計算機木馬

木馬,全稱特洛伊木馬（Trojan horse），這個詞語來源於古希臘神話，在計算機領域是一種客戶/伺服器程式（c/s）或郵件客戶端程式（如阿里巴巴QQ大盜），是黑客最常用的基於遠程控制的工具。目前，比較有名的國產木馬有：“熊貓燒香（武漢男孩）”“冰河”、“廣外女生”、“黑洞”、“黑冰”等；國外有名的木馬則有：“SubSeven”、“Bo2000(Back Orifice)”、“NetSpy”、“Asylum”等。木馬對計算機系統和網路安全危害相當大，因此，如何防範木馬入侵成為了計算機網路安全的重要內容之一。

木馬入侵過程

木馬這個詞來源於一個古老的故事：相傳古希臘戰爭，在攻打特洛伊時，久攻不下。後來希臘人使用了一個計策，用木頭造一些大的木馬，空肚子裡藏了很多裝備精良的勇士，然後佯裝又一次攻打失敗，逃跑時就把那個大木馬遺棄。守城的士兵就把它當戰利品帶到城裡去了。到了半夜，木馬肚子裡的勇士們都悄悄的溜出來，和外面早就準備好的戰士們來了個漂亮的裡應外合，一舉拿下了特洛伊城。這就是木馬的來歷。從這個故事，大家很容易聯想到計算機木馬的功能。

一個完整的“木馬”程式包含了兩部分：“伺服器”和“控制器”。植入你的電腦的是它的“伺服器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“伺服器”的電腦。

眾所周知，基於TCP/IP協定接入網際網路的電腦有0到65535共256×256個連線埠。通常我們上網的時候，電腦通過139連線埠與外界保持聯繫。運行了木馬程式的“伺服器”以後，你的電腦就會有另一個或幾個連線埠被打開，使黑客可以利用這些打開的連線埠進入你的系統，你的系統安全和個人隱私也就全無保障了！

木馬如此“泛濫”，究竟我們怎么樣才能知道我們的電腦被種上了木馬呢？

計算機木馬一般由兩部分組成，服務端和控制端，也就是常用的C/S（Client/Server）模式。

服務端（S端Server）：遠程計算機機運行。一旦執行成功就可以被控制或者造成其他的破壞，這就要看種木馬的人怎么想和木馬本身的功能，這些控制功能，主要採用調用Windows的API實現，在早期的dos作業系統，則依靠DOS終端和系統功能調用來實現（INT 21H），服務段設定哪些控制，視編程者的需要，各不相同。

控制端（C端Client）也叫客戶端，客戶端程式主要是配套服務段端程式的功能，通過網路向服務端發布控制指令，控制段運行在本地計算機。

正像歷史上的“特洛伊木馬”一樣，被稱作“木馬”的程式也是一種掩藏在美麗外表下打入我們電腦內部的東西。確切地說，“木馬”是一種經過偽裝的欺騙性程式，它通過將自身偽裝吸引用戶下載執行，從而破壞或竊取使用者的重要檔案和資料。

木馬程式與一般的病毒不同，它不會自我繁殖，也並不“刻意”地去感染其他檔案，它的主要作用是向施種木馬者打開被種者電腦的門戶，使對方可以任意毀壞、竊取你的檔案，甚至遠程操控你的電腦。木馬與計算機網路中常常要用到的遠程控制軟體是有區別的。雖然二者在主要功能上都可以實現遠程控制，但由於遠程控制軟體是“善意”的控制，因此通常不具有隱蔽性。木馬則完全相反，木馬要達到的正是“偷竊”性的遠程控制，因此如果沒有很強的隱蔽性的話，那么木馬簡直就是“毫無價值”的。因此判別木馬與遠程控制的兩個重要標準是其使用目的和隱蔽性。

普通木馬的都是由C端傳送請求S端來連線，但有些另類的木馬就不是這樣，它由S端向C端傳送請求。這樣做有什麼好處呢？大家知道，網路防火牆都有監控網路的作用，但它們大多都只監控由外面近來的數據，對由里向外數據的卻不聞不問。反彈連線埠木馬正好利用了這一點來躲開網路防火牆的阻擋，以使自己順利完成任務。大名鼎鼎的“網路神偷”、“灰鴿子”就是這樣一類木馬。它由S端向C端傳送一個連線請求，C端的數據在經過防火牆時，防火牆會以為是發出去的正常數據（一般向外傳送的數據，防火牆都以為是正常的）的返回信息，於是不予攔截，這就給它了可鑽的空子。

“進程”是一個比較抽象的概念，可以理解為排隊買電影票，每一個視窗（其實就是連線埠）排的人可以理解為一個進程，有多少視窗就有多少個進程。普通木馬在運行時都有自己獨立的進程（某一特定視窗排的人，先當作小偷），利用“柳葉擦眼”一類的優秀進程查看軟體就可以發現和終止它。這豈不是太掃興了？好不容易寫出個木馬就這么被你發現了。為了更好的隱藏自己，木馬的製作者就想了一些辦法，把木馬的程隱藏進正常的進程（宿主進程）內。打個比方，正常的進程（系統和正當檔案的進程）可以理解為正常排隊買票的人。而木馬的進程（排隊假裝買票的小偷），他們如果都排在某一個視窗（通過某一特定連線埠進行通訊），很容易就被發現了，於是那些小偷就想辦法混到正常排隊人當中（實現了木馬進程的隱藏），這樣就不容易被發現，而且也不容易被終止。在實際中，即使你發現了隱藏在某一正常進程中的木馬進程，你也不敢輕易終止它，因為一旦終止了木馬的進程，正常的宿主進程也就被終止，這可能導致一些嚴重的後果。所以可以看出，無進程木馬實際上是“隱藏進程木馬”，而這也是它的高明之處。在實際中不可能出現真正意義上的“無進程木馬”。最近出現的“廣外男生”就是典型的例子。

在實現方面，Hook隱藏進程、有dll注入、dll調用等方法。這裡要澄清，這裡所說的"無進程"並非真的無進程，因為進程是軟體調用的資源分配依據和最基本單位，沒有進程就代表沒有任何的計算機資源（CPU使用、記憶體使用、磁碟讀寫權利、網路連線埠）。無進程表示進程被隱藏或者利用現成的進程加入自己的執行緒從而實現的。

這類木馬最顯著的特點是C端和S端是集成到一起的或者只是一個自行獲取信息的郵件客戶端，一次配置好就不能再更改。功能一般比較專一，針對性強。經常用來偷取QQ、Email和網路遊戲的密碼等。

先用自己寫的小程式或者利用系統的漏洞（BUG），奪取到某寫特定的許可權，比如上傳檔案，幹掉網路防火牆和病毒防火牆等，然後上傳修改過或沒修改過的功能強大的木馬，進一步奪取控制權。於是這個小程式或者系統漏洞就和那個功能強大的真正的木馬聯合起來，組成了一款“嵌套型木馬”，其特點是不容發現和查殺，“具有良好的發展前景”。如“下載者”。

嚴格意義上講，這裡所說的其他木馬並不是真正的木馬，它們只能算做是木馬入侵時的輔助工具吧。典型的有惡意網頁代碼，讓你瀏覽後不知不覺就被完全共享了所有的硬碟，然後方便別人給你種下木馬，為進一步入侵做好準備。

木馬捆綁，通俗地講就是把木馬的代碼嵌入其他類型的檔案，便於偽裝，比如，大名鼎鼎的國產木馬“冰河”，他就自帶一個捆綁工具，可以把木馬代碼嵌入到網頁檔案、圖片檔案、執行檔等多種支持腳本語言或運行代碼的檔案中。當接受方收到這些檔案時，幾乎感覺不到有任何異樣，但在後台，木馬代碼卻悄然進入記憶體並運行。

如果你的電腦莫名其妙地當機或重啟,如果硬碟在無操作的情況下頻繁被訪問,如果系統無端搜尋軟碟機、光碟機,如果系統速度異常緩慢，系統資源占用率過高...你是否已經意識到你的電腦可能被植入了木馬程式？

“特洛伊木馬”，不是歷史上那場驚心動魄的戰爭，而是網際網路上廣為禍患的一種危險程式。木馬在今天的網路上可謂無所不在，像“BO Back Orifice ”、“冰河”都是一種木馬程式甚至，連掌上電腦（PDA）的世界也已經出現了“木馬”程式（Liberty Crack）。人們談“馬”色變，下面，我就給大家說說可怕的“特洛伊木馬”到底是怎么回事。

木馬的傳播途徑很多，常見的有如下幾類：

這是最常見，也是最有效的一種方式，大部分病毒（特別是蠕蟲病毒）都用此方式傳播。首先，木馬傳播者對木馬進行偽裝，方法很多，如變形、壓縮、加殼、捆綁、取雙後綴名等，使其具有很大的迷惑性。一般的做法是先在本地機器將木馬偽裝，再使用防毒程式將偽裝後的木馬查殺測試，如果不能被查到就說明偽裝成功。然後利用一些捆綁軟體把偽裝後的木馬藏到一幅圖片內或者其他可運行腳本語言的檔案內，傳送出去。

從網上下載的檔案，即使大的入口網站也不能保證任何時候他的問件都安全，一些個人主頁、小網站等就更不用說了。下載檔案傳播方式一般有兩種，一種是直接把下載連結指向木馬程式，也就是說你下載的並不是你需要的檔案。另一種是採用捆綁方式，將木馬捆綁到你需要下載的檔案中。

大家都知道很多VBS腳本病毒（著名的vbs病毒是暴風一號）就是通過網頁傳播的，木馬也不例外。網頁內如果包含了某些惡意代碼，使得IE自動下載並執行某一木馬程式。這樣你在不知不覺中就被人種上了木馬。順便說一句，很多人在訪問網頁後IE設定被修改甚至被鎖定，也是網頁上用腳本語言編寫的的惡意代碼作怪。

目前，QQ、ICQ、MSN、等網路聊天工具盛行，而這些工具都具備檔案傳輸功能，不懷好意者很容易利用對方的信任傳播木馬和病毒檔案。

如果電腦莫名其妙地當機或重啟；

如果硬碟在無操作的情況下頻繁被訪問；

如果系統無端搜尋軟碟機、光碟機；

如果系統速度異常緩慢，系統資源占用率過高……

這些時候，你要小心了！你很可能已經和“木馬”發生了“親密接觸”！到底這些“恐怖分子”是如何在我們電腦里“安家落戶”的呢？

木馬進入服務端計算機以後，需要經過某種方式激活自身，運行並載入到系統自啟動程式序列。了解木馬怎樣激活自身，是找到並且清除木馬的關鍵所在。

一、自動查殺：利用各種防毒軟體進行防毒。一般的防毒軟體都具備查殺木馬的功能。現在線上查殺大多都不需收費，也有很多免費的防毒軟體供大家使用，並不需要像90年代那樣因為防毒軟體費用而被迫手動查殺。

1、自動運行檢查：一般的木馬為了能夠最大限度獲取你的權利，都會設定自動運行（autorun），常見的自動運行有：註冊表關鍵值（請參考參考資料）。Autorun.inf（媒體自動播放，隨身碟病毒常用）腳本,核心載入（Linux病毒手法）等。

2、連線埠檢查：你可以使用專業的連線埠檢查工具（如個人防火牆自帶的工具）也可以使用系統自帶的工具。（1）在在Windows 2000/XP/Server 2003中要查看連線埠，可以使用Netstat命令：依次點擊“開始→運行”，鍵入“cmd”並回車，打開命令提示符視窗。在命令提示符狀態下鍵入“netstat -a -n”，按下回車鍵後就可以看到以數字形式顯示的TCP和UDP連線的連線埠號及狀態。

（2）在linux下可以使用netstate命令：

打開終端，輸入netstat -anp 按回車後即可連線埠占用狀態。

如果你認為找到木馬後，刪除不過是舉手之勞，那你就大錯特錯了。刪除木馬，有時候恰恰是最困難的工作，如果刪除不徹底，木馬很容易“死灰復燃”。首先想到的方法應該是使用防毒軟體， 畢竟優秀的防毒軟體都是千錘百鍊出來的“反恐”高手。那么手工刪除要注意什麼呢?

許多木馬本身具有自動檢測其自啟動項目的功能，如果你在未刪除木馬的情況下先行刪除了其啟動項目，木馬馬上又能將這些啟動信息重新寫入相關的檔案或註冊表相關位置。因此，最穩妥的方法是，在確定木馬的位置以後，先重新啟動計算機並進入DOS狀態，在DOS下刪掉木馬程式後，再返回Windows，刪除它的相關啟動信息。

其次是木馬檔案名稱的麻煩——木馬為了更好地隱藏自己和給你製造麻煩，生成的服務端檔案名稱類似Windows的系統檔案名。比如木馬SubSeven 1.7版本的伺服器檔案名稱是c:\windows\kernel16.dll，而Windows有一個系統檔案是c:\windows\kernel32.dll。又如，木馬phAse 1.0版本，生成的木馬是c:\windows\system\Msgsrv32.exe，和Windows的系統檔案一模一樣，只是圖示不同，你能正確區分這些並且刪除嗎？另外，別忘了，檔案名稱是可以改的。你可能認為中了netbus木馬就該有Mring.exe或者SysEdit.exe這樣的檔案出現，但是我把它改成123.exe你又能如何呢？所以，千萬別一味依賴“常識”。

最後也是最困難的，就是木馬的“多重攻擊”帶來的麻煩。比如一種名叫“聰明基因”的國產“檔案關聯”型木馬，只要服務端被運行，就會生成c:\windows\MBBManager.exe和Explore32.exe以及c:\windows\system\editor.exe三個檔案，它們用的都是HTM檔案圖示，如果你的系統設定是不顯示已知檔案類型的擴展名，還真會以為它們是HTM檔案呢！Explore32.exe關聯HLP檔案，MBBManager.exe在啟動時載入，Editor.exe關聯TXT檔案。當你發現並刪除了MBBManager.exe，以為大功告成的時候，只要打開HLP檔案或文本檔案，哪怕只是一次，Explore32.exe和Editor.exe就被激活並再次生成MBBManager.exe。類似手段甚至更厲害的木馬還有很多。要手工清除木馬，非得有充分的電腦知識，豐富的經驗，冷靜的頭腦，敏銳的洞察力以及高度的警惕性和超強的分析能力才行——你做得到嗎？防患於未然木馬如此兇殘，你還有信心戰勝它嗎？別急，其實對付木馬的最好方法，就是將它“拒之門外”。在這個木馬橫行的年代，我們實在有必要加強安全防護意識。防火牆、防毒軟體都要經常更新；要慎重選擇下載軟體的地方，儘量不要到一些來歷不明的個人主頁下載軟體；對下載的軟體，務必先用防毒軟體掃描後才可以進行安裝，以防其中包藏禍害；另外就是不要打開來歷不明郵件中的附屬檔案，不要執行別人發給你的所謂“有趣”的小程式……

此外，一旦中了木馬，首先要斷開網路連線，因為這樣就是神仙也操縱不了你了，然後你可以耐心地去清除它。還有就是刪除前做好備份，以防操作失誤。

總之，網路也是一個複雜的社會。並且不同於現實社會的是，在這個虛擬世界裡我們並不能見到對方的真實面目。所以，我們更是難辨真偽。在這樣的環境中生存，我們一定要處處嚴加防範！這樣，才能保證我們的安全