特洛伊木马
出自 MBA智库百科(https://wiki.mbalib.com/)
特洛伊木马(Trojan Horse)
目录 |
特洛伊木马,在计算机领域中指的是一种后门程序,是黑客用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。
“木马”这一名称来源于希腊神话特洛伊战争的特洛伊木马。攻城的希腊联军佯装撤退后留下一只木马,特洛伊人将其当作战利品带回城内。当特洛伊人为胜利而庆祝时,从木马中出来了一队希腊兵,它们悄悄打开城门,放进了城外的军队,最终攻克了特洛伊城。计算机中所说的木马与病毒一样也是一种有害的程序,其特征与特洛伊木马一样具有伪装性,看起来挺好的,却会在用户不经意间,对用户的计算机系统产生破坏或窃取数据,特别是用户的各种账户及口令等重要且需要保密的信息,甚至控制用户的计算机系统。
一个完整的特洛伊木马套装程序包含两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的,它可能看起来是有用或者有趣的项目(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。 特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
特洛伊木马有两种,universale的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
特洛伊木马的特点[1]
1、隐蔽性。
特洛伊木马的隐蔽性是其最重要的特征,如果一种特洛伊木马不能很好地隐藏在目标计算机或网络中就会被用户或安全软件发现和查杀,也就无法生存下去了。
2、自动运行性。
特洛伊木马必须是自动启动和运行的程序,因此其采取的方法可能是嵌入在启动配置文件或者注册表中。
3、欺骗性。
特洛伊木马要想不被用户或安全软件发现和查杀,常常将自己伪装成一般的文件或系统和程序的图标,其名字往往伪装成一般的文件或程序名字,例如 win、dll、sys 等。
4、顽固性。
特洛伊木马一旦被发现就会面临被清除的危险,此时部分特洛伊木马能够在用户或安全软件查杀的过程中潜伏下来而不被清除掉。
5、易植入性。
特洛伊木马实现其控制或监视目的的前提是能渗透进入目标计算机,所以特洛伊木马必须具备神不知鬼不觉地进入目标计算机的能力。
通过上面对木马特性的分析,可以看到特洛伊木马非常强调隐蔽能力和感染能力,其已经将蠕虫病毒的技术吸收了进来。
特洛伊木马的伪装方法[2]
1、修改图标
木马服务端所用的图标也是有讲究的,木马经常故意伪装成了XT.HTML等你可能认为对系统没有多少危害的文件图标,这样很容易诱惑你把它打开。
2、捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE、COM一类的文件)。
3、出错显示
有一定木马知识的人部知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框 (这当然是假的),错误内容可自由定义,大多会定制成一些诸如 "文件已破坏,无法打开!"之类的信息,当服务端用户信以为真时,木马却悄悄侵人了系统。
4、自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道,当服务端用户打开含有木马的文件后,木马会将自己拷贝到Windows的系统文件夹中(C:\windows或C:\windows\system目录下),一般来说,源木马文件和系统文件夹中的木马文件的大小是一样的 (捆绑文件的木马除外),那么,中了木马的朋友只要在收到的信件和下载的软件中找到源木马文件,然后根据源木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,源木马文件自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
复杂