特洛伊木馬
出自 MBA智库百科(https://wiki.mbalib.com/)
特洛伊木馬(Trojan Horse)
目錄 |
特洛伊木馬,在電腦領域中指的是一種後門程式,是黑客用來盜取其他用戶的個人信息,甚至是遠程式控制制對方的電腦而加殼製作,然後通過各種手段傳播或者騙取目標用戶執行該程式,以達到盜取密碼等各種數據資料等目的。與病毒相似,木馬程式有很強的隱秘性,隨操作系統啟動而啟動。
“木馬”這一名稱來源於希臘神話特洛伊戰爭的特洛伊木馬。攻城的希臘聯軍佯裝撤退後留下一隻木馬,特洛伊人將其當作戰利品帶回城內。當特洛伊人為勝利而慶祝時,從木馬中出來了一隊希臘兵,它們悄悄打開城門,放進了城外的軍隊,最終攻剋了特洛伊城。電腦中所說的木馬與病毒一樣也是一種有害的程式,其特征與特洛伊木馬一樣具有偽裝性,看起來挺好的,卻會在用戶不經意間,對用戶的電腦系統產生破壞或竊取數據,特別是用戶的各種賬戶及口令等重要且需要保密的信息,甚至控制用戶的電腦系統。
一個完整的特洛伊木馬套裝程式包含兩部分:服務端(伺服器部分)和客戶端(控制器部分)。植入對方電腦的是服務端,而黑客正是利用客戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開埠,向指定地點發送數據(如網路游戲的密碼,即時通信軟體密碼和用戶上網密碼等),黑客甚至可以利用這些打開的埠進入電腦系統。
特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的,它可能看起來是有用或者有趣的項目(或者至少無害)對一不懷疑的用戶來說,但是實際上有害當它被運行。 特洛伊木馬不會自動運行,它是暗含在某些用戶感興趣的文檔中,用戶下載時附帶的。當用戶運行文檔程式時,特洛伊木馬才會運行,信息或文檔才會被破壞和丟失。 特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設置的。
特洛伊木馬有兩種,universale的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
特洛伊木馬的特點[1]
1、隱蔽性。
特洛伊木馬的隱蔽性是其最重要的特征,如果一種特洛伊木馬不能很好地隱藏在目標電腦或網路中就會被用戶或安全軟體發現和查殺,也就無法生存下去了。
2、自動運行性。
特洛伊木馬必須是自動啟動和運行的程式,因此其採取的方法可能是嵌入在啟動配置文件或者註冊表中。
3、欺騙性。
特洛伊木馬要想不被用戶或安全軟體發現和查殺,常常將自己偽裝成一般的文件或系統和程式的圖標,其名字往往偽裝成一般的文件或程式名字,例如 win、dll、sys 等。
4、頑固性。
特洛伊木馬一旦被髮現就會面臨被清除的危險,此時部分特洛伊木馬能夠在用戶或安全軟體查殺的過程中潛伏下來而不被清除掉。
5、易植入性。
特洛伊木馬實現其控制或監視目的的前提是能滲透進入目標電腦,所以特洛伊木馬必須具備神不知鬼不覺地進入目標電腦的能力。
通過上面對木馬特性的分析,可以看到特洛伊木馬非常強調隱蔽能力和感染能力,其已經將蠕蟲病毒的技術吸收了進來。
特洛伊木馬的偽裝方法[2]
1、修改圖標
木馬服務端所用的圖標也是有講究的,木馬經常故意偽裝成了XT.HTML等你可能認為對系統沒有多少危害的文件圖標,這樣很容易誘惑你把它打開。
2、捆綁文件
這種偽裝手段是將木馬捆綁到一個安裝程式上,當安裝程式運行時,木馬在用戶毫無察覺的情況下,偷偷地進入了系統。被捆綁的文件一般是可執行文件 (即EXE、COM一類的文件)。
3、出錯顯示
有一定木馬知識的人部知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程式。木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程式時,會彈出一個錯誤提示框 (這當然是假的),錯誤內容可自由定義,大多會定製成一些諸如 "文件已破壞,無法打開!"之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵人了系統。
4、自我銷毀
這項功能是為了彌補木馬的一個缺陷。我們知道,當服務端用戶打開含有木馬的文件後,木馬會將自己拷貝到Windows的系統文件夾中(C:\windows或C:\windows\system目錄下),一般來說,源木馬文件和系統文件夾中的木馬文件的大小是一樣的 (捆綁文件的木馬除外),那麼,中了木馬的朋友只要在收到的信件和下載的軟體中找到源木馬文件,然後根據源木馬的大小去系統文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬後,源木馬文件自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具幫助下,就很難刪除木馬了。
複雜