[[360006]]

微信公眾號(hào)：計(jì)算機(jī)與網(wǎng)絡(luò)安全

ID：Computer-network

1、計(jì)算機(jī)病毒的定義與特征

計(jì)算機(jī)病毒(Computer Virus)是人為制造的、能夠進(jìn)行自我復(fù)制的、對(duì)計(jì)算機(jī)資源具有破壞作用的一組程序或指令的集合，這是計(jì)算機(jī)病毒的廣義定義。計(jì)算機(jī)病毒把自身附著在各種類型的文件上或寄生在存儲(chǔ)媒介中，能對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行各種破壞，同時(shí)能夠自我復(fù)制和傳染。

在1994年2月18日公布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中，計(jì)算機(jī)病毒被定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”

計(jì)算機(jī)病毒與生物病毒一樣，有其自身的病毒體(病毒程序)和寄生體(宿主)。所謂感染或寄生，是指病毒將自身嵌入到宿主指令序列中。寄生體為病毒提供一種生存環(huán)境，是一種合法程序。當(dāng)病毒程序寄生于合法程序之后，病毒就成為了程序的一部分，并在程序中占有合法地位。這樣，合法程序就成為了病毒程序的寄生體，或稱為病毒程序的載體。病毒可以寄生在合法程序的任何位置。病毒程序一旦寄生于合法程序，就會(huì)隨合法程序的執(zhí)行而執(zhí)行，隨它的生存而生存，隨它的消失而消失。為了增強(qiáng)活力，病毒程序通常會(huì)寄生于一個(gè)或多個(gè)被頻繁調(diào)用的程序中。

(1)病毒特征

計(jì)算機(jī)病毒種類繁多、特征各異，但一般具有自我復(fù)制能力、感染性、潛伏性、觸發(fā)性和破壞性。計(jì)算機(jī)病毒的基本特征介紹如下。

1)計(jì)算機(jī)病毒的可執(zhí)行性

計(jì)算機(jī)病毒與合法程序一樣，是一段可執(zhí)行程序。計(jì)算機(jī)病毒在運(yùn)行時(shí)會(huì)與合法程序爭(zhēng)奪系統(tǒng)的控制權(quán)。例如，病毒一般在運(yùn)行其宿主程序之前先運(yùn)行自己，通過(guò)這種方法搶奪系統(tǒng)的控制權(quán)。計(jì)算機(jī)病毒只有在計(jì)算機(jī)內(nèi)運(yùn)行時(shí)，才具有傳染性和破壞性等活性。計(jì)算機(jī)病毒一經(jīng)在計(jì)算機(jī)上運(yùn)行，在同一臺(tái)計(jì)算機(jī)內(nèi)，病毒程序與正常系統(tǒng)程序就會(huì)爭(zhēng)奪系統(tǒng)的控制權(quán)，往往會(huì)造成系統(tǒng)崩潰，導(dǎo)致計(jì)算機(jī)癱瘓。

2)計(jì)算機(jī)病毒的傳染性

計(jì)算機(jī)病毒的傳染性是指病毒具有把自身復(fù)制到其他程序和系統(tǒng)的能力。計(jì)算機(jī)病毒也會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。計(jì)算機(jī)病毒一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就會(huì)搜尋符合其傳染條件的其他程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。而被感染的目標(biāo)又成了新的傳染源，當(dāng)它被執(zhí)行以后，便又會(huì)去感染另一個(gè)可以被傳染的目標(biāo)。計(jì)算機(jī)病毒可以通過(guò)各種可能的渠道(如U盤、網(wǎng)絡(luò))等去感染其他的計(jì)算機(jī)。

3)計(jì)算機(jī)病毒的非授權(quán)性

計(jì)算機(jī)病毒未經(jīng)授權(quán)而執(zhí)行。一般正常的程序由用戶調(diào)用，再由系統(tǒng)分配資源，進(jìn)行完成用戶交給的任務(wù)，其目的對(duì)用戶是可見的、透明的。而病毒隱藏在正常程序中，其在系統(tǒng)中的運(yùn)行流程一般是：做初始化工作→尋找傳染目標(biāo)→竊取系統(tǒng)控制權(quán)→完成傳染破壞活動(dòng)，其目的對(duì)用戶是未知的、未被允許的。

4)計(jì)算機(jī)病毒的隱蔽性

計(jì)算機(jī)病毒通常附在正常程序中或磁盤中較隱蔽的地方，也有個(gè)別的病毒以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)其存在。如果不經(jīng)過(guò)代碼分析，病毒程序與正常程序是不容易被區(qū)分的，而一旦病毒發(fā)作的影響表現(xiàn)出來(lái)，就往往已經(jīng)給計(jì)算機(jī)系統(tǒng)造成了不同程度的破壞。正是由于計(jì)算機(jī)病毒的隱蔽性，其才得以在用戶沒(méi)有察覺(jué)的情況下擴(kuò)散并游蕩于世界上百萬(wàn)臺(tái)計(jì)算機(jī)中。

5)計(jì)算機(jī)病毒的潛伏性

一個(gè)編制精巧的計(jì)算機(jī)病毒程序進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作。潛伏性越好，其在系統(tǒng)中存在的時(shí)間就會(huì)越長(zhǎng)，病毒的傳染范圍就會(huì)越大。潛伏性是指不用專用檢測(cè)程序無(wú)法檢查出病毒程序，此外其還具有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒只傳染而不做破壞，只有滿足觸發(fā)條件時(shí)，病毒才會(huì)被激活并使計(jì)算機(jī)出現(xiàn)中毒癥狀。

6)計(jì)算機(jī)病毒的破壞性

計(jì)算機(jī)病毒一旦運(yùn)行，就會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成不同程度的影響，輕者降低計(jì)算機(jī)系統(tǒng)的工作效率、占用系統(tǒng)資源(如占用內(nèi)存空間、磁盤存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等)，重者導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰。計(jì)算機(jī)病毒的破壞性決定了病毒的危害性。

7)計(jì)算機(jī)病毒的寄生性

病毒程序會(huì)嵌入宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在嵌入宿主程序中后，一般會(huì)對(duì)宿主程序進(jìn)行一定的修改，這樣，宿主程序一旦執(zhí)行，病毒程序就會(huì)被激活，從而可以進(jìn)行自我復(fù)制和繁衍。

8)計(jì)算機(jī)病毒的不可預(yù)見性

從對(duì)病毒的檢測(cè)方面來(lái)看，病毒還有不可預(yù)見性。不同種類的病毒的代碼千差萬(wàn)別，但有些操作是共有的(如駐內(nèi)存、改中斷等)。隨著計(jì)算機(jī)病毒新技術(shù)的不斷涌現(xiàn)，對(duì)未知病毒的預(yù)測(cè)難度也在不斷加大，這也決定了計(jì)算機(jī)病毒的不可預(yù)見性。事實(shí)上，反病毒軟件預(yù)防措施和技術(shù)手段往往滯后于病毒的產(chǎn)生速度。

9)計(jì)算機(jī)病毒的誘惑欺騙性

某些病毒常以某種特殊的表現(xiàn)方式，引誘、欺騙用戶不自覺(jué)地觸發(fā)、激活病毒，從而發(fā)揮其感染、破壞功能。某些病毒會(huì)通過(guò)引誘用戶點(diǎn)擊電子郵件中的相關(guān)網(wǎng)址、文本、圖片等來(lái)激活自身并進(jìn)行傳播。

(2)病毒分類

根據(jù)傳播和感染的方式，計(jì)算機(jī)病毒主要有以下幾種類型。

1)引導(dǎo)型病毒

引導(dǎo)型病毒(Boot Strap Sector Virus)藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。因?yàn)镈OS的架構(gòu)設(shè)計(jì)，病毒可以在每次開機(jī)時(shí)操作系統(tǒng)還未被加載之前就被加載到內(nèi)存中，這個(gè)特性使病毒可以完全控制DOS的各類中斷，并且擁有更大的能力進(jìn)行傳染與破壞。

2)文件型病毒

文件型病毒(File Infector Virus)通常寄生在可執(zhí)行(如.com、.exe等)文件中。當(dāng)這些文件被執(zhí)行時(shí)，病毒程序就會(huì)跟著被執(zhí)行。文件型病毒根據(jù)傳染方式的不同，又分為非常駐型以及常駐型兩種。非常駐型病毒將自己寄生在.com、.exe或.sys文件中。當(dāng)這些中毒的程序被執(zhí)行時(shí)，它們就會(huì)嘗試將病毒傳染給另一個(gè)或多個(gè)文件。常駐型病毒寄生在內(nèi)存中，其行為就是寄生在各類低階功能(如中斷等)中，由于這個(gè)原因，常駐型病毒往往會(huì)對(duì)磁盤造成更大的傷害。一旦常駐型病毒進(jìn)入內(nèi)存，只要執(zhí)行文件，其就會(huì)對(duì)內(nèi)存進(jìn)行感染。

3)復(fù)合型病毒

復(fù)合型病毒(Multi-Partite Virus)兼具引導(dǎo)型病毒和文件型病毒的特性。復(fù)合型病毒可以傳染.com、.exe文件，也可以傳染磁盤的引導(dǎo)區(qū)。由于這個(gè)特性，這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞程度將會(huì)非?？膳?。

4)宏病毒

宏病毒(Macro Virus)主要是利用軟件本身所提供的宏能力來(lái)設(shè)計(jì)病毒，所以凡是具有宏能力的軟件都有存在宏病毒的可能，如Word、Excel、Powerpoint等。

2、病毒攻擊原理分析

以引導(dǎo)型病毒為例來(lái)分析病毒的攻擊原理。

想要了解引導(dǎo)型病毒的攻擊原理，首先要了解引導(dǎo)區(qū)的結(jié)構(gòu)。硬盤有兩個(gè)引導(dǎo)區(qū)，在0面0道1扇區(qū)的稱為主引導(dǎo)區(qū)，內(nèi)有主引導(dǎo)程序和分區(qū)表，主引導(dǎo)程序查找激活分區(qū)，該分區(qū)的第一個(gè)扇區(qū)即為DOS BOOT SECTOR。絕大多數(shù)病毒可以感染硬盤主引導(dǎo)扇區(qū)和軟盤DOS引導(dǎo)扇區(qū)。

盡管Windows操作系統(tǒng)使用廣泛，但計(jì)算機(jī)在被引導(dǎo)至Windows界面之前，還是需要基于傳統(tǒng)的DOS自舉過(guò)程，從硬盤引導(dǎo)區(qū)讀取引導(dǎo)程序。圖1和圖2分別描述了正常的DOS自舉過(guò)程和帶病毒的DOS自舉過(guò)程。

圖1 正常的DOS自舉過(guò)程

圖2 帶病毒的DOS自舉過(guò)程

正常的DOS啟動(dòng)過(guò)程如下：

① 通電開機(jī)后，進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序，以對(duì)系統(tǒng)的基本設(shè)備進(jìn)行檢測(cè);

② 檢測(cè)正常后，從系統(tǒng)盤0面0道1扇區(qū)(即邏輯0扇區(qū))讀Boot引導(dǎo)程序到內(nèi)存的0000:7C00處;

③ 轉(zhuǎn)入Boot執(zhí)行;

④ Boot判斷是否為系統(tǒng)盤，如果不是，則給出提示信息;否則，讀入并執(zhí)行兩個(gè)隱含文件，并將COMMAND.com裝入內(nèi)存;

⑤ 系統(tǒng)正常運(yùn)行，DOS啟動(dòng)成功。

如果系統(tǒng)盤感染了病毒，則DOS的啟動(dòng)將會(huì)是另一種情況，其過(guò)程如下：

① 將Boot區(qū)中的病毒代碼首先讀入內(nèi)存的0000:7C00處;

② 病毒將自身的全部代碼讀入內(nèi)存的某一安全地區(qū)，常駐內(nèi)存，并監(jiān)視系統(tǒng)的運(yùn)行;

③ 修改INT 13H中斷服務(wù)處理程序的入口地址，使之指向病毒控制模塊并執(zhí)行;因?yàn)槿魏我环N病毒感染軟盤或者硬盤時(shí)，都離不開對(duì)磁盤的讀寫操作，所以修改INT 13H中斷服務(wù)程序的入口地址是一項(xiàng)必不可少的操作;

④ 病毒程序全部被讀入內(nèi)存后，再讀入正常的Boot內(nèi)容到內(nèi)存的0000:7C00處，并進(jìn)行正常的啟動(dòng)過(guò)程;

⑤ 病毒程序伺機(jī)(準(zhǔn)備隨時(shí))感染新的系統(tǒng)盤或非系統(tǒng)盤。

如果發(fā)現(xiàn)有可攻擊的對(duì)象，則病毒要進(jìn)行下列工作：

① 將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存，并判別該盤是否感染了病毒;

② 當(dāng)滿足傳染條件時(shí)，將病毒的全部或部分寫入Boot區(qū)，把正常的磁盤引導(dǎo)區(qū)程序?qū)懭氪疟P的特定位置;

③ 返回正常的INT 13H中斷服務(wù)處理程序，完成對(duì)目標(biāo)盤的傳染。

3、木馬的發(fā)展與分類

木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠(yuǎn)程控制用戶的計(jì)算機(jī)。木馬全稱特洛伊木馬，其名稱源于古希臘神話中的《特洛伊木馬記》。在公元前12世紀(jì)，希臘向特洛伊城宣戰(zhàn)，交戰(zhàn)了10年也沒(méi)有取得勝利。最后，希臘軍隊(duì)佯裝撤退，并在特洛伊城外留下很多巨大的木馬。這些木馬是空心的，里面藏了希臘最好的戰(zhàn)士。在希臘人佯裝撤走后，特洛伊人把這些木馬作為戰(zhàn)利品拉進(jìn)了城。當(dāng)晚，希臘戰(zhàn)士從木馬中出來(lái)并與城外的希臘軍隊(duì)里應(yīng)外合攻下特洛伊城，這就是特洛伊木馬名稱的由來(lái)。因此，特洛伊木馬一般會(huì)偽裝成合法程序植入系統(tǒng)，進(jìn)而對(duì)系統(tǒng)安全構(gòu)成威脅。完整的木馬程序一般由兩部分組成，一是服務(wù)器被控制端程序，二是客戶端控制端程序。黑客主要利用植入目標(biāo)主機(jī)的客戶端控制端程序來(lái)控制目標(biāo)主機(jī)。

(1)木馬技術(shù)的發(fā)展

從木馬技術(shù)的發(fā)展來(lái)看，其基本上可分為4代。

第1代木馬功能單一，只是實(shí)現(xiàn)簡(jiǎn)單的密碼竊取與發(fā)送等，在隱藏和通信方面均無(wú)特別之處。

第2代木馬在隱藏、自啟動(dòng)和操縱服務(wù)器等方面有了很大進(jìn)步。國(guó)外具有代表性的第2代木馬有BOZ000和Sub7。冰河可以說(shuō)是國(guó)內(nèi)木馬的典型代表之一，它可以對(duì)注冊(cè)表進(jìn)行操作以實(shí)現(xiàn)自動(dòng)運(yùn)行，并能通過(guò)將程序設(shè)置為系統(tǒng)進(jìn)程來(lái)進(jìn)行偽裝隱藏。

第3代木馬在數(shù)據(jù)傳遞技術(shù)上有了根本性的進(jìn)步，出現(xiàn)了ICMP等特殊報(bào)文類型傳遞數(shù)據(jù)的木馬，增加了查殺的難度。這一代木馬在進(jìn)程隱藏方面也做了很大的改進(jìn)，并采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)嵌入DLL線程，實(shí)現(xiàn)木馬程序的隱藏，達(dá)到了良好的隱藏效果。

第4代木馬實(shí)現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必像以前的木馬那樣需要欺騙用戶主動(dòng)激活。具有代表性的等4代木馬有最近新出現(xiàn)的磁碟機(jī)和機(jī)器狗木馬等。

(2)木馬程序的分類

根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動(dòng)作方式，可以把現(xiàn)在的木馬程序分為以下5類。

1)遠(yuǎn)程控制型

遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬具有遠(yuǎn)程監(jiān)控的功能，使用簡(jiǎn)單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)并與控制端客戶程序建立網(wǎng)絡(luò)連接，就能使控制者任意訪問(wèn)被控制的計(jì)算機(jī)。這種木馬在控制端的控制下可以在被控主機(jī)上做任何事情，如鍵盤記錄、文件上傳/下載、屏幕截取、遠(yuǎn)程執(zhí)行等。

2)密碼發(fā)送型

密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在用戶不知情的情況下把它們發(fā)送到指定的郵箱。在大多數(shù)情況下，這類木馬程序不會(huì)在每次Windows系統(tǒng)重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用25端口發(fā)送電子郵件。

3)鍵盤記錄型

鍵盤記錄型木馬非常簡(jiǎn)單，它們只做一件事情，就是記錄用戶的鍵盤敲擊，并且在LOG文件里進(jìn)行完整的記錄。這種木馬程序會(huì)隨著Windows系統(tǒng)的啟動(dòng)而自動(dòng)加載，并能感知受害主機(jī)在線，且記錄每一個(gè)用戶事件，然后通過(guò)郵件或其他方式將用戶事件發(fā)送給控制者。

4)毀壞型

大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動(dòng)刪除受控主機(jī)上所有的.ini或.exe文件，甚至遠(yuǎn)程格式化受控主機(jī)硬盤，使受控主機(jī)上的所有信息都受到破壞。總而言之，該類木馬的目標(biāo)只有一個(gè)，就是盡可能地毀壞受感染系統(tǒng)，使其癱瘓。

5)FTP型

FTP型木馬會(huì)打開被控主機(jī)系統(tǒng)的21號(hào)端口(FTP服務(wù)所使用的默認(rèn)端口)，使每個(gè)人都可以用一個(gè)FTP客戶端程序無(wú)需密碼就能連接到被控主機(jī)系統(tǒng)，進(jìn)而進(jìn)行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機(jī)密文件。

根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以將木馬分為以下兩類。

1. 正向連接型：發(fā)起連接的方向?yàn)榭刂贫说奖豢刂贫?，這種技術(shù)被早期的木馬廣泛采用，其缺點(diǎn)是不能透過(guò)防火墻發(fā)起連接。
2. 反向連接型：發(fā)起連接的方向?yàn)楸豢刂贫说娇刂贫耍涑霈F(xiàn)主要是為了解決從內(nèi)向外不能發(fā)起連接這一問(wèn)題。其已經(jīng)被較新的木馬廣泛采用。

根據(jù)木馬使用的架構(gòu)，木馬可分為4類。

1. C/S架構(gòu)：這種架構(gòu)是普通的服務(wù)器、客戶端的傳統(tǒng)架構(gòu)，一般將客戶端作為控制端，服務(wù)器端作為被控制端。在編程實(shí)現(xiàn)的時(shí)候，如果采用反向連接的技術(shù)，那么客戶端(也就是控制端)就要采用socket編程的服務(wù)器端的方法，而服務(wù)端(也就是被控制端)就要采用Socket編程的客戶端的方法。
2. B/S架構(gòu)：這種架構(gòu)是普通的網(wǎng)頁(yè)木馬所采用的方式。通常在B/S架構(gòu)下，服務(wù)器端被上傳了網(wǎng)頁(yè)木馬，控制端可以使用瀏覽器來(lái)訪問(wèn)相應(yīng)的網(wǎng)頁(yè)，進(jìn)而達(dá)到對(duì)服務(wù)器端進(jìn)行控制的目的。
3. C/P/S架構(gòu)：這里的P意為Proxy，也就是在這種架構(gòu)中使用了代理。當(dāng)然，為了實(shí)現(xiàn)正常的通信，代理也要由木馬作者編程實(shí)現(xiàn)，進(jìn)而才能實(shí)現(xiàn)一個(gè)轉(zhuǎn)換通信。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。但是，這種架構(gòu)的木馬目前還沒(méi)有被發(fā)現(xiàn)。
4. B/S/B架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。當(dāng)被控制端與控制端都打開瀏覽器瀏覽這個(gè)服務(wù)器上的網(wǎng)頁(yè)時(shí)，一端就變成了控制端，而另一端就變成了被控制端。這種架構(gòu)的木馬已經(jīng)在國(guó)外出現(xiàn)。

根據(jù)木馬存在的形態(tài)的不同，可將木馬分為以下幾種：

• 傳統(tǒng)EXE程序文件木馬：這是最常見、最普通的木馬，即在目標(biāo)計(jì)算機(jī)中以.exe文件運(yùn)行的木馬。
• 傳統(tǒng)DLL/VXD木馬：此類木馬自身無(wú)法運(yùn)行，它們須利用系統(tǒng)啟動(dòng)或其他程序來(lái)運(yùn)行，或使用Rundi132.exe來(lái)運(yùn)行。
• 替換關(guān)聯(lián)式DLL木馬：這種木馬本質(zhì)上仍然是DLL木馬，但它卻會(huì)替換某個(gè)系統(tǒng)的DLL文件并將它改名。
• 嵌入式DLL木馬：這種木馬利用遠(yuǎn)程緩沖區(qū)溢出的入侵方式，從遠(yuǎn)程將木馬代碼寫入目前正在運(yùn)行的某個(gè)程序的內(nèi)存中，然后利用更改意外處理的方式來(lái)運(yùn)行木馬代碼。這種技術(shù)在操作上難度較高。
• 網(wǎng)頁(yè)木馬：即利用腳本等設(shè)計(jì)的木馬。這種木馬會(huì)利用IE等的漏洞嵌入目標(biāo)主機(jī)，傳播范圍廣。
• 溢出型木馬：即將緩沖區(qū)溢出攻擊和木馬相結(jié)合的木馬，其實(shí)現(xiàn)方式有很多特點(diǎn)和優(yōu)勢(shì)，屬于一種較新的木馬類型。

此外，根據(jù)隱藏方式，木馬可以分為以下幾類：本地文件隱藏、啟動(dòng)隱藏、進(jìn)程隱藏、通信隱藏、內(nèi)核模塊隱藏和協(xié)同隱藏等。隱藏技術(shù)是木馬的關(guān)鍵技術(shù)之一，直接決定木馬的生存能力。木馬與遠(yuǎn)程控制程序的主要不同點(diǎn)就在于它的隱蔽性，木馬的隱蔽性是木馬能否長(zhǎng)期存活的關(guān)鍵。

(3)木馬的功能

木馬的功能可以概括為以下5種。

1)管理遠(yuǎn)程文件

對(duì)被控主機(jī)的系統(tǒng)資源進(jìn)行管理，如復(fù)制文件、刪除文件、查看文件、以及上傳/下載文件等。

2)打開未授權(quán)的服務(wù)

為遠(yuǎn)程計(jì)算機(jī)安裝常用的網(wǎng)絡(luò)服務(wù)，令它為黑客或其他非法用戶服務(wù)。例如，被木馬設(shè)定為FTP文件服務(wù)器后的計(jì)算機(jī)，可以提供FTP文件傳輸服務(wù)、為客戶端打開文件共享服務(wù)，這樣，黑客就可以輕松獲取用戶硬盤上的信息。

3)監(jiān)視遠(yuǎn)程屏幕

實(shí)時(shí)截取屏幕圖像，可以將截取到的圖像另存為圖片文件;實(shí)時(shí)監(jiān)視遠(yuǎn)程用戶目前正在進(jìn)行的操作。

4)控制遠(yuǎn)程計(jì)算機(jī)

通過(guò)命令或遠(yuǎn)程監(jiān)視窗口直接控制遠(yuǎn)程計(jì)算機(jī)。例如，控制遠(yuǎn)程計(jì)算機(jī)執(zhí)行程序、打開文件或向其他計(jì)算機(jī)發(fā)動(dòng)攻擊等。

5)竊取數(shù)據(jù)

以竊取數(shù)據(jù)為目的，本身不破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。它以系統(tǒng)使用者很難察覺(jué)的方式向外傳送數(shù)據(jù)，典型代表為鍵盤和鼠標(biāo)操作記錄型木馬。

4、木馬攻擊原理

木馬程序是一種客戶機(jī)服務(wù)器程序，典型結(jié)構(gòu)為客戶端/服務(wù)器(Client/Server，C/S)模式，服務(wù)器端(被攻擊的主機(jī))程序在運(yùn)行時(shí)，黑客可以使用對(duì)應(yīng)的客戶端直接控制目標(biāo)主機(jī)。操作系統(tǒng)用戶權(quán)限管理中有一個(gè)基本規(guī)則，就是在本機(jī)直接啟動(dòng)運(yùn)行的程序擁有與使用者相同的權(quán)限。假設(shè)你以管理員的身份使用機(jī)器，那么從本地硬盤啟動(dòng)的一個(gè)應(yīng)用程序就享有管理員權(quán)限，可以操作本機(jī)的全部資源。但是從外部接入的程序一般沒(méi)有對(duì)硬盤操作訪問(wèn)的權(quán)限。木馬服務(wù)器端就是利用了這個(gè)規(guī)則，植入目標(biāo)主機(jī)，誘導(dǎo)用戶執(zhí)行，獲取目標(biāo)主機(jī)的操作權(quán)限，以達(dá)到控制目標(biāo)主機(jī)的目的的。

木馬程序的服務(wù)器端程序是需要植入到目標(biāo)主機(jī)的部分，植入目標(biāo)主機(jī)后作為響應(yīng)程序?？蛻舳顺绦蚴怯脕?lái)控制目標(biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)上，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。

典型的木馬工作原理是：當(dāng)服務(wù)器端程序在目標(biāo)主機(jī)上執(zhí)行后，木馬打開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽，當(dāng)客戶端(控制端)向服務(wù)器端(被控主機(jī))提出連接請(qǐng)求時(shí)，被控主機(jī)上的木馬程序就會(huì)自動(dòng)應(yīng)答客戶端的請(qǐng)求，服務(wù)器端程序與客戶端建立連接后，客戶端(控制端)就可以發(fā)送各類控制指令對(duì)服務(wù)器端(被控主機(jī))進(jìn)行完全控制，其操作幾乎與在被控主機(jī)的本機(jī)操作的權(quán)限完全相同。

木馬軟件的終極目標(biāo)是實(shí)現(xiàn)對(duì)目標(biāo)主機(jī)的控制，但是為了實(shí)現(xiàn)此目標(biāo)，木馬軟件必須采取多種方式偽裝，以確保更容易地傳播，更隱蔽地駐留在目標(biāo)主機(jī)中。

下面介紹木馬的種植原理和木馬的隱藏。

(1)木馬種植原理

木馬程序最核心的一個(gè)要求是能夠?qū)⒎?wù)器端程序植入目標(biāo)主機(jī)。木馬種植(傳播)的方式一般包括以下3種。

1)通過(guò)電子郵件附件夾帶

這是最常用也是比較有效的一種方式。木馬傳播者將木馬服務(wù)器端程序以電子郵件附件的方式附加在電子郵件中，針對(duì)特定主機(jī)發(fā)送或漫無(wú)目的地群發(fā)，電子郵件的標(biāo)題和內(nèi)容一般都非常吸引人，當(dāng)用戶點(diǎn)擊閱讀電子郵件時(shí)，附件中的程序就會(huì)在后臺(tái)悄悄下載到本機(jī)。

2)捆綁在各類軟件中

黑客經(jīng)常把木馬程序捆綁在各類所謂的補(bǔ)丁、注冊(cè)機(jī)、破解程序等軟件中進(jìn)行傳播，當(dāng)用戶下載相應(yīng)的程序時(shí)，木馬程序也會(huì)被下載到自己的計(jì)算機(jī)中，這類方式的隱蔽度和成功率較高。

3)網(wǎng)頁(yè)掛馬

網(wǎng)頁(yè)掛馬是在正常瀏覽的網(wǎng)頁(yè)中嵌入特定的腳本代碼，當(dāng)用戶瀏覽該網(wǎng)頁(yè)時(shí)，嵌入網(wǎng)頁(yè)的腳本就會(huì)在后臺(tái)自動(dòng)下載其指定的木馬并執(zhí)行。其中網(wǎng)頁(yè)是網(wǎng)頁(yè)木馬的核心部分，特定的網(wǎng)頁(yè)代碼使網(wǎng)頁(yè)被打開時(shí)木馬能隨之下載并執(zhí)行。網(wǎng)頁(yè)掛馬大多利用瀏覽器的漏洞來(lái)實(shí)現(xiàn)，也有利用ActiveX控件或釣魚網(wǎng)頁(yè)來(lái)實(shí)現(xiàn)的。

(2)木馬程序隱藏

木馬程序?yàn)榱四芨玫囟氵^(guò)用戶的檢查，以悄悄控制用戶系統(tǒng)，必須采用各種方式將其隱藏在用戶系統(tǒng)中。木馬為了達(dá)到長(zhǎng)期隱藏的目的，通常會(huì)同時(shí)采用多種隱藏技術(shù)。木馬程序隱藏的方式有很多，主要包括以下4類：

① 通過(guò)將木馬程序設(shè)置為系統(tǒng)、隱藏或是只讀屬性來(lái)實(shí)現(xiàn)隱藏;

② 通過(guò)將木馬程序命名為和系統(tǒng)文件的名稱極度相似的文件名，從而使用戶誤認(rèn)為其是系統(tǒng)文件而忽略之;

③ 將木馬程序存放在不常用或難以發(fā)現(xiàn)的系統(tǒng)文件目錄中;

④ 將木馬程序存放的區(qū)域設(shè)置為壞扇區(qū)的硬盤磁道。

(3)木馬啟動(dòng)隱藏

木馬程序在啟動(dòng)時(shí)必須讓操作系統(tǒng)或殺毒軟件無(wú)法發(fā)現(xiàn)自身才能駐留系統(tǒng)。木馬程序啟動(dòng)的隱藏方式介紹如下。

1)文件偽裝

木馬最常用的文件隱藏方式是將木馬文件偽裝成本地可執(zhí)行文件。例如，木馬程序經(jīng)常會(huì)將自己偽裝成圖片文件，修改其圖標(biāo)為Windows默認(rèn)的圖片文件圖標(biāo)，同時(shí)修改木馬文件擴(kuò)展名為.jpg、.exe等，由于Windows默認(rèn)設(shè)置不顯示已知的文件后綴名，因此文件將會(huì)顯示為.jpg，當(dāng)用戶以正常圖片文件打開并瀏覽其時(shí)就會(huì)啟動(dòng)木馬程序。

2)修改系統(tǒng)配置

利用系統(tǒng)配置文件的特殊作用，木馬程序很容易隱藏在系統(tǒng)啟動(dòng)項(xiàng)中。例如，Windows系統(tǒng)配置文件MSCONFIG.sys中的系統(tǒng)啟動(dòng)項(xiàng)system.ini是眾多木馬的隱藏地。Windows安裝目錄下的system.ini[boot]字段中，正常情況下有boot=“Explorer.exe”，如果其后面有其他的程序，如boot=“Explorer.exe file.exe”，則這里的file.exe就有可能是木馬服務(wù)端程序。

3)利用系統(tǒng)搜索規(guī)則

Windows系統(tǒng)搜尋一個(gè)不帶路徑信息的文件時(shí)遵循“從外到里”的規(guī)則，它會(huì)由系統(tǒng)所在的盤符的根目錄開始向系統(tǒng)目錄深處遞進(jìn)查找，而不是精確定位。這就意味著，如果有兩個(gè)同樣名稱的文件分別放在“C:\”和“C:\WINDOWS”下時(shí)，搜索會(huì)執(zhí)行C:\下的程序，而不是C:\WINDOWS下的程序。這樣的搜尋規(guī)則就給木馬提供了一個(gè)機(jī)會(huì)，木馬可以把自己改為系統(tǒng)啟動(dòng)時(shí)必定會(huì)調(diào)用的某個(gè)文件，并復(fù)制到比原文件的目錄淺一級(jí)的目錄里，操作系統(tǒng)就會(huì)執(zhí)行這個(gè)木馬程序，而不是正常的那個(gè)程序。若要提防這種占用系統(tǒng)啟動(dòng)項(xiàng)而做到自動(dòng)運(yùn)行的木馬，則用戶必須了解自己的計(jì)算機(jī)里所有正常的啟動(dòng)項(xiàng)信息。

4)替換系統(tǒng)文件

木馬程序會(huì)利用系統(tǒng)里的那些不會(huì)危害到系統(tǒng)正常運(yùn)行而又會(huì)被經(jīng)常調(diào)用的程序文件，如輸入法指示程序。木馬程序會(huì)替換掉原來(lái)的系統(tǒng)文件，并把原來(lái)的系統(tǒng)文件名改成只有木馬程序知道的一個(gè)生僻文件名。只要系統(tǒng)調(diào)用那個(gè)被替換的程序，木馬就能繼續(xù)駐留內(nèi)存。木馬程序作為原來(lái)的程序被系統(tǒng)啟動(dòng)時(shí)，會(huì)獲得一個(gè)由系統(tǒng)傳遞來(lái)的運(yùn)行參數(shù)，此時(shí)，木馬程序就把這個(gè)參數(shù)傳遞給被改名的程序執(zhí)行。

(4)木馬進(jìn)程隱藏

木馬程序運(yùn)行后的進(jìn)程隱藏有兩種情況：一種是木馬程序的進(jìn)程存在，只是不出現(xiàn)在進(jìn)程列表里，采用APIHOOK技術(shù)攔截有關(guān)系統(tǒng)函數(shù)的調(diào)用以實(shí)現(xiàn)運(yùn)行時(shí)的隱藏;另一種是木馬不以一個(gè)進(jìn)程或者服務(wù)的方式工作，而是將其核心代碼以線程或DLL的方式注入合法進(jìn)程，用戶很難發(fā)現(xiàn)被插入的線程或DLL，從而達(dá)到木馬隱藏的目的。

在Windows系統(tǒng)中常見的隱藏方式有注冊(cè)表DLL插入、特洛伊DLL、動(dòng)態(tài)嵌入技術(shù)、CreateProcess插入和調(diào)試程序插入等。

(5)木馬通信時(shí)的信息隱藏

木馬運(yùn)行時(shí)需要通過(guò)網(wǎng)絡(luò)與外機(jī)通信，以獲取外機(jī)的控制命令或向外機(jī)發(fā)送信息。木馬通信時(shí)的信息隱藏主要包括通信內(nèi)容、流量、信道和端口的隱藏。

木馬常用的通信內(nèi)容隱藏方法是對(duì)通信內(nèi)容進(jìn)行加密。通信信道的隱藏一般采用網(wǎng)絡(luò)隱蔽通道技術(shù)。在TCP/IP族中，有許多冗余信息可用于建立網(wǎng)絡(luò)隱蔽通道。木馬可以利用這些網(wǎng)絡(luò)隱蔽通道突破網(wǎng)絡(luò)安全機(jī)制。比較常見的有：ICMP畸形報(bào)文傳遞、HTTP隧道技術(shù)、自定義 TCP/UDP報(bào)文等。木馬采用網(wǎng)絡(luò)隱蔽通道技術(shù)時(shí)，如果選用一般的安全策略都會(huì)允許的端口(如80端口)進(jìn)行通信，則可輕易穿透防火墻和避過(guò)入侵檢測(cè)系統(tǒng)等安全機(jī)制的檢測(cè)，從而獲得較強(qiáng)的隱蔽性。通信流量的隱藏一般采用監(jiān)控系統(tǒng)網(wǎng)絡(luò)通信的方式，當(dāng)監(jiān)測(cè)到系統(tǒng)中存在其他通信流量時(shí)，木馬程序就會(huì)啟動(dòng)通信;當(dāng)不存在其他通信流量時(shí)，木馬程序就會(huì)處于監(jiān)聽狀態(tài)，等待其他通信開啟。

(6)木馬隱蔽加載

木馬隱蔽加載是指通過(guò)修改虛擬設(shè)備驅(qū)動(dòng)程序(VxD)或動(dòng)態(tài)鏈接庫(kù)(DLL)來(lái)加載木馬。這種方法基本上擺脫了原有的木馬模式——監(jiān)聽端口，而采用了替代系統(tǒng)功能的方法(改寫VxD或DLL文件)：木馬用修改后的DLL替換系統(tǒng)原來(lái)的DLL，并對(duì)所有的函數(shù)調(diào)用進(jìn)行過(guò)濾。對(duì)于常用函數(shù)的調(diào)用，木馬會(huì)使用函數(shù)轉(zhuǎn)發(fā)器將其直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL;對(duì)于一些事先約定好的特殊情況，木馬會(huì)自動(dòng)執(zhí)行。一般情況下，DLL只是進(jìn)行監(jiān)聽，一旦發(fā)現(xiàn)控制端的請(qǐng)求，其就會(huì)激活自身。這種木馬沒(méi)有增加新的文件，不需要打開新的端口，沒(méi)有新的進(jìn)程，使用常規(guī)的方法無(wú)法監(jiān)測(cè)到。在正常運(yùn)行時(shí)，木馬幾乎沒(méi)有任何蹤跡，只有在木馬的控制端向被控制端發(fā)出特定的信息后，隱藏的木馬程序才會(huì)開始運(yùn)行。