木马程序由攻击者控制的程序-木马程序由

木马是由那几个部分组成的？

硬件部分:控制端,服务端,INTERNET

软件部分:控制端程序,木马程序木马配置程序

连接部分:

服务端IP

,

控制端端口(木马端口)

木马的来源

计算机木马的名称来源于古希腊的特洛伊木马的故事，希腊人围攻特洛伊城，很多年不能得手后想出了木马的计策，他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后，木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。

计算机木马的设计者套用了同样的思路，把木马程序插入正常的软件、邮件等宿主中。在受害者执行这些软件的时候，木马就可以悄悄地进入系统，向黑客开放进入计算机的途径。

如果你的机器有时死机，有时又重新启动；在没有执行什么操作的时候，却在拼命读写硬盘；系统莫明其妙地对软驱进行搜索；没有运行大的程序，而系统的速度越来越慢，系统资源占用很多；用任务管理器调出任务表，发现有多个名字相同的程序在运行，而且可能会随时间的增加而增多，这时你就应该查一查你的系统，是不是有木马在你的计算机里安家落户了。

木马的产生与发展

与病毒一样，木马也是从Unix平台上产生出来，在Windows操作系统上“发扬光大”的。最早的Unix木马与现在流行的BO、冰河等有很大的不同，它是运行在服务器后台的一个小程序，伪装成Unix的login登录过程。那时候计算机还属于很珍贵的宝物，不是个人能够买得起的，某个大学、研究机构可能会有一台计算机，大家都从终端上用自己的帐号来登录连接到它上面。那么我们就可以看一下，用户向一台中了木马的计算机上登录时会发生什么事情：用户登录的时候，木马劫持登录过程，向用户提供一个与正常登录界面一样的输入窗口，骗用户输入。在得到用户名和口令之后，木马就会把它存放起来，然后把真正的登录进程调出来。这时用户看到登录界面第二次出现了，这与通常的密码错误的现象是一样的，于是用户再次输入信息而进入系统。整个过程没有人发觉，而密码已经保存在硬盘的某个小角落里了，黑客隔一段时间就可以访问一下服务器，看看有多少收获。

随着木马开发者们孜孜不倦的努力，随后又出现了ftp型、破坏型、信息发送型等等的接班人。ftp型打开所在计算机的端口，使他人可以跳过密码上传或下载；信息发送型木马找到系统中的重要信息如密码等，用e-mail发送到指定的信箱中；破坏型可以删除文件甚至格式化硬盘（真是损人不利已）。不过现在最流行的还是远程控制型的，我们要在这里详细介绍。下面咱们掀起她的盖头来，分析一下这木马的行动原理。

远程控制型木马的运行原理

这是目前最受广大黑帽子欢迎的一类木马。以冰河为例，在一台中了招的机器上，除了正常的服务（如FTP等）之外，冰河的服务器端，就是安装在受害机器上的木马，会秘密地开放出一个默认的TCP 7626端口，让黑客连接实现远程控制。这与正规的PC-Anywhere、Terminal Service等商业远程管理软件的效果是一样的。同样可以进行远程桌面的直接控制，冰河服务器端的大小是260多K，而商业软件是一、二十兆。这种黑客软件做得也真是够精巧的了。当然这也是木马成功进入他人系统的必要条件，太大的木马很容易被别人发觉。

木马是怎样植入计算机的？

木马首先要伪装自己。一般有两种隐藏手段，第一种是把自己伪装成一般的软件。我在做安全工程的时候就碰到一个程序员中了木马，他在论坛上得到一个小程序，拿下来执行了一下，但系统报告了内部错误，程序退出了。他认为是程序没有开发好，就没有在意。谁知有一天自己的QQ密码怎么也进不去，他才觉得不对了。我们后来检查那个程序，果然是个木马伪装成的，在木马代码的前段会完成自我安装与隐藏的过程，最后显示一个错误信息，骗过用户。

第二种是把自己绑定在正常的程序上面。老到的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件，它即可以一边进行winzip程序的正常安装，一边神不知鬼不觉地把木马种下去。这种木马有可能被细心的用户发觉，因为这个winzip程序在绑定了木马之后尺寸就会变大。

伪装之后，木马就可以通过邮件发给被攻击者了，或者是放在网站上供人下载。黑客还会为它们加上一些动人的话语来诱惑别人，象“最新笑笑小电影！”、“cuteFTP4.0完全解密版！！！”（一点不骗人，安装了这个cuteFTP之后，你的机器就被“完全解密”了）。那些喜欢免费盗版的朋友们也要小心了。（写到这里突然想起一句名言：这世上没有比免费更贵的了......）

什么是木马

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。[1]

中文名

木马病毒

外文名

Trojan

含义

计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。[2]

木马程序表面上是无害的，甚至对没有警戒的用户还颇有吸引力，它们经常隐藏在游戏或图形软件中，但它们却隐藏着恶意。这些表面上看似友善的程序运行后，就会进行一些非法的行动，如删除文件或对硬盘格式化。[2]

完整的木马程序一般由两部分组成：一个是服务器端．一个是控制器端。“中了木马”就是指安装了木马的服务器端程序，若你的电脑被安装了服务器端程序，则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序，以及在你电脑上使用的账号、密码无安全可言了。[2]

木马是由什么病毒组成的？

计算机木马在计算机领域中，木马是一类恶意程序。 木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。 鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 【一、基础知识 】 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 计算机木马一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。 (1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 (2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。 (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。 用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICQ号等等参考资料