特洛伊木马全析

摘　要：在特洛伊木马病毒日益泛滥的今天，在病毒与杀毒软件激烈的追逐中，我们有必要对特洛伊木马进行深入的了解，从自身加强安全意识。本文从首先阐述了特洛伊木马的发展历程；然后介绍了特洛伊木马的概念、结构、类型及特性；在此基础上，深入剖析了特洛伊木马的工作原理；最后讲解了特洛伊木马的查杀方法。

关键词：特洛伊木马；攻击；查杀
一、特洛伊木马的发展历程
　　早期网络速度普遍偏慢，木马也是一个新的产物，木马种植手段简单，技术含量低。因此防病毒思想不盛行。那时候的病毒防治基本是用户依靠自己的判断和技术，来免受或摆脱木马之害。当木马技术刚在国内开始的时候，任意一个IP段都有可能存在大量的的受害计算机开放着大门等待入侵者的攻击。
　　木马技术的不断发展也促使网民安全意识的提高，初期的病毒防火墙应运而生，这时期的木马的隐蔽性提高，但仍然是基于客户端寻找连接服务器端的模式。由于用户防木马意识的提高及病毒防火墙等技术的出现，用户识别和查杀木马的效率大大提高。但是因为病毒防火墙成本等因素的限制，并没有普及，使得许多旧的木马依然可以横行无忌。
　　后来，网络防火墙技术诞生和病毒防火墙技术的成熟，迫使木马追随着防病毒厂商的脚步更新，但由于计算机与网络之间架设的网络防火墙，在物理上实现了对病毒的隔离，其防护策略也导致大部分木马的失效。
二、特洛伊木马的概念、结构、类型及特性
　　当特洛伊木马刚出现时很难对其下定义。一般病毒是依据其能复制的特点而定义的。而特洛伊木马主要是根据它的有效载体，或者是其功能来定义的。大多数安全专家统一认可的定义是：“特洛伊木马是一段具有一定功能的程序，但同时还完成一些不为人知的功能。”
    一个完整的木马系统由硬件部分，软件部分和连接部分组成。硬件部分主要由控制端、服务端和INTERNET组成。而软件部分则由控制端程序、木马程序和木马配置程序组成。连接部分则由控制端及服务端IP和控制端及木马端端口，组成。
  常见木马主要是以下几类：密码发送型，能够找到隐藏面并发送到指定的地方；破坏型，就是破坏并且自动删除文件；键盘记录木马，记录用户的键盘敲击并且在LOG文件查找记录；远程访问型，通过服务器端的IP地址，实现对服务器端的远程控制；代理木马，计算机被控制并植入代理木马，自身变成攻击者发动攻击，从而隐藏入侵者的踪迹；DoS攻击木马，通过入侵给计算机种植DoS攻击木马后，利用中毒的计算机对其他的计算机进行攻击；FTP木马，就是打开21端口，等待用户连接；程序杀手木马，功能就是关闭受害者计算机上运行的防木马软件程序；反弹端口型木马。
    特洛伊木马具有的特性：隐藏性；自动运行性；自动恢复功能；具有未公开并且可能产生危险后果的功能程序；自动打开特别的端口；功能特殊。
三、特洛伊木马的工作原理
    木马的特点及其功能，使得其危害程度超过普通的病毒和蠕虫。深入了解特洛伊木马的工作原理，并积极采取一定防御措施，可以有效减少其带来的危害。
　　木马的工作原理，从过程上看大致可分为六步：
1、配置
　　木马一般都具有木马配置程序，可用来实现木马的伪装，反馈获得的信息。
2、传播
　　木马主要以两种方式进行传播：一种是将木马程序以附件的形式夹在邮件中发送出去，接收到邮件的就接收了木马病毒；另一种是将木马捆绑在软件安装程序上，提供下载，只要程序被运行，木马就会自动安装。木马在传播过程中具有一定的伪装性，木马安装后的图标一般显示为我们熟悉的TXT、Zip等，起到迷惑的作用；隐蔽性，木马通过捆绑到安装程序上来潜入用户计算机，而且会以出错显示等现象来掩盖其运行；它会扰乱用户的判断；木马安装后安装文件会自动销毁，给木马查杀带来一定的困难。
3、运行
　　服务端用户运行捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下)，然后在注册表，启动组，非启动组中设置好其触发条件，就完成了木马的安装。
四、特洛伊木马的查杀
1、利用工具：
    利用专业的杀毒软件目前主要有：金山毒霸，360，瑞星，卡巴斯基，江民，麦咖啡等。
　　利用木马专杀工具主要有： LockDown、TheClean、木马杀客、木马克星、金山木马专杀、木马清除大师、木马分析专家等。
　　随着木马的快速发展，木马的查杀变得越来越困难，杀毒软件已经越来越不堪重负。掌握一定的手工木马查杀方法对木马的防治更加有用。下面介绍手工查杀木马的方法。
2、手工查杀：
　　1、检查网络连接情况
　　在没有正常程序连接网络的情况下，通过检查网络连接情况来发现木马的存在。对一些不熟悉的程序和特别的端口的运行，发现后可以及时关闭或跟踪，便于我们追查和删除。
　　2、查看运行的服务
　　在Dos窗口中输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，可以管理工具中的“服务”中停止并禁用它。
　　3、检查系统启动项
　　4、检查系统帐户
　　可以在Dos窗口通过net user命令，对账户进行检测，如果一个系统内置的用户是属于administrators组的，那基本肯定你被入侵了。可以使用“net user用户名/del”来删掉用户。
参考文献：
[1]刘强.《木马出师表》.庆出版社.205-206，2003
[2] 钟向群.《黑客大曝光：网络安全机密与解决方案（第6版） 》.清华大学出版社.,2010
[3] 贺民.《计算机安全基础》. 清华大学出版社,2008
[4]Donald .《拦截黑客—计算机安全入门》（第二版）.清华大学出版社,2003