木馬程序技術的發(fā)展可以說非常迅速，至今木馬程序已經(jīng)經(jīng)歷了六代的改進，下一代木馬也呼之欲出。那么木馬到底是什么，它能干什么?讓我們一起揭開它的面紗。

一、什么是木馬

木馬是一種基于遠程控制的黑客工具，具有隱蔽性、自動運行性、非授權性和危害性等特點。木馬通常有兩個可執(zhí)行程序：一個是服務端，即被控制端，另一個是客戶端，即控制端。如果電腦被安裝了服務端程序，會有一個或幾個端口被打開，黑客就可以使用控制端程序通過這些端口入侵電腦。

據(jù)統(tǒng)計表明，2013年一季度國內(nèi)有1.46億網(wǎng)民曾遭遇至少一次木馬侵襲，此類風險人群占整體網(wǎng)民比例高達25.8%，由此可見時至今日木馬入侵的手法仍然經(jīng)久不衰。

二、木馬的結構

一個完整的木馬系統(tǒng)由硬件部分、軟件部分和連接部分組成，如圖1所示。

圖1 木馬的結構

三、木馬的分類

目前木馬主要分為以下幾種類型。

遠程控制型木馬

遠程控制木馬是最流行的木馬，其數(shù)量最多，危害最大，它可以讓攻擊者完全控制被感染的計算機。由于要達到遠程控制的目的，所以該種類的木馬往往集成了其他種類木馬的功能，使其在被感染的機器上為所欲為，可以任意訪問文件，得到用戶的敏感信息甚至包括信用卡，銀行賬號等至關重要的信息。

密碼發(fā)送型木馬

在高度信息化，網(wǎng)絡化的今天，密碼無疑是一個非常重要的信息。密碼發(fā)送型木馬正是專門為了盜取被感染計算機上的密碼而編寫的，木馬一旦被執(zhí)行，就會自動搜索內(nèi)存，緩存，臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會將他們發(fā)送到指定的郵箱。

鍵盤記錄型木馬

這種木馬非常簡單，它們所做的唯一事情就是記錄受害者的鍵盤敲擊，然后在日志文件里查找密碼。一般情況下，這種木馬隨著操作系統(tǒng)的啟動而啟動，它們有在線和離線的選項，分別記錄你在線和離線狀態(tài)下敲擊鍵盤時的按鍵情況，然后發(fā)送到指定郵箱。攻擊者從這些按鍵記錄中很容易就會得到你的各種賬戶，密碼等有用信息。

破壞型木馬

這種木馬唯一的功能就是刪除和破壞被感染計算機的文件系統(tǒng)，使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。這類木馬非常簡單易用，他們能自動刪除受影響計算機里的dll、exe、ini等后綴的文件。

FTP型木馬

這是一種非常簡單和古老的木馬，它會打開計算機的21端口，等待FTP軟件進行連接并自由上傳和下載文件。部分FTP型木馬還帶有密碼驗證功能，只有攻擊者本人才知道密碼，從而進入對方計算機。

DoS攻擊型木馬

隨著DDoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行。當你給入侵的計算機種上DoS攻擊木馬，那么日后這臺計算機就成為你進行DoS攻擊的小助手了。你控制的肉雞數(shù)量越多，你發(fā)動DoS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊一臺又一臺計算機，給網(wǎng)絡造成更大的傷害。

四、木馬的入侵途徑

一般來說，木馬的入侵過程可以分為六個步驟(如圖2所示)：配置木馬、傳播木馬、運行木馬、信息泄露、建立連接、遠程控制。

圖2 網(wǎng)頁木馬入侵途徑

配置木馬

通常情況下，木馬都有配置程序，從具體的配置內(nèi)容看，主要是為了實現(xiàn)下面兩方面功能。

木馬偽裝：木馬配置程序為了在服務端盡可能的隱藏木馬，會采用多種偽裝手段，如捆綁文檔，修改圖標，自我銷毀等。

信息反饋：木馬配置程序對信息反饋的方式或地址進行配置，如配置信息反饋的郵件地址等。

傳播木馬

木馬的傳播方式從總體上主要可以分為三種。

下載傳播：一些網(wǎng)站提供的下載軟件可能被攻擊者捆綁了木馬，用戶下載軟件時木馬也被下載到了本地。

郵件傳播：攻擊者將木馬以附件的形式附在郵件中發(fā)送出去，收信人只要打開附件就會感染木馬。隨著技術的發(fā)展，目前已出現(xiàn)一種郵件內(nèi)容木馬，也可以稱為郵件網(wǎng)頁木馬，其本質是在發(fā)送郵件是以HTML方式內(nèi)嵌網(wǎng)頁木馬，這種木馬能化被動為主動，用戶一旦點擊閱讀此郵件就可能中招。

漏洞傳播：通過漏洞傳播的大部分都是網(wǎng)頁木馬，其實質就是利用漏洞向用戶傳播木馬下載器。

在圖2的示例2-1步驟中，攻擊者在有漏洞的第三方網(wǎng)站網(wǎng)頁中插入惡意代碼或者建立惡意網(wǎng)站，當用戶訪問該惡意網(wǎng)頁后木馬被下載到本地。

運行木馬

服務端用戶運行木馬或捆綁木馬的程序后，木馬就會自動進行安裝。木馬首先將自身復制到系統(tǒng)文件夾中，然后設置好觸發(fā)條件，這樣就完成了安裝。安裝后就可以啟動木馬了，這就是示例中的第3步。

信息泄露

一般的木馬都有一個信息反饋機制。所謂信息反饋機制是指木馬成功安裝后會收集一些服務端的軟硬件信息，并通過郵件等方式告知控制端用戶，如第4步所示。這里的軟硬件信息主要包括服務端IP，系統(tǒng)密碼，操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)等。在這些信息中，最重要的是服務端IP，因為只有得到這個參數(shù)，控制端才能與服務端建立連接。

建立連接

一個木馬連接的建立首先必須滿足兩個條件：一是服務端已安裝了木馬程序;二是控制端，服務端都要在線。在此基礎上控制端可以通過木馬端口與服務端建立連接，如第5步所示。

遠程控制

木馬連接建立后，控制端端口和木馬端口之間將會出現(xiàn)一條通道，控制端可通過這條通道與服務端上的木馬程序進行通信，并通過木馬程序對服務端進行遠程控制。攻擊者可以竊取用戶密碼，破壞文件，修改注冊表，以及進行一些系統(tǒng)操作，這就是第6步。#p#

五、木馬的隱形位置

木馬程序具有很強的隱蔽性，它可以在不知不覺中控制和監(jiān)視受影響計算機。那么木馬到底都有哪些隱藏手法呢，研究發(fā)現(xiàn)目前主流的方法有以下幾種。

集成到程序中：木馬為了不被輕易的刪除，常常集成到程序里。用戶激活木馬程序后，木馬文件和某一應用程序捆綁在一起，然后生成新的文件并覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被重新安裝。

隱藏在配置文件中：大多數(shù)用戶對操作系統(tǒng)的配置文件不熟悉，攻擊者利用這一點將木馬隱藏在配置文件中，如windows系統(tǒng)的win.ini文件，System.ini文件和Winstart.bat文件。

內(nèi)置到注冊表中：注冊表是Windows系統(tǒng)的核心數(shù)據(jù)庫，其中存放著各種參數(shù)，直接控制著Windows的啟動、硬件和驅動程序的加載以及一些Windows應用的運行。由于注冊表比較復雜，對于普通用戶來說較難發(fā)現(xiàn)隱藏在里面的木馬。

插入到網(wǎng)頁中：隱藏在網(wǎng)頁中的木馬又叫網(wǎng)頁木馬，網(wǎng)頁木馬就是表面上偽裝成普通的網(wǎng)頁或者將惡意的代碼插入到正常網(wǎng)頁中，當用戶訪問時木馬就會利用用戶計算機系統(tǒng)或者瀏覽器的漏洞自動將木馬下載到本地。

偽裝在普通文件中：把可執(zhí)行文件偽裝成圖片或文本，在程序中把圖標改成操作系統(tǒng)的默認圖片圖標，再把文件名改為*.gif.exe。當用戶計算機設置為"隱藏已知文件類型的擴展名"時，只能顯示"*.gif"這部分，而不會顯示真正的擴展名".exe"。

包含在視頻中：從網(wǎng)絡中下載并觀看視頻是計算機用戶的一個普遍行為，攻擊者可以通過提供特制的惡意視頻進行攻擊，其實現(xiàn)就是讓視頻播放時自動彈出瀏覽器窗口，并訪問含有木馬的惡意網(wǎng)頁。

六、木馬的防御

木馬的防御主要可以從三個層面進行，即服務端的防御、用戶端的防御和安全設備的防御。

服務端的防御

木馬主要是借助第三方進行傳播，這里的第三方主要包括含有漏洞的網(wǎng)站，提供上傳下載的站點，郵件服務器等。如果上述服務提供方高度重視網(wǎng)絡安全，及時修補各種漏洞無疑能夠減少木馬的傳播。

用戶端的防御

木馬的入侵雖然隱蔽性非常高，但只要我們養(yǎng)成良好的上網(wǎng)習慣，就能從一定程度上減少中招的概率。

不要隨意點擊陌生人發(fā)送的鏈接、圖片、程序，尤其是后綴為exe的可執(zhí)行文件。

不要隨意瀏覽一些小網(wǎng)站，不從不正規(guī)站點下載文件、軟件或者視頻。

不要下載運行來歷不明的郵件附件。將木馬放置在郵件附件中這一傳播方式相信大家都有所耳聞，借助郵件內(nèi)容進行傳播的木馬更是防不勝防，所以建議大家不輕易下載運行陌生郵件的附件，不點擊閱讀來歷不明的郵件。

安裝殺毒軟件并經(jīng)常查殺木馬。

及時安裝瀏覽器和其他常見軟件的新版本和補丁。一些木馬是借助漏洞進行傳播的，及時修復漏洞可以有效防御此種木馬。

安全設備的防御

近年來，新的木馬一直以井噴式的速度出現(xiàn)。據(jù)統(tǒng)計，2013年二季度國內(nèi)新增木馬高達5.27億個，2013年前三季度金融木馬數(shù)量增長了三倍。面對如此多的木馬，對網(wǎng)絡安全要求較高的用戶可以部署專業(yè)的第三方安全設備。目前H3C公司發(fā)布的SecPath IPS系列產(chǎn)品采用多種先進技術，能對網(wǎng)絡中主流木入侵中傳播階段、信息泄露階段、建立連接階段和遠程控制階段分別進行識別防護。

七、結束語

針對移動端的木馬逐漸泛濫，對普通用戶來說，適當了解木馬的相關知識并養(yǎng)成良好的上網(wǎng)習慣可以更好的預防木馬攻擊。