什么是木马

特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。

“特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名，有“一经潜入，后患无穷”之意。

完整的木马程序一般由两个部分组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

详解木马原理

介绍特洛伊木马程序的原理、特征以及中了木马后系统出现的情况……

QUOTE:

特洛伊木马是如何启动的

作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机 *** 作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorerexe)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种:

1在Winini中启动

在Winini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:\windows\fileexe

load=c:\windows\fileexe

要小心了，这个fileexe很可能是木马哦。

2在Systemini中启动

Systemini位于Windows的安装目录下，其[boot]字段的shell=Explorerexe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorerexefileexe。注意这里的fileexe就是木马服务端程序!

另外，在System中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在Systemini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

3利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。

4在Autoexecbat和Configsys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexecbat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5在Winstartbat中启动

Winstartbat是一个特殊性丝毫不亚于Autoexecbat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Wincom并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexecbat的功能可以由Witartbat代替完成，因此木马完全可以像在Autoexecbat中那样被加载运行，危险由此而来。

6启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

7INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winintini中(用于安装较多)。

8修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为NotepadEXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的 "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPADEXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPADEXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLREXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIPCOM等都是木马的目标，要小心搂。

对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。

9捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

10反d端口型木马的主动连接方式

反d端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。

QUOTE:

木马的隐藏方式

1在任务栏里隐藏

这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

2在任务管理器里隐藏

查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 "系统服务“就可以轻松地骗过去。

因此，希望通过按Ctrl+Alt+Del发现木马是不大现实的。

3端口

一台机器有65536个端口，你会注意这么多端口么而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势;当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么

4隐藏通讯

隐藏通讯也是木马经常采用的手段之一。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80>

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程 *** 控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

木马的原理

一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

特洛伊木马程序不能自动 *** 作， 一个特洛伊木马程序是包含或者安装一个存心不良的程序的， 它可能看起来是有用或者有趣的计划（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马有两种，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的 *** 作。

木马的特征

特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的，运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行，或立刻自动变更文件名，甚至隐形，或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。

计算机木马介绍

一、木马的来历

计算机木马是一种后门程序，常被黑客用作控制远程计算机的工具。英文单词“Trojan”，直译为“特洛伊”。木马这个词来源于一个古老的故事：相传古希腊战争，在攻打特洛伊时，久攻不下。后来希腊人使用了一个计策，用木头造一些大的木马，空肚子里藏了很多装备精良的勇士，然后佯装又一次攻打失败，逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜，木马肚子里的勇士们都悄悄的溜出来，和外面早就准备好的战士们来了个漂亮的里应外合，一举拿下了特洛伊城。这就是木马的来历。从这个故事，大家很容易联想到计算机木马的功能。

二、计算机木马原理

计算机木马一般由两部分组成，服务端和控制端，也就是常用的C/S（CONTROL/SERVE）模式。

服务端（S端）：远程计算机机运行。一旦执行成功就可以被控制或者造成其他的破坏，这就要看种木马的人怎么想和木马本身的功能，这些控制功能，主要采用调用Windows的API实现，在早期的dos *** 作系统，则依靠DOS终端和系统功能调用来实现（INT 21H），服务段设置哪些控制，视编程者的需要，各不相同。

控制端（C端）也叫客户端，客户端程序主要是配套服务段端程序的功能，通过网络向服务段发布控制指令，控制段运行在本地计算机。

三、传播途径

木马的传播途径很多，常见的有如下几类：

1 通过电子邮件的附件传播。这是最常见，也是最有效的一种方式，大部分病毒（特别是蠕虫病毒）都用此方式传播。首先，木马传播者对木马进行伪装，方法很多，如变形、压缩、脱壳、捆绑、取双后缀名等，使其具有很大的迷惑性。一般的做法是先在本地机器将木马伪装，再使用杀毒程序将伪装后的木马查杀测试，如果不能被查到就说明伪装成功。然后利用一些捆绑软件把伪装后的木马藏到一幅内或者其他可运行脚本语言的文件内，发送出去。

2 通过下载文件传播。从网上下载的文件，即使大的门户网站也不能保证任何时候他的问件都安全，一些个人主页、小网站等就更不用说了。下载文件传播方式一般有两种，一种是直接把下载链接指向木马程序，也就是说你下载的并不是你需要的文件。另一种是采用捆绑方式，将木马捆绑到你需要下载的文件中。

3 通过网页传播。大家都知道很多VBS脚本病毒就是通过网页传播的，木马也不例外。网页内如果包含了某些恶意代码，使得IE自动下载并执行某一木马程序。这样你在不知不觉中就被人种上了木马。顺便说一句，很多人在访问网页后IE设置被修改甚至被锁定，也是网页上用脚本语言编写的的恶意代码作怪。

4 通过聊天工具传播。目前，QQ、ICQ、MSN、EPH等网络聊天工具盛行，而这些工具都具备文件传输功能，不怀好意者很容易利用对方的信任传播木马和病毒文件。

四、一些特殊类型的木马

1反d端口木马：普通木马的都是由C端发送请求S端来连接，但有些另类的木马就不是这样，它由S端向C端发送请求。这样做有什么好处呢？大家知道，网络防火墙都有监控网络的作用，但它们大多都只监控由外面近来的数据，对由里向外数据的却不闻不问。反d端口木马正好利用了这一点来躲开网络防火墙的阻挡，以使自己顺利完成任务。大名鼎鼎的“网络神偷”就是这样一类木马。它由S断向C端发送一个连接请求，C端的数据在经过防火墙时，防火墙会以为是发出去的正常数据（一般向外发送的数据，防火墙都以为是正常的）的返回信息，于是不予拦截，这就给它了可钻的空子。

2无进程木马：“进程”是一个比较抽象的概念，可以理解为排队买**票，每一个窗口（其实就是端口）排的人可以理解为一个进程，有多少窗口就有多少个进程。普通木马在运行时都有自己独立的进程（某一特定窗口排的人，先当作小偷），利用“柳叶擦眼”一类的优秀进程查看软件就可以发现和终止它。这岂不是太扫兴了？好不容易写出个木马就这么被你发现了。为了更好的隐藏自己，木马的制作者就想了一些办法，把木马的程隐藏进正常的进程（宿主进程）内。打个比方，正常的进程（系统和正当文件的进程）可以理解为正常排队买票的人。而木马的进程（排队假装买票的小偷），他们如果都排在某一个窗口（通过某一特定端口进行通讯），很容易就被发现了，于是那些小偷就想办法混到正常排队人当中（实现了木马进程的隐藏），这样就不容易被发现，而且也不容易被终止。在实际中，即使你发现了隐藏在某一正常进程中的木马进程，你也不敢轻易终止它，因为一旦终止了木马的进程，正常的宿主进程也就被终止，这可能导致一些严重的后果。所以可以看出，无进程木马实际上是“隐藏进程木马”，而这也是它的高明之处。在实际中不可能出现真正意义上的“无进程木马”。最近出现的“广外男生”就是典型的例子。

3无控制端木马： 这类木马最显著的特点是C端和S端是集成到一起的，一次配置好就不能再更改。功能一般比较专一，针对性强，危害较小，查杀较简单。经常用来偷取QQ、Email和网络游戏的密码等。

4嵌套型木马：先用自己写的小程序或者利用系统的漏洞，夺取到某写特定的权限，比如上传文件，干掉网络防火墙和病毒防火墙等，然后上传修改过或没修改过的功能强大的木马，进一步夺取控制权。于是这个小程序或者系统漏洞就和那个功能强大的真正的木马联合起来，组成了一款“嵌套型木马”，其特点是不容发现和查杀，“具有良好的发展前景”。

5其他木马：严格意义上讲，这里所说的其他木马并不是真正的木马，它们只能算做是木马入侵时的辅助工具吧。典型的有恶意网页代码，让你浏览后不知不觉就被完全共享了所有的硬盘，然后方便别人给你种下木马，为进一步入侵做好准备。

五、关于捆绑

木马捆绑，通俗地讲就是把木马的代码嵌入其他类型的文件，便于伪装，比如，大名鼎鼎的国产木马“冰河”，他就自带一个捆绑工具，可以把木马代码嵌入到网页文件、文件、可执行文件等多种支持脚本语言或运行代码的文件中。当接受方收到这些文件时，几乎感觉不到有任何异样，但在后台，木马代码却悄然进入内存并运行。

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程 *** 控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！ 木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分 *** 作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程 *** 控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

随着微软的 *** 作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X *** 作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

要弄清楚什么是动态嵌入式DLL木马，我们必须要先了解Windows系统的另一种“可执行文件”——DLL，DLL是Dynamic Link Library(动态链接库)的缩写，DLL文件是Windows的基础，因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，DLL文件一般都是由进程加载并调用的。

因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorerexe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir exe>exebackuptxt & dir dll>dllbackuptxt回车。

这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackuptxt和dllbackuptxt里面了。日后如发现系统异常而用传统的方法又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1txt和dllbackup1txt中，然后运行 CMD—fc exebackuptxt exebackup1txt>differenttxt & fc dllbackuptxt dllbackup1txt>differenttxt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 differenttxt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

没有是最好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。

最后，防治木马的危害，专家建议大家应采取以下措施:

第一，安装反病毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，使用安全性比较好的浏览器和电子邮件客户端工具。

第四， *** 作系统的补丁要经常进行更新。

第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

相信大家只要做好安全防护工作，防治木马并不是那么可怕的。

以上就是关于什么是木马全部的内容，包括:什么是木马、电脑木马程序 是什么、什麼是特洛伊木马最先是谁编写出来的，有多大的危害等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！