常見的木馬破壞方式及偽裝方法

木馬破壞方式

　　1.修改圖標

　　木馬服務端所用的圖標也是有講究的，木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標，這樣很容易誘惑你把它打開。看看，木馬是不是很狡猾?

　　2.捆綁文件

　　這種偽裝手段是將木馬捆綁到一個安裝程序上，當安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷地進入了系統。被捆綁的文件一般是可執行文件 (即EXE、COM一類的文件)。

　　3.出錯顯示

　　有一定木馬知識的人都知道，如果打開一個文件，沒有任何反應，這很可能就是個木馬程序。木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時，會彈出一個錯誤提示框 (這當然是假的)，錯誤內容可自由定義，大多會定制成一些諸如 "文件已破壞，無法打開!"之類的信息，當服務端用戶信以為真時，木馬卻悄悄侵入了系統。

　　4.自我銷毀

　　這項功能是為了彌補木馬的一個缺陷。我們知道，當服務端用戶打開含有木馬的文件後，木馬會將自己拷貝到Windows的系統文件夾中(C:windows或C:windowssystem目錄下),一般來說，源木馬文件和系統文件夾中的木馬文件的大小是一樣的 (捆綁文件的木馬除外)，那麼，中了木馬的朋友只要在近來收到的信件和下載的軟件中找到源木馬文件，然後根據源木馬的大小去系統文件夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後，源木馬文件自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下。就很難刪除木馬了。

　　5.木馬更名

　　木馬服務端程序的命名也有很大的學問。如果不做任何修改，就使用原來的名字，誰不知道這是個木馬程序呢?所以木馬的命名也是千奇百怪，不過大多是改為和系統文件名差不多的名字，如果你對系統文件不夠了解，那可就危險了。例如有的木馬把名字改為window.exe，如果不告訴你這是木馬的話，你敢刪除嗎?還有的就是更改一些後綴名，比如把dll改為dl等，不仔細看的，你會發現嗎?

　　木馬的種類

　　1、破壞型

　　惟一的功能就是破壞並且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件。

　　2、密碼發送型

　　可以找到隱藏密碼並把它們發送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用WINDOWS 提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。

　　在這裡提醒一下，不要認為自己在文檔中加了密碼而把重要的保密文件存在公用計算機中，那你就大錯特錯了。別有用心的人完全可以用窮舉法暴力破譯你的密碼。利用WINDOWS API函數EnumWindows和EnumChildWindows對當前運行的所有程序的所有窗口（包括控件）進行遍歷，通過窗口標題查找密碼輸入和出確認重新輸入窗口，通過按鈕標題查找我們應該單擊的按鈕，通過ES_PASSWord查找我們需要鍵入的密碼窗口。向密碼輸入窗口發送 WM_SETTEXT消息模擬輸入密碼，向按鈕窗口發送WM_COMMAND消息模擬單擊。在破解過程中，把密碼保存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止。此類程序在黑客網站上唾手可得，精通程序設計的人，完全可以自編一個。

　　3、遠程訪問型

　　最廣泛的是特洛伊馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現遠程控制。以下的程序可以實現觀察"受害者"正在干什麼，當然這個程序完全可以用在正道上的，比如監視學生機的操作。

　　程序中用的UDP（User Datagram Protocol，用戶報文協議）是因特網上廣泛采用的通信協議之一。與TCP協議不同，它是一種非連接的傳輸協議，沒有確認機制，可靠性不如TCP，但它的效率卻比TCP高，用於遠程屏幕監視還是比較適合的。它不區分服務器端和客戶端，只區分發送端和接收端，編程上較為簡單，故選用了UDP協議。本程序中用了DELPHI提供的TNMUDP控件。

　　4.鍵盤記錄木馬

　　這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊並且在LOG文件裡查找密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息，甚至是你的信用卡賬號哦!當然，對於這種類型的木馬，郵件發送功能也是必不可少的。

　　5.Dos攻擊木馬

　　隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器，給他種上DoS攻擊木馬，那麼日後這台計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多，你發動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現在被感染計算機上，而是體現在攻擊者可以利用它來攻擊一台又一台計算機，給網絡造成很大的傷害和帶來損失。

　　還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發送郵件，一直到對方癱瘓、不能接受郵件為止。

　　6.代理木馬

　　黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的肉雞種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。

　　7.FTP木馬

　　這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是打開21端口，等待用戶連接。現在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進人對方計算機。

　　8.程序殺手木馬

　　上面的木馬功能雖然形形色色，不過到了對方機器上要發揮自己的作用，還要過防木馬軟件這一關才行。常見的防木馬軟件有很多，程序殺手木馬的功能就是關閉對方機器上運行的這類程序，讓其他的木馬更好地發揮作用。

　　9.反彈端口型木馬

　　木馬是木馬開發者在分析了防火牆的特性後發現：防火牆對於連入的鏈接往往會進行非常嚴格的過濾，但是對於連出的鏈接卻疏於防范。於是，與一般的木馬相反，反彈端口型木馬的服務端 (被控制端)使用主動端口，客戶端 (控制端)使用被動端口。木馬定時監測控制端的存在，發現控制端上線立即彈出端口主動連結控制端打開的主動端口;為了隱蔽起見，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發現類似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情況，稍微疏忽一點，你就會以為是自己在浏覽網頁。

　　3、遠程訪問型

　　最廣泛的是特洛伊馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現遠程控制。以下的程序可以實現觀察"受害者"正在干什麼，當然這個程序完全可以用在正道上的，比如監視學生機的操作。

　　程序中用的UDP（User Datagram Protocol，用戶報文協議）是因特網上廣泛采用的通信協議之一。與TCP協議不同，它是一種非連接的傳輸協議，沒有確認機制，可靠性不如TCP，但它的效率卻比TCP高，用於遠程屏幕監視還是比較適合的。它不區分服務器端和客戶端，只區分發送端和接收端，編程上較為簡單，故選用了UDP協議。本程序中用了DELPHI提供的TNMUDP控件。

　　4.鍵盤記錄木馬

　　這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊並且在LOG文件裡查找密碼。據筆者經驗，這種特洛伊木馬隨著Windows的啟動而啟動。它們有在線和離線記錄這樣的選項，顧名思義，它們分別記錄你在線和離線狀態下敲擊鍵盤時的按鍵情況。也就是說你按過什麼按鍵，下木馬的人都知道，從這些按鍵中他很容易就會得到你的密碼等有用信息，甚至是你的信用卡賬號哦!當然，對於這種類型的木馬，郵件發送功能也是必不可少的。

　　5.Dos攻擊木馬

　　隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一台機器，給他種上DoS攻擊木馬，那麼日後這台計算機就成為你DoS攻擊的最得力助手了。你控制的肉雞數量越多，你發動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現在被感染計算機上，而是體現在攻擊者可以利用它來攻擊一台又一台計算機，給網絡造成很大的傷害和帶來損失。

　　還有一種類似DoS的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發送郵件，一直到對方癱瘓、不能接受郵件為止。

　　6.代理木馬

　　黑客在入侵的同時掩蓋自己的足跡，謹防別人發現自己的身份是非常重要的，因此，給被控制的肉雞種上代理木馬，讓其變成攻擊者發動攻擊的跳板就是代理木馬最重要的任務。通過代理木馬，攻擊者可以在匿名的情況下使用Telnet,ICQ,IRC等程序，從而隱蔽自己的蹤跡。

　　7.FTP木馬

　　這種木馬可能是最簡單和古老的木馬了，它的