【正文】 件部分和具體連接部分組成?！　。?1）硬件部分：即建立木馬連接所必須的硬件實(shí)體。包括以下三個(gè)部分。　　控制端：對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方?！　》?wù)端：被控制端遠(yuǎn)程控制的一方?！　?Inter：控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。 　?。?2）軟件部分：即實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。包括以下三個(gè)部分?！　】刂贫顺绦颍嚎刂贫擞靡赃h(yuǎn)程控制服務(wù)端的程序?！　∧抉R程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序?！　∧抉R配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序?！　。?3）具體連接部分：即通過(guò) Inter在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。包括以下二個(gè)部分?！　】刂贫?IP，服務(wù)端 IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍！　】刂贫硕丝冢抉R端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過(guò)這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬程序?！　?3．木馬的傳播　?。?1）傳播方式　　木馬的傳播方式主要有兩種：　　一種是通過(guò) EMAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬；　　另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。　?。?2）木馬的偽裝方式　　木馬設(shè)計(jì)者開(kāi)發(fā)了多種功能來(lái)偽裝木馬，以達(dá)到降低用戶警覺(jué)，欺騙用戶的目的?！　?① 修改圖標(biāo)　　現(xiàn)在，已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成 HTML、 TXT、 ZIP等各種文件的圖標(biāo)，這有相當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見(jiàn)，并且這種偽裝也不是無(wú)懈可擊的?！　?② 捆綁文件　　這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無(wú)察覺(jué)的情況下，偷偷的進(jìn)入了系統(tǒng)。被捆綁的文件一般是可執(zhí)行文件（即 EXE， COM一類的文件）。　　 ③ 出錯(cuò)顯示　　如果打開(kāi)一個(gè)文件，沒(méi)有任何反應(yīng)，這很可能就是個(gè)木馬程序，木馬的設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷，所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開(kāi)木馬程序時(shí)，會(huì)彈出一個(gè)錯(cuò)誤提示框（當(dāng)然是假的），錯(cuò)誤內(nèi)容可自由定義，大多會(huì)定制成一些諸如 “文件已破壞，無(wú)法打開(kāi)的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí)，木馬卻悄悄侵入了系統(tǒng)。　　 ④ 定制端口　　很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來(lái)了方便，只要查一下特定的端口就知道感染了什么木馬，所以現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在 1024～ 65535之間任選一個(gè)端口作為木馬端口（一般不選 1024以下的端口），這樣就給判斷所感染木馬類型帶來(lái)了麻煩?！　?⑤ 自我銷毀　　這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。當(dāng)服務(wù)端用戶打開(kāi)含有木馬的文件后，木馬會(huì)將自己復(fù)制到 WINDOWS的系統(tǒng)文件夾中（ C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下）。一般來(lái)說(shuō)原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的（捆綁文件的木馬除外），那么中了木馬的人只要在近來(lái)收到的信件和下載的軟件中找到原木馬文件，然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件，判斷一下哪個(gè)是木馬就行了。　　而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來(lái)源，在沒(méi)有查殺木馬的工具幫助時(shí)，就很難刪除木馬了?！　?⑥ 木馬更名　　安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章，按圖索驥在系統(tǒng)文件夾查找特定的文件，就可以斷定中了什么木馬，所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了?！　?4．木馬的運(yùn)行　　服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中（ C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下），然后在注冊(cè)表，啟動(dòng)組，非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了?！　。?1）自啟動(dòng)激活木馬 　　自啟動(dòng)木馬的條件，大致出現(xiàn)在下面 6個(gè)地方?！　?① 注冊(cè)表：打開(kāi)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的 Run和 RunServices的主鍵，在其中尋找可能是啟動(dòng)木馬的鍵值?！　?② ： C:\WINDOWS目錄下有一個(gè)配置文件 ，用文本文件方式打開(kāi)，在 [windows]字段中有啟動(dòng)命令 load=和 run=，在一般情況下是空白的，如果有啟動(dòng)程序，可能是木馬?！　?③ ： C:\WINDOWS目錄下有個(gè)配置文件 ，用文本文件方式打開(kāi)，在[386Enh]， [mic]， [drivers32]中有命令行，在其中尋找木馬的啟動(dòng)命令?！　?④ ：在 C盤(pán)根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行?！　?⑤ *.INI：即應(yīng)用程序的啟動(dòng)配置文件?？刂贫死眠@些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了?！　?⑥ 啟動(dòng)菜單：在 “開(kāi)始 /程序 /啟動(dòng) ”菜單下也可能有木馬的觸發(fā)條件。　　 （ 2）觸發(fā)式激活木馬　　 ① 注冊(cè)表：打開(kāi) HKEY_CLASSES_ROOT文件類型 \shellopenmand主鍵，查看其鍵值?！　?② 捆綁文件：實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了?！　?③ 自動(dòng)播放式：自動(dòng)播放本是用于光盤(pán)的，當(dāng)插入一個(gè)電影光盤(pán)到光驅(qū)時(shí)，系統(tǒng)會(huì)自動(dòng)播放里面的內(nèi)容，這就是自動(dòng)播放的本意，播放什么是由光盤(pán)中的 ，修改 中的 open一行可以指定在自動(dòng)播放過(guò)程中運(yùn)行的程序。后來(lái)有人用于了硬盤(pán)與 U盤(pán)，在 U盤(pán)或硬盤(pán)的分區(qū)，創(chuàng)建 ，并在 Open中指定木馬程序，這樣，當(dāng)你打開(kāi)硬盤(pán)分區(qū)或 U盤(pán)時(shí)，就會(huì)觸發(fā)木馬程序的運(yùn)行?！　∧抉R作者還在不斷尋找 “可乘之機(jī) ”，這里只是舉例，還會(huì)不斷的有自啟動(dòng)的地方被挖掘出來(lái)?！　?（ 3）木馬運(yùn)行過(guò)程 　　木馬被激活后，進(jìn)入內(nèi)存，并開(kāi)啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用戶可以在命令提示符方式下，鍵入 NETSTAT AN查看端口狀態(tài)，一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開(kāi)放的，如果有端口開(kāi)放，你就要注意是否感染木馬了。　　在上網(wǎng)過(guò)程中要下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開(kāi)一些端口，除這些端口基本可以排除在外，如發(fā)現(xiàn)還有其他端口打開(kāi)，尤其是數(shù)值比較大的端口，那就要懷疑是否感染了木馬，當(dāng)然如果木馬有定制端口的功能，那任何端口都有可能是木馬端口?！　?5．信息泄露　　一般來(lái)說(shuō)，設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集一些服務(wù)端的軟硬件信息，并通過(guò) EMAIL， IRC或 ICO等方式告知控制端用戶?！　姆答佇畔⒅锌刂贫丝梢灾婪?wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤(pán)分區(qū)況，系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端 IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立連接?！　?6．木馬的連接　　一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端建立連接?！　?7．遠(yuǎn)程控制　　木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。　　控制端上的控制端程序可用這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制?！　∠旅娼榻B一下控制端具體能享有哪些控制權(quán)限?！　。?1）竊取密碼?！　。?2）文件操作?！　。?3）修改注冊(cè)表?！　。?4）系統(tǒng)操作。　　 8．木馬和病毒　　木馬和病毒都是一種人為的程序，都屬于電腦病毒，為什么木馬要單獨(dú)提出來(lái)說(shuō) ?　　大家都知道以前的電腦病毒的作用，其實(shí)完全就是為了搞破壞，破壞電腦里的資料數(shù)據(jù)?！　?“木馬 ”不一樣，木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼、數(shù)據(jù)等，如盜竊管理員密碼搞破壞，或者偷竊上網(wǎng)密碼、游戲賬號(hào)、股票賬號(hào)、甚至網(wǎng)上銀行賬戶等，達(dá)到偷窺別人隱私和得到經(jīng)濟(jì)利益的目的，所以木馬的作用比早期的電腦病毒更能夠直接達(dá)到使用者的目的，導(dǎo)致許多別有用心的程序開(kāi)發(fā)者大量的編寫(xiě)這類帶有偷竊和監(jiān)視別人電腦的侵入性程序，這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因?！　¤b于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣，所以木馬雖然屬于病毒中的一類，但是要單獨(dú)的從病毒類型中間剝離出來(lái)，獨(dú)立的稱之為 “木馬 ”程序?！　?shí)際上一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能?！　“巡闅⒛抉R程序單獨(dú)剝離出來(lái)，可以提高查殺效率，現(xiàn)在很多殺毒軟件里的木馬專殺程序只對(duì)木馬進(jìn)行查殺，不去檢查普通病毒庫(kù)里的病毒代碼，也就是說(shuō)當(dāng)用戶運(yùn)行木馬專殺程序的時(shí)候，程序只調(diào)用木馬代碼庫(kù)里的數(shù)據(jù)，而不調(diào)用病毒代碼庫(kù)里的數(shù)據(jù)，大大提高木馬查殺速度。　　 9．木馬的防治　　為了防治木馬的危害，可采取以下措施：　?。?1）安裝殺毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)?！　。?2）把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。　?。?3）可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具?！　。?4）如果使用 IE瀏覽器，應(yīng)該安裝卡卡安全助手或 360安全衛(wèi)士之類保護(hù)軟件，防止惡意網(wǎng)站在自己電腦上安裝不明軟件和瀏覽器插件，以免被木馬趁機(jī)侵入?！　? 惡意軟件　　 1．什么是惡意軟件　　 “惡意軟件 ”用作一個(gè)集合名詞，指故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲(chóng)和木馬。　　網(wǎng)絡(luò)用戶在瀏覽一些惡意網(wǎng)站，或者從不安全的站點(diǎn)下載游戲或其他程序時(shí)，往往會(huì)連合惡意程序一并帶入自己的電腦，而用戶本人對(duì)此絲毫不知情。直到有惡意廣告不斷彈出或色情網(wǎng)站自動(dòng)出現(xiàn)時(shí)，用戶才有可能發(fā)覺(jué)電腦已 “中毒 ”。在惡意軟件未被發(fā)現(xiàn)的這段時(shí)間，用戶網(wǎng)上的所有敏感資料都有可能被盜走，比如銀行賬戶信息，信用卡密碼等。　　這些讓受害者的電腦不斷彈出色情網(wǎng)站或者是惡意廣告的程序就叫做惡意軟件，它們也叫做流氓軟件。　　 2．惡意軟件的特征　?。?1）強(qiáng)制安裝　　（ 2）難以卸載　?。?3）瀏覽器劫持　?。?4）廣告彈出　?。?5）惡意收集用戶信息　?。?6）惡意卸載其他正常軟件　　（ 7）惡意捆綁　?。?8）其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為?！　?3．惡意軟件的防治　　惡意軟件由多種威脅組成，需要采取多種方法和技術(shù)來(lái)保護(hù)系統(tǒng)。如采用防火墻來(lái)過(guò)濾潛在的破壞性代碼，采用垃圾郵件過(guò)濾器、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)等來(lái)加固網(wǎng)絡(luò)，加強(qiáng)對(duì)破壞性代碼的防御能力?！　〈_保在所有的桌面系統(tǒng)和服務(wù)器上安裝最新的瀏覽器、操作系統(tǒng)、應(yīng)用程序補(bǔ)丁，并確保垃圾郵件和瀏覽器的安全設(shè)置達(dá)到適當(dāng)水平。確保安裝所有的安全軟件，并及時(shí)更新?！　〔灰跈?quán)普通用戶使用管理員權(quán)限，特別要注意不要讓其下載和安裝設(shè)備驅(qū)動(dòng)程序，因?yàn)檫@正是許多惡意軟件乘虛而入的方式?！　≈贫ㄌ幚韾阂馐录牟呗裕诙鄠€(gè)部門(mén)組建可實(shí)現(xiàn)協(xié)調(diào)響應(yīng)職責(zé)并能夠定期執(zhí)行安全培訓(xùn)的團(tuán)隊(duì)。　　作為反惡意軟件防御工具，反病毒程序可以保護(hù)計(jì)算機(jī)免受病毒、蠕蟲(chóng)、特洛伊木馬的威脅。近幾年來(lái)，反病毒軟件的開(kāi)發(fā)商已經(jīng)逐漸將垃圾郵件和間諜軟件等威脅的防御功能集成到其產(chǎn)品中。　　 360安全衛(wèi)士簡(jiǎn)介 　　 360安全衛(wèi)士是一款安全類上網(wǎng)輔助軟件，它擁有查殺惡意軟件，插件管理，病毒查殺，診斷及修復(fù)，保護(hù)等多項(xiàng)功能，同時(shí)還提供彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能?！　。?1）系統(tǒng)全面診斷　?。?2）修復(fù)系統(tǒng)漏洞　?。?3）清理惡評(píng)插件　　（ 4）木馬查殺　?。?5）實(shí)時(shí)保護(hù)功能　　（ 6） ARP病毒防火墻雙向