分析一个木马的步骤

近年来,随着计算机网络发展,网络安全问题日益显得尤其重要.黑客的入侵对网络安全造成了极大威胁.入侵的主要手段之一,就是使用木马技术,其破坏力之大,是绝不容忽视的.黑客是如何制造这种具有破坏力的木马程序,以及如何防范木马程序的入侵?这是本文着重要讨论的问题.本文首先从木马程序的隐藏技术、自动加载技术和通讯技术3个方面进行详细的技术分析研究,总结出木马程序的一般设计原理其次,给出了防范木马程序入侵的一般方法.1 木马程序的隐藏技术为了避免被发现,木马程序的服务器端,多数都要进行隐藏处理.早期的木马程序所采用的隐藏技术是比较简单的,早期最简单的隐藏方法是在任务栏目里隐藏程序.到后来发展到当按下Ctrl+Alt+Delete的时候,也就看不到这个程序.现在的木马在进程隐藏方面,已做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程,或者挂接PSAPI,实现木马程序的隐藏,甚至在WindowsNT/2000下,都能达到良好的隐藏效果.1.1 在任务栏中隐形这是最基本的隐藏要求,其实现技术同样也是非常的简单.在VB中,只要把form的Visible属性设为False,将ShowInTaskBar设为False,程序就不会出现在任务栏中了.1.2 在win9x的任务管理器中隐形这只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失,因为系统不认为该程序是一个进程,当按下Ctrl+Alt+Delete的时候,也就看不到这个程序.但是,这种方法只适用于Windows9x的系统,对于WindowsNT,Windows2000等,通过服务管理器,还是可以发现在系统中注册过的服务.将程序设为/系统服务0就可以隐藏.在VB中如下的代码可以实现这一功能:1 声明部分 PublicDeclareFunctionRegister2ServiceProcessLib/kernel320(ByValProcessIDAsLong,ByValServiceFlagsAsLong)AsLongPublicDeclareFunctionGetCurrentProcessIdLib/kernel320Alias/GetCurrentProcessId0()AsLong

2 函数部分 PrivateSubFormLoad()RegisterServiceProcessGetCurrentProcessId,1(注册系统服务)EndSubPrivateSubFormUnload()RegisterServiceProcessGetCurrentProcessId,0(取消系统服务)EndSub1.3 在winNT/win2000中的任务管理器中隐形在winNT/win2000中实现进程隐藏的方法有两种:一是采用API的拦截技术二是采用DLL技术.1 API的拦截技术 在WINDOWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,即均会生成一个独立的进程.在Windows中有多种方法能够看到进程的存在:PSAPI(ProcessStatusAPI),PDH(PerformanceDataHelper)和ToolHelpAPI.如果能够采用API的拦截技术,通过建立一个后台的系统钩子,拦截PSAPI的EnumProcessModules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,那样就实现了进程的隐藏.如果这个进程是一个木马的服务器部分程序,则显然就是现在win9x/win2000的任务管理器中隐藏的程序.2 采用DLL技术 DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的.DLL文件没有程序逻辑,是由多个功能函数构成的,它并不能独立运行,一般都是由进程加载并调用的.因为DLL文件不能独立运行,所以,在进程列表中并不会出现.如果是一个木马DLL,并且通过别的进程来运行它,那么无论是在入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马DLL.运行DLL文件最简单的方法是利用Rundll32.exe进行,但是很容易被识破.比较高级的方法是使用木马DLL替换常用的DLL文件,通过函数转发器将正常的调用转发给原DLL,截获并处理特定的消息.DLL木马的最佳隐藏方法是动态嵌入技术,动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术.与一般的木马不同,该技术基本上摆脱了原有的木马模式监听端口,而是采用替代系统功能的方法,即改写驱动程序或动态链接库.这样做的结果是:由于没有增加新的文件,因此不能用扫描的方法查杀不需要打开新的端口,所以不能用端口监视的方法查杀没有新的进程,所以使用进程查看的方法发现不了它,也就不能用kill进程的方法终止其运行.在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作.1.4 利用端口实现隐形一般来说,一个端口都应对着一种特定的服务.如果某一主机的某一端口处于开放状态,那就意味着这一主机将对互联网上的用户提供该服务,并且该服务程序已在这台主机上运行.反过来,如果某一主机上并未启动某端口服务,而该端口却莫明其妙处于开放状态,那么这一计算机就很可能已被入侵者投放了/木马0.一台机器由65536个端口,通常情况下木马端口一般都在1000个以上,而且呈越来越大的趋势.这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样,木马就会很容易暴露而由于端口扫描是需要时间的,即使是一个速度较快的端口扫描器,在远程也需要大约20min才能扫完所有的端口,因此,使用诸如54321的端口很难发现它.冰河及很多比较新的木马都具有端口修改功能,因而木马大多都能在任何端口出现.现在有很多流行的端口扫描程序,比如portscan程序就很不错,在网上可免费下载.2 程序的自加载运行技术让程序自运行的方法比较多,使用者当然不会指望在每次启动后点击木马图标来运行服务端,其实这是启动木马程序的最原始的方法.木马要做的第二件重要的事情就是如何在每次用户启动时自动装载服务端.目前木马程序最常见的启动方法为:加载程序到启动组,写程序启动路径到注册表的HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersions\Run.当然还有很多其他的方法,比如可以修改Boot.ini,或者通过注册表里的输入法键值直接挂接启动,以及通过修改Explorer.exe启动参数等,真可谓防不胜防

木马，也称特洛伊木马，英文名称为Trojan Horse，是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城，久久不能得手。有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，及得到 “木马”这个奇异的战利品，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开密门游绳而下，开启城门四处纵火，城外伏兵涌入，焚屠特洛伊城。后世称这只木马为 “特洛伊木马”，现今计算机术语借用其名，意思是 “一经进入，后患无穷”。特洛伊木马原则上和一些远程控制程序如PCanywhere等一样，只是一种远程管理工具，而且本身不带伤害性，也没有感染力；但却常常被人们视之为病毒，原因是如果有人不当地使用，破坏力可以比病毒更强。

由于很多新手对安全问题了解不多，再加上木马程序具有隐蔽性强的特点，不借助专门的监控软件，很不容易发现特洛伊木马的存在和黑客的入侵。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的 “木马”程序，因此最关键的是要知道“木马”的工作原理，这样就会很容易发现 “木马”，并且知道怎么清除自己计算机中的 “木马”了。

木马攻击原理

木马攻击是黑客最常用的攻击方法，因此，在本章中我们将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统 *** 作、进行文件 *** 作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像 *** 作自己的计算机一样控制这台计算机，远程监控这台计算机上的所有 *** 作。

在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是攻击技术却不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱，而且随着国产木马的不断出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门，以便将来随时方便进出这台服务器。

提示

黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒，具有很大的危害性。

1、木马的分类

常见的木马主要可以分为以下9大类：

（1）破坏型

这种木马唯一的功能就是破坏并且删除文件，它们非常简单，很容易使用。能自动删除目标机上的DLL、INI、

EXE文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。不过，一般黑客不会做这种无意义的纯粹

破坏的事，除非你和他有仇。

（2）密码发送型

这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。有人

喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用Windows提供的密码记

忆功能，这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码，它们大多数会

在每次启动Windows时重新运行，而且多使用25号端口上送E-mail。如果目标机有隐藏密码，这些木马是非

常危险的。

（3）远程访问型

这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户

端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。

当然，这种远程控制也可以用在正道上，比如教师监控学生在机器上的所有 *** 作。

远程访问型木马会在目标机上打开一个端口，而且有些木马还可以改变端口、设置连接密码等，为的是只

有黑客自己来控制这个木马。

改变端口的选项非常重要，因为一些常见木马的监听端口已经为大家熟知，改变了端口，才会有更大

的隐蔽性。

（4）键盘记录木马

这种特洛伊木马非常简单。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码，并且随

着Windows的启动而启动。它们有在线和离线记录这样的选项，可以分别记录你在线和离线状态下敲击键盘时的按键

情况，也就是说你按过什么按键，黑客从记录中都可以知道，并且很容易从中得到你的密码等有用信息，甚至是你

的xyk账号哦!当然，对于这种类型的木马，很多都具有邮件发送功能，会自动将密码发送到黑客指定的邮箱。

（5）DoS攻击木马

随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后，给

他种上DoS攻击木马，那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多，发

动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在黑客利用

它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸d木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对

特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

（6）FTP木马

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马

还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

（7）反d端口型木马

木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于

连出的链接却疏于防范。与一般的木马相反，反d端口型木马的服务端 （被控制端）使用主动端口，客户端 （控

制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即d出端口主动连结控制端打开的被动

端口；为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口时，发现类似TCP

UserIP:1026 Controller IP:80 ESTABLISHED的情况，稍微疏忽一点，就会以为是自己在浏览网页，因为浏

览网页都会打开80端口的。

（8）代理木马

黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上

代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的

情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。

（9）程序杀手木马

上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常

见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程

序，让其他的木马更好地发挥作用。

提示

（8）、（9）两种类型的木马实际上是其它类型的木马可能具有的功能，如很多远程访问型木马都可以使

用代理服务器的方式连接肉机，而且连上肉机上首先检查对方不是开启了防火墙，如果有，则杀掉其进程，

这样更有利于黑客隐藏身份，从而实现远程控制的目的。

2、木马是如何侵入系统的

我们知道：一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控

制植入木马的计算机，服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统，所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

提示

注意木马的客户端和服务器端的称谓，被置了木马的机器称为服务器端，而黑客控制的一端称为客户端。

目前木马入侵的主要途径是通过一定的方法把木马执行文件植入被攻击者的电脑系统里，如通过邮件发送、文件下载、网页浏览等，然后通过一定的提示误导被攻击者打开执行文件，比如谎称该木马执行文件是朋友的贺卡文件，用户在毫无防备的情况下打开这个文件后，确实有贺卡的画面出现，但这时木马可能已经在后台悄悄运行了。

那为什么用户一般都不会发现自己的主机运行了木马程序呢？

这主要是因为木马的执行文件一般都非常小，最大不过几十K。因此，如果把木马捆绑到其他正常文件上是很难发现的。有一些网站提供的软件下载往往是捆绑了木马文件的，在执行这些下载的文件时，也同时运行了木马。

木马在被植入主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，攻击者有这些信息才能够与木马里应外合控制攻击主机。

由于任何木马都有一个服务端程序，要对一台目标机进行远程控制都必须将服务端程序送入目标机，并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步，也是很有技巧的一步。

木马的传播方式主要有两种：

① 通过E-mail，由控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马。

这一种方式关键的一点，就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容，促使对方毫无知觉地自动种上木马，被你控制。

② 通过软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装了。

要想对方下载你放在网站上的软件，可以取一些特诱惑人的名称，如某某明星的图片，某某软件的破解版等让人易上当的名称，从而也让别人在不知不觉中种上木马，将端口开放给你，任你使用。

在早期的木马里面，大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击者就不用直接连接攻击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马即是如此。

不过，使用电子邮件的方式对攻击者来说并不是最好的选择，因为如果木马被发现，就可以通过该电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。

除了邮件植入外，木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，由于IE浏览器在执行Script脚本上存在安全漏洞，因此，木马就可以利用这些漏洞很容易植入被攻击的电脑。

此外，木马还可以利用一些系统漏洞植入，如著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序使IIS服务器崩溃，同时在服务器上执行木马程序，从而植入木马。

3、木马是如何实施攻击的

木马可以以任何形式出现，可能是任何由用户或客户引入到系统中的程序。它可能泄漏一些系统的私有信息，或者控制该系统，这样，它实际上就潜伏着很大的危险性。

通常木马采取六个步骤实施攻击：配置木马 （伪装木马）→传播木马 （通过E-mail或者下载）→运行木马 （自动安装、自启动)→信息泄漏 （E-mail、IRC或ICQ的方式把你的信息泄露出去）→建立连接→远程控制。

至此，木马就彻底掌握了主动权，而你，就坐以待毙吧！

这是感染性病毒，感染了几乎所有的exe文件。

处理感染性病毒要特别谨慎，因为很多杀毒软极不是修复文件而是直接删除。

给你个步骤，你按步骤 *** 作，不过做之前建议你先备份一份带病毒的，因为一旦 *** 作失败可以有补救的机会，等修复成功了，再删除那些带毒的不迟。

解决方案

第一步：下载“永久免费”的金山毒霸2011【百度搜索 金山毒霸】 选择官方下载

第二步 安装完以后,打开金山毒霸,点击“全盘查杀”

---