理端。植入被种者电脑的是“服务器”部门,而所谓的“黑客”正是应用“管理器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以应用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防范木马被发明,而使用多种策略隐藏木马。木马的服务一旦运行并被管理端连接,其管理端将享有服务端的大部门操纵权限,例如给计算机增加口令,阅读、移动、仿制、删除文件,改动注册表,更换计算机配置等。 跟着病毒编写专业的发展,木马程序对用户的恐吓越来越大,尤其是一些木马程序使用了极其刁滑的策略来掩蔽自己,使普通用户很难在中毒后发觉。 木马程序专业发展可以说非常赶快。主要是有些青年人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经验了六代的改进: 第一代,是最原始的木马程序。主要是简朴的密码盗取,通过电子邮件发送信息等,具备了木马最根本的性能。 第二代,在专业上有了很大的上进,冰河是中国木马的代表典型之一。 第三代,主要改进在数据传递专业方面,显露了ICMP等类型的木马,应用畸形报文传递数据,增加了杀毒软件查杀辨别的难度。 第四代, 在进程隐藏方面有了很大修改,使用了内核插入式的嵌入方式,应用远程插入线程专业,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windos NT2000下,都到达了良好的隐藏功效。灰鸽子和蜜蜂大盗是对照出名的DLL木马。 第五代,驱动级木马。驱动级木马多数都采用了大批的Rootkit专业来到达在深度隐藏的功效,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。 第六代,跟着地位认证UsbKey和杀毒软件主动防备的兴起,黏虫专业类型和不同凡响反显专业类型木马逐渐开端系统化。前者主要以窃取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的典型。 特洛伊木马目前一般可懂得为“为进行非法目标的计算机病毒”,在电脑中潜伏,以到达黑客目标。 原指一希腊传说。在古希腊传说中,希腊联军围困特洛伊久攻不下,于是伪装撤退,留下一具庞大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊失守。后人常用“特洛伊木马”这一典故,用来比方在敌方营垒里埋下伏兵里应外合的活动。现在有的病毒假装成一个适用工具、一个可爱的游戏、一个位图文件、甚至系统文件等等,这会诱采用户将其打开等操纵直到PC或者服务器上。这样的病毒也被称为“特洛伊木马”(trojan ooden-horse),简称“木马”。 木马程序专业发展可以说非常赶快。主要是有些青年人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经验了6代的改进: 这种病毒通过假装成一个正当性程序欺骗用户受骗。世界上第一个计算机木马是显露在1986年的PC-Write木马。它假装成共享软件PC-Write的272版本(事实上,编写PC-Write的Quicksoft公司从未发行过272版本),一旦用户信认为真运行该木马程序,那么他的下场就是硬盘被形式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保留你的,和密码,一面提示你密码过错让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不具备传染特性。 继PC-Write之后,1989年显露了AS木马。因为当时很少有人采用电子邮件,所以AS的作者就应用现实生涯中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是由于软盘中涵盖有AS和HIV疾病的药品,价钱,预防举措等相关信息。软盘中的木马程序在运行后,固然不会损坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了流传特性(尽管通过传统的邮递方式)。 跟着Internet的普及,这一代木马兼备假装和流传两种特性并交融TCPIP网络专业四处泛滥。同时他还有新的特性: 第一,添加了后门性能。 所谓后门就是一种可认为计算机系统保密开启拜访进口的程序。一旦被安装,这些程序就能够使攻击者绕过安全程序进入系统。该性能的目标就是收集系统中的重要信息,例如,财务报告、口令及信用卡号。此外,攻击者还可以应用后门管理系统,使之成为攻击其它计算机的帮凶。因为后门是隐藏在系统背后运行的,因此很难被检测到。它们不像病毒和蠕虫那样通过耗损内存而引起留心。 第二,添加了击键纪实性能。 从名称上就可以知道,该性能主要是纪实用户所有的击键内容然后形成击键纪实的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马对照驰名的有国外的BO2000(BackOrifice)和内地的冰河木马。它们有如下共同特色:基于网络的客户端服务器利用程序。具有搜集信息、执行系统号召、重新设置机器、重新定向等性能。 当木马程序攻击到手后,计算机就彻底在黑客管理的傀儡主机,黑客成了超级用户,用户的所有计算机操纵不但没有任何保密而言,而且黑客可以远程管理傀儡主机对别的主机发动攻击,这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。 固然木马程序策略越来越掩蔽,但是苍蝇不叮无缝的蛋,只要增强个人安全防止意识,还是可以大大降低中招的几率。对此笔者有如下建议:安装个人防病毒软件、个人防火墙软件;及时安装系统补丁;对不明来历的电子邮件和插件不予理睬;常常去安全网站转一转,以便及时了解一些新木马的背景,做到闺蜜知彼,百战不殆; 第一代,是最原始的木马程序。主要是简朴的密码盗取,通过电子邮件发送信息等,具备了木马最根本的性能。 第二代,在专业上有了很大的上进,冰河是中国木马的代表典型之一。 第三代,主要改进在数据传递专业方面,显露了ICMP等类型的木马,应用畸形报文传递数据,增加了杀毒软件查杀辨别的难度。 第四代,在进程隐藏方面有了很大修改,使用了内核插入式的嵌入方式,应用远程插入线程专业,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在WindosNT2000下,都到达了良好的隐藏功效。灰鸽子和蜜蜂大盗是对照出名的DLL木马。 第五代,驱动级木马。驱动级木马多数都采用了大批的Rootkit专业来到达在深度隐藏的功效,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。 第六代,跟着地位认证UsbKey和杀毒软件主动防备的兴起,黏虫专业类型和不同凡响反显专业类型木马逐渐开端系统化。前者主要以窃取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的典型。 木马种类 1、损坏型 唯一的性能就是损坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE等重要文件。 2、密码发送型 可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的格式寄存在计算机中,以为这样便捷;还有人喜欢用WINDOWS提供的密码记忆性能,这样就可以不必每次都输入密码了。很多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,纪实操纵者的键盘操纵,从中寻找有用的密码。 在这里叮嘱一下,不要以为自己在文档中加了密码而把重要的秘密文件存在公用计算机中,那你就大错特错了。别有专注的人彻底可以用穷举法暴力破译你的密码。应用WINDOWS API函数EnumWindos和EnumChildWindos对当前运行的所有程序的所有窗口(包括控件)进行遍历,通过窗口题目查找密码输入和出确定重新输入窗口,通过按钮题目查找我们应该单击的按钮,通过ES_PASSWORD查找我们需要键入的密码窗口。 向密码输入窗口发送WM_SETTEXT动静模仿输入密码,向按钮窗口发送WM_COMMAND动静模仿单击。在破解过程中,把密码保留在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。此类程序在黑客网站上唾手可得,精通程序设计的人,彻底可以自编一个。 最后,假如真的想将账号密码储存在计算机里,可以先将数据写在TXT文件里,再将后缀名改成17864(随意输入),这可以最大限度地防范黑客的入侵。需要用的时候再改过来。 3、远程拜访型 最广泛的是特洛伊木马,只需有人运行了服务端程序,假如客户知道了服务端的IP地址,就可以实现远程管理。以下的程序可以实现观测受害者正在干什么,当然这个程序彻底可以用在正道上的,比如监督学生机的操纵。 程序中用的UDP(User Datagram Protocol,用户报文协议)是因特网上广泛使用的通讯协议之一。与TCP协议差异,它是一种非连接的传输协议,没有确定机制,可靠性不如TCP,但它的效率却比TCP高,用于远程屏幕监督还是对照合适的。它不分辨服务器端和客户端,只分辨发送端和收取端,编程上较为简朴,故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。 ⒋键盘纪实木马 这种特洛伊木马是非常简朴的。它们只做一件事情,就是纪实受害者的键盘敲击并且在LOG文件里查找密码。据笔者经历,这种特洛伊木马跟着Windos的启动而启动。它们有在线和离线纪实这样的选项,顾名思义,它们差别纪实你在线和离线状态下敲击键盘时的按键场合。也就是说你按过什么按键,下木马的人都知道,从这些按键中他很容易就会得到你的密码等有用信息,甚至是你的信用卡账号哦!当然,对于这种类型的木马,邮件发送性能也是必不可少的。 ⒌Dos攻击木马 跟着DoS攻击越来越广泛的利用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你管理的肉鸡数目越多,你发动DoS攻击赢得胜利的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以应用它来攻击一台又一台计算机,给网络造成很大的侵害和带来亏本。 还有一种相似DoS的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能承受邮件为止。 ⒍代理木马 黑客在入侵的同时掩盖自己的足迹,严防别人发明自己的地位是非常重要的,因此,给被管理的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的工作。通过代理木马,攻击者可以在匿名的场合下采用Telnet,ICQ,IRC等程序,从而掩蔽自己的踪迹。 ⒎FTP木马 这种木马可能是最简朴和古老的木马了,它的唯一性能就是打开21端口,等待用户连接。新FTP木马还加上了密码性能,这样,只有攻击者本人才知道正确的密码,从而进入对方计算机。 ⒏程序杀手木马 上面的木马性能固然形形色色,不过到了对方机器上要施展自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的性能就是关闭对方机器上运行的这类程序,让其他的木马更好地施展作用。 ⒐反弹端口型木马 木马是木马开发者在解析了防火墙的特征后发明:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防止。于是,与一般的木马相反,反弹端口型木马的服务端(被管理端)采用主动端口,客户端(管理端)采用被动端口。木马定时监测管理端的存在,发明管理端上线当即弹出端口主动连结管理端打开的主动端口;为了掩蔽起见,管理端的被动端口一般开在80,即采用户采用扫描软件查验自己的端口,发明相似TCP UserIP1026 ControllerIP80ESTABLISHED的场合,稍微忽略一点,你就会认为是自己在阅读网页。 当前最为常见的木马通常是基于TCPUDP协议进行client端与server端之间的通信的,既然应用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河采用的监听端口是7626,Back Orifice 2000则是采用54320等等。那么,我们可以应用察看本机开放端口的想法来查验自己是否被种了木马或其它黑客程序。以下是详细想法介绍。 1. Windos本身自带的netstat号召 关于netstat号召,我们先来看看indos辅助文件中的介绍: Netstat 显示协议统计和当前的 TCPIP 网络连接。该号召只有在安装了 TCPIP 协议后才可以采用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与 -s 选项交融采用。 -n 以数字形式显示地址和端口号(而不是尝试查找名称)。 -s 显示每个协议的统计。默认场合下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol 显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。假如与 -s 选项一同采用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。 -r 显示路由表的内容。 interval 重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。假如省略该参数,netstat 将打印一次当前的配置信息。 好了,看完这些辅助文件,我们应该明白netstat号召的采用想法了。就让我们现学现用,用这个号召看一下自己的机器开放的端口。进入到号召行下,采用netstat号召的a和n两个参数: Cnetstat -an Active Connections Proto Local Address Foreign Address State TCP 000080 00000 LISTENING TCP 000021 00000 LISTENING TCP 00007626 00000 LISTENING UDP 0000445 00000 UDP 00001046 00000 UDP 00001047 00000 辩白一下,Active Connections是指当前本机活动连接,Proto是指连接采用的协议名称,Local Address是本地计算机的 IP 地址和连接正在采用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的场合极有可能是已经感染了冰河!匆忙断开网络,用杀毒软件查杀病毒是正确的做法。 2.任务在indos2000下的号召行工具fport 采用indos2000的朋友要比采用indos9X的荣幸一些,由于可以采用fport这个程序来显示本机开放端口与进程的对应关系。 Fport是FoundStone出品的一个用来列出系统中所有打开的TCPIP和UDP端口,以及它们对应利用程序的完整路径、P标识、进程名称等信息的软件。在号召行下采用,请看范例: Dfportexe FPort v133 - TCPIP Process to Port Mapper Copyright 2000 by Foundstone,Inc P Process Port Proto Path 748 tcpsvcs - 7TCP CWINNTSystem32tcpsvcsexe 748 tcpsvcs - 9TCP CWINNTSystem32cpsvcsexe 748 tcpsvcs - 19TCP CWINNTSystem32cpsvcsexe 416 svchost - 135 TCP CWINNTsystem32svchostexe 是不是一目了然了。这下,各个端口到底是什么程序打开的就都在你眼皮底下了。假如发明有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只刁滑的木马! Fport的最新版本是20。在许多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下: ⒊与Fport性能相似的图形化界面工具Active Ports Active Ports为SmartLine出品,你可以用来监督电脑所有打开的TCPIPUDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。 更棒的是,它还提供了一个关闭端口的性能,在你用它发明木马开放的端口时,可以当即将端口关闭。这个软件任务在Windos NT2000XP平台下。你可以在得到它。 其实采用indos xp的用户无须借助其它软件即可以得到端口与进程的对应关系,由于indos xp所带的netstat号召比以前的版本多了一个O参数,采用这个参数就可以得出端口与进程的对应来。 上面介绍了几种察看本机开放端口,以及端口和进程对应关系的想法,通过这些想法可以轻松的发明基于TCPUDP协议的木马,但愿能给你的爱机带来辅助。但是对木马重在防止,而且假如碰上反弹端口木马,应用驱动程序及动态链接库专业制作的新木马时,以上这些想法就很难查出木马的痕迹了。 所以我们一定要养成良好的上网习惯,不要随便运行邮件中的附件,安装一套杀毒软件,像内地的瑞星就是个查杀病毒和木马的好帮手。从网高下载的软件先用杀毒软件查验一遍再采用,在上网时打开网络防火墙和病毒实时监控,保卫自己的机器不被可恨的木马入侵。 灰鸽子木马 灰鸽子[1] 是内地一个着名的后门程序。在Windos目录下,灰鸽子变种木马运行后,会自我仿制,并自行将安装程序删除。 灰鸽子[1] 是内地一个着名的后门程序。灰鸽子变种木马运行后,会自我仿制到Windos目录下,并自行将安装程序删除。改动注册表,将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防范被杀毒软件查杀。自动开启IE阅读器,以便与外界进行通讯,侦听黑客指令,在用户不知情的场合下连接黑客指定站点,窃取用户信息、下载其它特定程序。 冰河木马 冰河木马开发于1999年,跟灰鸽子相似,在设计之初,开发者的本意是编写一个性能强盛的远程管理软件。但一经推出,就依赖其强盛的性能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的情势,跟后来的灰鸽子等等成为国产木马的标记和代名词。HK联合Mask曾应用它入侵过数千台电脑,其中包括国外电脑。 蜜蜂大盗 “蜜蜂大盗”有强盛的信息盗取、远程监控性能。病毒具有盗取几乎所有的密码,自动打开染毒者的摄像头,进行远程监控、远程摄像、遥控、遥控系统设置并中止防火墙等多种危害。该病毒自身为合成文件,运行木马程序后,进程优先级较高不能正常手工清理,免杀任何一款杀毒软件,很难清理。
特洛伊木马
第一代木马:假装型病毒
第二代木马:AS型木马
第三代木马:网络流传型木马
木马判断想法