讓你一篇文章就搞清楚木馬全部知識

一、木馬的釋義

木馬，是特洛伊木馬的簡稱，英文叫做「Trojanhorse」，其名稱取自希臘神話的特洛伊木馬記。

古希臘傳說，特洛伊王子帕裡斯訪問希臘，誘走了王后海倫，希臘人因此遠徵特洛伊。圍攻9年後，到第10年，希臘將領奧德修斯獻了一計，就是把一批勇士埋伏在一匹巨大的木馬腹內，放在城外後，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。後來，人們在寫文章時就常用「特洛伊木馬」這一典故，用來比喻在敵方營壘裡埋下伏兵裡應外合的活動盜密報卡解綁過程：

登陸的時候通過木馬盜取玩家的密碼，並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面，在通過木馬把玩家登陸時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數，1次就能騙到密碼保護卡解除綁定需要的三個數了，再解除綁定，玩家的帳號就跟沒密碼保護卡一樣.電話密碼保護也一樣，玩家打了電話，然後登陸的時候通過木馬讓玩家不能連接伺服器並盜取玩家的密碼，然後盜取帳號者就2分內可以上去了盜取玩家財產。

二、木馬的種類

1、破壞型惟一的功能就是破壞並且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件。

2、密碼發送型可以找到隱藏密碼並把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用WINDOWS提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟體可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟體長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。在這裡提醒一下，不要認為自己在文檔中加了密碼而把重要的保密文件存在公用計算機中，那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWSAPI函數EnumWindows和EnumChildWindows對當前運行的所有程序的所有窗口（包括控制項）進行遍歷，通過窗口標題查找密碼輸入和出確認重新輸入窗口，通過按鈕標題查找我們應該單擊的按鈕，通過ES_PASSWORD查找我們需要鍵入的密碼窗口。向密碼輸入窗口發送WM_SETTEXT消息模擬輸入密碼，向按鈕窗口發送WM_COMMAND消息模擬單擊。在破解過程中，把密碼保存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止。此類程序在黑客網站上唾手可得，精通程序設計的人，完全可以自編一個。

3、遠程訪問型最廣泛的是特洛伊馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP位址，就可以實現遠程控制。以下的程序可以實現觀察"受害者"正在幹什麼，當然這個程序完全可以用在正道上的，比如監視學生機的操作。程序中用的UDP（UserDatagramProtocol，用戶報文協議）是網際網路上廣泛採用的通信協議之一。與TCP協議不同，它是一種非連接的傳輸協議，沒有確認機制，可靠性不如TCP，但它的效率卻比TCP高，用於遠程屏幕監視還是比較適合的。它不區分伺服器端和客戶端，只區分發送端和接收端，編程上較為簡單，故選用了UDP協議。本程序中用了DELPHI提供的TNMUDP控制項。

4.鍵盤記錄木馬這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊並且在LOG文件裡查找密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息，甚至是你的信用卡帳號哦!當然，對於這種類型的木馬，郵件發送功能也是必不可少的。

5.DoS攻擊木馬隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一臺機器，給他種上DoS攻擊木馬，那麼日後這臺計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多，你發動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現在被感染計算機上，而是體現在攻擊者可以利用它來攻擊一臺又一臺計算機，給網絡造成很大的傷害和帶來損失。還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發送郵件，一直到對方癱瘓、不能接受郵件為止。

6.代理木馬黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的肉雞種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。

7.FTP木馬這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是打開21埠，等待用戶連接。現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方計算機。

三、木馬的隱藏

1.在任務欄裡隱藏

這是最基本的隱藏方式。如果在windows的任務欄裡出現一個莫名其妙的圖標，傻子都會明白是怎麼回事。要實現在任務欄中隱藏在編程時是很容易實現的。我們以VB為例。在VB中，只要把from的Visible屬性設置為False,ShowInTaskBar設為False程序就不會出現在任務欄裡了。

2.在任務管理器裡隱藏

查看正在運行的進程最簡單的方法就是按下Ctrl+Alt+Del時出現的任務管理器。如果你按下Ctrl+Alt+Del後可以看見一個木馬程序在運行，那麼這肯定不是什麼好木馬。所以，木馬會千方百計地偽裝自己，使自己不出現在任務管理器裡。木馬發現把自己設為"系統服務「就可以輕鬆地騙過去。

因此，希望通過按Ctrl+Alt+Del發現木馬是不大現實的。

3.埠

一臺機器有65536個埠，你會注意這麼多埠麼?而木馬就很注意你的埠。如果你稍微留意一下，不難發現，大多數木馬使用的埠在1024以上，而且呈越來越大的趨勢;當然也有佔用1024以下埠的木馬，但這些埠是常用埠，佔用這些埠可能會造成系統不正常，這樣的話，木馬就會很容易暴露。也許你知道一些木馬佔用的埠，你或許會經常掃描這些埠，但現在的木馬都提供埠修改功能，你有時間掃描65536個埠麼?

4.隱藏通訊

隱藏通訊也是木馬經常採用的手段之一。任何木馬運行後都要和攻擊者進行通訊連接，或者通過即時連接，如攻擊者通過客戶端直接接人被植人木馬的主機;或者通過間接通訊。如通過電子郵件的方式，木馬把侵入主機的敏感信息送給攻擊者。現在大部分木馬一般在佔領主機後會在1024以上不易發現的高埠上駐留;有一些木馬會選擇一些常用的埠，如80、23,有一種非常先進的木馬還可以做到在佔領80HTTP埠後，收到正常的HTTP請求仍然把它交與Web伺服器處理，只有收到一些特殊約定的數據包後，才調用木馬程序。

5.隱藏隱加載方式

木馬加載的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了達到一個共同的目的，那就是使你運行木馬的服務端程序。如果木馬不做任何偽裝，就告訴你這是木馬，你會運行它才怪呢。而隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，JavaScript、VBScript、ActiveX.XLM....幾乎WWW每一個新功能部會導致木馬的快速進化

6.最新隱身技術

在Win9x時代，簡單地註冊為系統進程就可以從任務欄中消失，可是在Windows2000盛行的今天。這種方法遭到了慘敗。註冊為系統進程不僅僅能在任務欄中看到，而且可以直接在Services中直接控制停止。運行(太搞笑了，木馬被客戶端控制)。使用隱藏窗體或控制臺的方法也不能欺騙無所不見的Admlin大人(要知道，在NT下，Administrator是可以看見所有進程的)。在研究了其他軟體的長處之後，木馬發現，Windows下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。

這是一種更新、更隱蔽的方法。通過修改虛擬設備驅動程序(VXD)或修改動態遵掇庫(DLL)來加載木馬。這種方法與一般方法不同，它基本上擺脫了原有的木馬模式---監聽埠，而採用替代系統功能的方法(改寫vxd或DLL文件)，木馬會將修改後的DLL替換系統已知的DLL，並對所有的函數調用進行過濾。對於常用的調用，使用函數轉發器直接轉發給被替換的系統DLL，對於一些相應的操作。實際上。這樣的事先約定好的特種情況，DLL會執行一般只是使用DLL進行監聽，一旦發現控制端的請求就激活自身，綁在一個進程上進行正常的木馬操作。這樣做的好處是沒有增加新的文件，不需要打開新的埠，沒有新的進程，使用常規的方法監測不到它。在往常運行時，木馬幾乎沒有任何癱狀，且木馬的控制端向被控制端發出特定的信息後，隱藏的程序就立即開始運作。

四、感染木馬後的狀況

對於一些常見的木馬，如SUB7、BO2000、冰河等等，它們都是採用打開TCP埠監聽和寫人註冊表啟動等方式，使用木馬剋星之類的軟體可以檢測到這些木馬，這些檢測木馬的軟體大多都是利用檢測TCP連結、註冊表等信息來判斷是否有木馬人侵，因此我們也可以通過手工來偵測木馬。

也許你會對硬碟空間莫名其妙減少500M感到習以為常，這的確算不了什麼，天知道Windows的臨時文件和那些烏七八糟的遊戲吞噬了自己多少硬碟空間。可是，還是有一些現象會讓你感到警覺，一旦你覺得你自己的電腦感染了木馬，你應該馬上用殺毒軟體檢查一下自己的計算機，然後不管結果如何，就算是Norton告訴你，你的機器沒有木馬，你也應該再親自作一次更深人的調查，確保自己機器安全。經常關注新的和出名的木馬的特性報告，這將對你診斷自己的計算機問題很有幫助。

(1)當你瀏覽一個網站，彈出來一些廣告窗口是很正常的事情，可是如果你根本沒有打開瀏覽器，而覽瀏器突然自己打開，並且進入某個網站，那麼，你要小心。

(2)你正在操作電腦，突然一個警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。

(3)你的Windows系統配置老是自動莫名其妙地被更改。比如屏保顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動運行配置。

(4)硬碟老沒緣由地讀盤，軟碟機燈經常自己亮起，網絡連接及滑鼠屏幕出現異常現象。這時，最簡單的方法就是使用netstat-a命令查看。你可以通過這個命令發現所有網絡連接，如果這時有攻擊者通過木馬連接，你可以通過這些信息發現異常。通過埠掃描的方法也可以發現一些弱智的木馬，特別是一些早期的木馬，它們捆綁的埠不能更改，通過掃描這些固定的埠也可以發現木馬是否被植入。

當然，沒有上面的種種現象並不代表你就絕對安全。有些人攻擊你的機器不過是想尋找一個跳板。做更重要的事情;可是有些人攻擊你的計算機純粹是為了好玩。對於純粹處於好玩目的的攻擊者，你可以很容易地發現攻擊的痕跡;對於那些隱藏得很深，並且想把你的機器變成一臺他可以長期使用的肉雞的黑客們，你的檢查工作將變得異常艱苦並且需要你對入侵和木馬有超人的敏感度，而這些能力，都是在平常的電腦使用過程日積月累而成的。

我們還可以通過軟體來檢查系統進程來發現木馬。如利用進程管理軟體來查看進程，如果發現可疑進程就殺死它。那麼，如何知道哪個進程是可疑的呢?教你一個笨方法，有以下進程絕對是正常的：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE(如果打開了IE)，而出現了其他的、你沒有運行的程序的進程就很可疑了。一句話，具體情況具體分析。

五、木馬的查殺

新人快速上手指南之電腦木馬查殺大全常在河邊走，哪有不溼腳？所以有時候上網時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？

常在河邊走，哪有不溼腳？所以有時候上網時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？

（一）、手工方法：

1、檢查網絡連接情況

由於不少木馬會主動偵聽埠，或者會連接特定的IP和埠，所以我們可以在沒有正常程序連接網絡的情況下，通過檢查網絡連情情況來發現木馬的存在。具體的步驟是點擊「開始」->「運行」->「cmd」，然後輸入netstat-an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的埠，它包含四個部分——proto(連接方式)、localaddress(本地連接地址)、foreignaddress(和本地建立連接的地址)、state(當前埠狀態)。通過這個命令的詳細信息，我們就可以完全監控電腦的網絡連接情況。

2、查看目前運行的服務

服務是很多木馬用來保持自己在系統中永遠能處於運行狀態的方法之一。我們可以通過點擊「開始」->「運行」->「cmd」，然後輸入「netstart」來查看系統中究竟有什麼服務在開啟，如果發現了不是自己開放的服務，我們可以進入「服務」管理工具中的「服務」，找到相應的服務，停止並禁用它。

3、檢查系統啟動項

由於註冊表對於普通用戶來說比較複雜，木馬常常喜歡隱藏在這裡。檢查註冊表啟動項的方法如下：點擊「開始」->「運行」->「regedit」，然後檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值。

Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]欄位中，是不是有shell=Explorer.exefile.exe這樣的內容，如有這樣的內容，那這裡的file.exe就是木馬程序了！

4、檢查系統帳戶

惡意的攻擊者喜在電腦中留有一個帳戶的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認帳戶，但這個帳戶卻很少用的，然後把這個帳戶的權限提升為管理員權限，這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個帳戶任意地控制你的計算機。針對這種情況，可以用以下方法對帳戶進行檢測。

點擊「開始」->「運行」->「cmd」，然後在命令行下輸入netuser，查看計算機上有些什麼用戶，然後再使用「netuser用戶名」查看這個用戶是屬於什麼權限的，一般除了Administrator是administrators組的，其他都不應該屬於administrators組，如果你發現一個系統內置的用戶是屬於administrators組的，那幾乎可以肯定你被入侵了。快使用「netuser用戶名/del」來刪掉這個用戶吧！

如果檢查出有木馬的存在，可以按以後步驟進行殺木馬的工作。

1、運行任務管理器，殺掉木馬進程。

2、檢查註冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。

3、刪除上述可疑鍵在硬碟中的執行文件。

4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件複製過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。

5、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的幾項(如LocalPage)，如果被修改了，改回來就可以。

6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的。

（二）、利用工具：

查殺木馬的工具有LockDown、TheClean、木馬剋星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付一定的費用，木馬分析專家是免費授權使用。