計算機安全之認清木馬的原理(2)

用木馬這種黑客工具進行網(wǎng)絡(luò)入侵，從過程上看大致可分為六步，下面我們就按這六步來詳細闡述木馬的攻擊原理。

1.配置木馬

一般來說一個設(shè)計成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實現(xiàn)以下兩方面功能：

（1）木馬偽裝：木馬配置程序為了在服務(wù)端盡可能好的隱藏木馬，會采用多種偽裝手段，如修改圖標、捆綁文件、定制端口、自我銷毀等等。

（2）信息反饋：木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M行設(shè)置，如設(shè)置信息反饋的郵件地址、IRC號、ICQ號等。

2.傳播木馬

（1）傳播方式

木馬的傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件系統(tǒng)就會感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。

（2）偽裝方式

鑒于木馬的危害性，很多人對木馬知識還是有一定了解的，這對木馬的傳播起了一定的抑制作用，這是木馬設(shè)計者所不愿見到的。因此他們開發(fā)了多種功能來偽裝木馬，以達到降低用戶警覺，欺騙用戶的目的。一般來說有以下幾種：

修改圖標

也許你會在E-MAIL的附件中看到一個很平常的文本圖標，但是我不得不告訴你，這也有可能是個木馬程序，現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標改成HTML、TXT、ZIP等各種文件的圖標，這有相當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見，并且這種偽裝也不是無懈可擊的，所以不必整天提心吊膽、疑神疑鬼的。

捆綁文件

這種偽裝手段是將木馬捆綁到一個安裝程序上，當(dāng)安裝程序運行時，木馬在用戶毫無察覺的情況下，偷偷的進入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件，即EXE、COM一類的文件。

出錯顯示

有一定木馬知識的人都知道，如果打開一個文件，沒有任何反應(yīng)，這很可能就是個木馬程序，木馬的設(shè)計者也意識到了這個缺陷，所以已經(jīng)有木馬提供了一個叫做出錯顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時，會彈出一個錯誤提示框——這當(dāng)然是假的，錯誤內(nèi)容可自由定義，大多會定制成一些諸如“文件已破壞，無法打開的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時，木馬卻悄悄侵入了系統(tǒng)。

定制端口

很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，只要查一下特定的端口就知道感染了什么木馬，所以現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在1024——65535之間任選一個端口作為木馬端口。一般不選1024以下的端口，這樣就給判斷所感染木馬類型帶來了麻煩。

自我銷毀

這項功能是為了彌補木馬的一個缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會將自己拷貝到WINDOWS的系統(tǒng)文件的C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下，一般來說原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的，捆綁文件的木馬除外。那么中了木馬的朋友只要在近來收到的信件和下載的軟件中找到原木馬文件，然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件，判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。

木馬更名

安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章，按圖索驥在系統(tǒng)文件夾查找特定的文件，就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]