計算機安全之認清木馬的原理

一、基礎知識

　　在介紹木馬的原理之前有一些木馬構成的基礎知識我們要事先加以說明，因為下面有很多地方會提到這些內容。

　　一個完整的木馬系統由硬件部分、軟件部分和具體連接部分組成。

　　1.硬件部分

　　建立木馬連接所必須的硬件實體。

　　控制端：對服務端進行遠程控制的一方。

　　服務端：被控制端遠程控制的一方。

　　INTERNET：控制端對服務端進行遠程控制，數據傳輸的網絡載體。

　　2.軟件部分

　　實現遠程控制所必須的軟件程序。

　　控制端程序：控制端用以遠程控制服務端的程序。

　　木馬程序：潛入服務端內部，獲取其操作權限的程序。

　　木馬配置程序：設置木馬程序的端口號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程序。

　　3.具體連接部分

　　通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。

　　控制端IP，服務端IP：即控制端，服務端的網絡地址，也是木馬進行數據傳輸的目的地。

　　控制端端口，木馬端口：即控制端，服務端的數據入口，通過這個入口，數據可直達控制端程序或木馬程序。

　　二、特洛伊木馬的攻擊步驟

　　用木馬這種黑客工具進行網絡入侵，從過程上看大致可分為六步，下面我們就按這六步來詳細闡述木馬的攻擊原理。

　　1. 配置木馬

　　一般來說一個設計成熟的木馬都有木馬配置程序，從具體的配置內容看，主要是為了實現以下兩方面功能：

　　（1）木馬偽裝：木馬配置程序為了在服務端盡可能好的隱藏木馬，會采用多種偽裝手段，如修改圖標、捆綁文件、定制端口、自我銷毀等等。

　　（2）信息反饋：木馬配置程序將就信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址、IRC號、ICQ號等。

　　2. 傳播木馬

　　（1）傳播方式

　　木馬的傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發送出去，收信人只要打開附件系統就會感染木馬；另一種是軟件下載，一些非正規的網站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載後，只要一運行這些程序，木馬就會自動安裝。

　　（2）偽裝方式

　　鑒於木馬的危害性，很多人對木馬知識還是有一定了解的，這對木馬的傳播起了一定的抑制作用，這是木馬設計者所不願見到的。因此他們開發了多種功能來偽裝木馬，以達到降低用戶警覺，欺騙用戶的目的。一般來說有以下幾種：

　　◆修改圖標

　　也許你會在E-MAIL的附件中看到一個很平常的文本圖標，但是我不得不告訴你，這也有可能是個木馬程序，現在已經有木馬可以將木馬服務端程序的圖標改成HTML、TXT、ZIP等各種文件的圖標，這有相當大的迷惑性，但是目前提供這種功能的木馬還不多見，並且這種偽裝也不是無懈可擊的，所以不必整天提心吊膽、疑神疑鬼的。

　　◆捆綁文件

　　這種偽裝手段是將木馬捆綁到一個安裝程序上，當安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷的進入了系統。至於被捆綁的文件一般是可執行文件，即EXE、COM一類的文件。

　　◆出錯顯示

　　有一定木馬知識的人都知道，如果打開一個文件，沒有任何反應，這很可能就是個木馬程序，木馬的設計者也意識到了這個缺陷，所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時，會彈出一個錯誤提示框——這當然是假的，錯誤內容可自由定義，大多會定制成一些諸如“文件已破壞，無法打開的！”之類的信息，當服務端用戶信以為真時，木馬卻悄悄侵入了系統。

　◆定制端口

　　很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，只要查一下特定的端口就知道感染了什麼木馬，所以現在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在1024——65535之間任選一個端口作為木馬端口。一般不選1024以下的端口，這樣就給判斷所感染木馬類型帶來了麻煩。