7、计算机的木马.doc

计算机木马 ?? ??木马入侵过程 木马,全称特洛伊木马（Trojan horse），这个词语来源于古希腊神话，在计算机领域是一种客户/服务器程序（c/s）或邮件客户端程序（如阿里巴巴QQ大盗），是黑客最常用的基于远程控制的工具。目前，比较有名的国产木马有：“熊猫烧香（武汉男孩）”“冰河”、“广外女生”、“黑洞”、“黑冰”等；国外有名的木马则有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木马对计算机系统和网络安全危害相当大，因此，如何防范特洛伊木马入侵成为了计算机网络安全的重要内容之一。 来历 计算机木马（又名间谍程序）是一种后门程序，常被黑客用作控制远程计算机的工具。英文单词“Troj”，直译为“特洛伊”。木马这个词来源于一个古老的故事：相传古希腊战争，在攻打特洛伊时，久攻不下。后来希腊人使用了一个计策，用木头造一些大的木马，空肚子里藏了很多装备精良的勇士，然后佯装又一次攻打失败，逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜，木马肚子里的勇士们都悄悄的溜出来，和外面早就准备好的战士们来了个漂亮的里应外合，一举拿下了特洛伊城。这就是木马的来历。从这个故事，大家很容易联想到计算机木马的功能。 解析木马 正像历史上的“特洛伊木马”一样，被称作“木马”的程序也是一种掩藏在美丽外表下打入我们电脑内部的东西。确切地说，“木马”是一种经过伪装的欺骗性程序，它通过将自身伪装吸引用户下载执行，从而破坏或窃取使用者的重要文件和资料。 木马程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它的主要作用是向施种木马者打开被种者电脑的门户，使对方可以任意毁坏、窃取你的文件，甚至远程操控你的电脑。木马与计算机网络中常常要用到的远程控制软件是有区别的。虽然二者在主要功能上都可以实现远程控制，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性。木马则完全相反，木马要达到的正是“偷窃”性的远程控制，因此如果没有很强的隐蔽性的话，那么木马简直就是“毫无价值”的。因此判别木马与远程控制的两个重要标准是其使用目的和隐蔽性。 原理 计算机木马一般由两部分组成，服务端和控制端，也就是常用的C/S（CONTROL/SERVE）模式。 服务端（S端Server）：远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏，这就要看种木马的人怎么想和木马本身的功能，这些控制功能，主要采用调用Windows的API实现，在早期的dos操作系统，则依靠DOS终端和系统功能调用来实现（INT 21H），服务段设置哪些控制，视编程者的需要，各不相同。 控制端（C端Client）也叫客户端，客户端程序主要是配套服务段端程序的功能，通过网络向服务端发布控制指令，控制段运行在本地计算机。 传播途径 木马的传播途径很多，常见的有如下几类： 通过电子邮件的附件传播 这是最常见，也是最有效的一种方式，大部分病毒（特别是蠕虫病毒）都用此方式传播。首先，木马传播者对木马进行伪装，方法很多，如变形、压缩、加壳、捆绑、取双后缀名等，使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装，再使用杀毒程序将伪装后的木马查杀测试，如果不能被查到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅图片内或者其他可运行脚本语言的文件内，发送出去。 通过下载文件传播 从网上下载的文件，即使大的门户网站也不能保证任何时候他的问件都安全，一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种，一种是直接把下载链接指向木马程序，也就是说你下载的并不是你需要的文件。另一种是采用捆绑方式，将木马捆绑到你需要下载的文件中。 通过网页传播 大家都知道很多VBS脚本病毒（著名的vbs病毒是暴风一号）就是通过网页传播的，木马也不例外。网页内如果包含了某些恶意代码，使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。顺便说一句，很多人在访问网页后IE设置被修改甚至被锁定，也是网页上用脚本语言编写的的恶意代码作怪。 通过聊天工具传播 目前，QQ、ICQ、MSN、等网络聊天工具盛行，而这些工具都具备文件传输功能，不怀好意者很容易利用对方的信任传播木马和病毒文件。 特殊类型 反弹端口木马 普通木马的都是由C端发送请求S端来连接，但有些另类的木马就不是这样，它由S端向C端发送请求。这样做有什么好处呢？大家知道，网络防火墙都有监控网络的作用，但它们大多都只监控由外面近来的数据，对由里向外数据的却不闻不问。反弹端口木马正好利用了这一点来躲开网络防火墙的阻挡，以使自己顺利完成任务。大名鼎鼎的“网络神偷”、“灰鸽子”就是这样一类木马。它由S端向C端发送一个连接请求，C端的数据在经过防火墙时，防