【正文】 初采源于單機(jī)系統(tǒng)。在應(yīng)用開發(fā)中就像使用文件句柄一攔．可以對Socket句柄進(jìn)行讀寫操作。一個套接口通常和同一個域中的套接口交換數(shù)據(jù)(數(shù)據(jù)交換也可能穿越域的界限．但這時一定要執(zhí)行某種解釋程序)。實際上socket在計算機(jī)中提供了一個通信端口(套接口)，通過這個端口，一臺計算機(jī)可以與任何一臺具有Socket接口的計算機(jī)通信，通信的基礎(chǔ)是套接口，一個套接口是通訊的一端，在這一端上可以找到與其對應(yīng)的一個名字。這個API就稱為Socket(套接字)接口。20世紀(jì)80年代初，美國政府的高級研究工程機(jī)構(gòu)(ARPA)給加利福尼亞大學(xué)Berkeley分校提供了資金，讓他們在Unix操作系統(tǒng)下實現(xiàn)TCP／IP協(xié)議。首先，進(jìn)行網(wǎng)絡(luò)操作的兩個進(jìn)程在不同機(jī)器上，如何建立它們之間的聯(lián)系?其次，有很多種網(wǎng)絡(luò)協(xié)議。． Socket的基本概念Socket的引入隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，Tc聃P協(xié)議被集成到操作系統(tǒng)內(nèi)核中時，相當(dāng)于在操作系統(tǒng)中引入了一種新型的輸入／輸出操作。在木馬程序中，在控制端和被控制端進(jìn)行數(shù)據(jù)通訊，使用的主要技術(shù)就是網(wǎng)編程技術(shù)和系統(tǒng)編程技術(shù)，在本節(jié)，我們將介紹這些技術(shù)的實現(xiàn)方法。其破壞力之大，是絕不容忽視的。所以，不小心被木馬入侵的話，可能警察找上門來，用戶卻還茫然不知原因呢。例如，打開FTP服務(wù)，儲存一些盜版軟件，供其他用戶下載。并不是各種網(wǎng)絡(luò)服務(wù)都可以花錢購買的，例如要架設(shè)一個色情網(wǎng)站，向用戶發(fā)送色情刊物，恐怕沒有哪一個網(wǎng)絡(luò)服務(wù)提供商可以提供這樣的空間給用戶。這樣用戶硬盤上存儲的所有數(shù)據(jù)，都將成為黑客的囊中之物。被黑客設(shè)定為代理服務(wù)器的計算機(jī)，更成為成千上萬網(wǎng)絡(luò)用戶數(shù)據(jù)傳輸?shù)闹欣^站，用戶本人幾乎無法正常上網(wǎng)。首先，額外的服務(wù)將占用大量的帶寬，讓用戶可用的帶寬減少。占用帶寬因此，這就讓黑客有了可乘之機(jī)，可以在用戶不知不覺的情況下，安裝及打開某些服務(wù)。對于用言而言，如果受到帶有遠(yuǎn)程桌面控制功能的木馬入侵，將會完全失去計算機(jī)的控制權(quán)，這時除了強(qiáng)行拔除網(wǎng)絡(luò)連接線之外，無法擺脫受到控制的命運(yùn)。通過遠(yuǎn)程桌面控制功能，黑客不但可以監(jiān)視用戶正在進(jìn)行的操作，在需要時還可以奪取用戶的控制權(quán)，由黑客直接使用目前登入的賬戶操作遠(yuǎn)程計算饑。遠(yuǎn)程屏幕畫面截取的功能雖然強(qiáng)大，對于黑客而言，只能觀看用戶的操作結(jié)果，并不能由自己主動操控始終有些可惜，特別是將要顯示關(guān)鍵信息時，用戶若關(guān)閉了文件，不知?dú)鈮牧硕嗌僬跒g覽遠(yuǎn)程屏幕的黑客。大多數(shù)支持屏幕畫面截取的木馬，都可以將截取到的圖像另存為圖文件，一些還具有自動存盤功能?；蛟S有些用戶還抱著最后的希望，處理文件的時間很短，黑客不會記錄下所有數(shù)據(jù)吧。因為用，住屏幕上所看到的一切，將全部顯示在黑客的屏幕上。遠(yuǎn)程屏幕畫面截取功能，雖然不能獲得文件本身，但是它的可怕之處在于，可以讓黑客獲得最終的輸出結(jié)果。不少黑客會因此望而卻步，放棄竊取到的數(shù)據(jù)。 為了安全起見，許多公司的數(shù)據(jù)都是加密儲存的，黑客即使竊取到文件，如果不解密將會看到一堆沒有仔何意義的亂碼。為了獲得這些機(jī)密或是刺探用戶的個人隱私，黑客會使用遠(yuǎn)程監(jiān)控功能，監(jiān)看用戶的一舉一動。例如，在電子郵件開始普及的那段時期，竊取用戶郵件密碼的木馬曾盛極一時，而流行網(wǎng)絡(luò)游戲的今天，有越來越多的木馬程序則添加了竊取網(wǎng)絡(luò)游戲賬戶的功能。由于相當(dāng)多的用戶安全意識并不高，例如會在公共計算機(jī)上處理財務(wù)等等，因此讓黑客有通過記錄鍵盤輸入或直接從瀏覽器的字段獲得密碼的機(jī)會。由于電子商務(wù)、網(wǎng)絡(luò)銀行等服務(wù)的普及，越來越多的用戶會通過網(wǎng)絡(luò)處理財務(wù)問題。由于幾乎所有的網(wǎng)絡(luò)財務(wù)處理，都是使用SSL連接加密傳送，所以黑客要從網(wǎng)絡(luò)截取并破解的難度極高。為了達(dá)到這個目的，針對不同的系統(tǒng)，木馬程序會使用不同的方法：密碼的竊取可以分為以下幾類：竊取本機(jī)密碼是木馬最常見的危害，相當(dāng)多的木馬程序都提供這類功能。一旦它悄悄溜進(jìn)用戶的計算機(jī)，一場使人欲哭無淚的悲劇就開始上演了。既然防火墻和代理服務(wù)器都奈何不了此類木馬，用戶也很難判斷是否中了此類木馬，那么有么方式才可以清除它昵?其實，最新的木馬清除工具或殺毒程序就可以消滅此類木馬，因為木馬在磁盤中總是會遺留下某些特征，包括啟動項目、木馬服務(wù)器端程序等，只要木馬被人發(fā)現(xiàn)，都會立刻加到最新木馬特征數(shù)據(jù)庫中，所以使用這些工具來清除木馬，當(dāng)然就沒問題了。這種木馬的特點(diǎn)是可以繞過防火墻或代理服務(wù)器，因為它是主動傳送封包，而且使用80端口，幾乎所有的防火墻都不會丟棄這種封包，而且代理服務(wù)器也允許用戶訪問外部網(wǎng)站，所以這類木馬可以大行其道。在netstat．exe指令的輸出中，我們可以看到計算機(jī)連接至外部網(wǎng)站的80端口。 通過網(wǎng)站控制的木馬通過網(wǎng)站控制的木馬實際上也是C／S結(jié)構(gòu)，只是木馬客戶端程序沒有直接與服務(wù)器端程序通訊，而是通過中間層來完成，計算機(jī)誤中了木馬程序后，木馬服務(wù)器程序?qū)?shù)據(jù)傳送至默認(rèn)的網(wǎng)站，黑客就可以存網(wǎng)站中發(fā)布指令，然后這些指令會回傳至計算機(jī)執(zhí)行。很多防火墻都內(nèi)建了丟棄ICMPECHO、ICMPECHOREPLY封包的選項，這個選項對用戶來說足不友好的，岡為他們不可以利用ping．exe指令來確定是否能夠訪問遠(yuǎn)程計算機(jī)，但是卻可以有效地防范ICMP風(fēng)暴或ICMP木馬，所以必須在安全性和可用性兩者之間作個取舍。于是，黑客就得到ping．exe指令的啟發(fā)，將木馬服務(wù)器端偽裝成一個ping．exe的進(jìn)稱，傳送ICMP ECHO封包，并且修改封包ICMP表頭的構(gòu)造，再加上木馬控制信息，然后傳送至木馬程序客戶端，一旦服務(wù)器端接收到ICMP ECHOREPLY響應(yīng)封包，通過該封包的大小、ICMP SEQ的特征，便可以判斷是正常的ICMP ECHOREPLY封包，還是木馬客戶端所發(fā)送過來的封包，木馬服務(wù)器端便可以從該封包中譯碼出指令和數(shù)據(jù)。例如在windows中使用ping．exe偵測一臺計算機(jī)時，會向?qū)Ψ桨l(fā)送四個32字節(jié)的請求封包，然后再確定對方是否有響應(yīng)以及響應(yīng)封包回傳的時間，接著統(tǒng)計所需時間和封包遺失比率。ICMP(Internet Control Message Protocol：因特網(wǎng)控制信息通訊協(xié)議)是球的附屬協(xié)議，允許網(wǎng)絡(luò)上的計算機(jī)共享錯誤和狀態(tài)信息，ICMP常用于服務(wù)TCP或UDP，但是也可以單獨(dú)使用，其工作在口層，不通過TCP、UDP就可以直接傳送封包。 lcmp木馬 打開端口的木馬比較容易被用戶或木馬清除工具發(fā)現(xiàn)，所以便出現(xiàn)第三代木馬。在防火墻的規(guī)則中，儲存了許多木馬程序所使用的端口號，打開防火墻功能之后，此類封包便不可以通過防火墻，這樣就可以有效防范木馬程序，而且還能從防火墻的防護(hù)記錄中看到，木馬攻擊的封包都被有效的遏止了。所以很多木馬程序放棄使用TCP，而沿用UDP作為傳輸協(xié)議，因為UDP是一種不可靠的傳輸協(xié)議，通訊雙方不需在交換數(shù)據(jù)之前建立連接，只有在傳送數(shù)據(jù)的短暫時間里會打開端口。使用TCI39。一旦中了此類木馬，計算機(jī)會始終打開一個特定的端口，例如6661234123423450等都是木馬程序常用的連接端口號。第一代木馬也是使用這種方式，藉由在目標(biāo)計算機(jī)中打開連接端口，達(dá)到對計算機(jī)的磁盤進(jìn)行控制、將屏幕顯示輸出至客戶端等目的。這種方式可以讓木馬程序達(dá)到非常隱蔽的通訊效果，但缺點(diǎn)是通信數(shù)據(jù)交換的速度變慢了。使用ICMP來傳送封包可以讓數(shù)據(jù)直接從木馬客戶端程序送至服務(wù)器端。木馬服務(wù)器端與客戶端之間也可以不建立連接，因為建立連接容易被察覺，尤其是現(xiàn)在連計算機(jī)初學(xué)者都知道如何使用netstat．exe指令來查看計算機(jī)打開了哪些端口或建立連接，如果再使用連接技術(shù)只會自斷后路。木馬服務(wù)器端程序必須與客戶端程序?qū)?yīng)，所以黑客必須同時開發(fā)這兩個程序?，F(xiàn)在的木馬服務(wù)器端程序越來越小，最小的木馬程序甚至只有3KB，這樣小的木馬很容易就可以合并在一些可以執(zhí)行的．exe文件中或網(wǎng)頁中而不被察覺，而且這樣小的文件也能很快就下載至磁盤中，若是再利用UPX壓縮技術(shù)還可以讓木馬程序變得更小?；虮粴⒍境绦?、木馬清除程序消滅，而且它一般不會造成很大的危害，計算機(jī)還可以正常執(zhí)行。木馬程序分為客戶端程序和服務(wù)器端程序，服務(wù)器端程序騙取用戶執(zhí)行后，便植入在計算機(jī)內(nèi)，作為響應(yīng)程序。而木馬程序剛好相反，總是成雙成對地行動，其先鋒部隊入侵計算機(jī)之后，會悄悄地打開個后門，然后便待在城中做內(nèi)應(yīng)，等發(fā)動攻擊之后就里應(yīng)外合，讓計算機(jī)和用戶毫無還手之力，只能任由木馬肆虐。除了不斷攻擊計算機(jī)及網(wǎng)絡(luò)、進(jìn)行自身復(fù)制之外，還打開后門，讓黑客可以控制計算機(jī)，或者將計算機(jī)中的機(jī)密信息傳送至某處。然而，木馬程序與病毒程序之間有很多共同特點(diǎn)，例如隱蔽性好，它們?yōu)榱吮苊獗粚ｉT的工具清除，總是將自己偽裝成合法的工具或程序，蒙蔽清除工具或用戶，然后就不斷地進(jìn)行肆虐。木馬的工作原理與網(wǎng)絡(luò)管理工具一樣。黑客利用木馬程序可以監(jiān)視其他計算機(jī)的舉動，還可以對這些計算機(jī)進(jìn)行遠(yuǎn)程控制。木馬程序是一類特殊的計算機(jī)程序，其作用是在一臺計算機(jī)上監(jiān)控被植入木馬計算機(jī)的情況。／S架構(gòu)遠(yuǎn)程計算機(jī)監(jiān)控和管理，讓網(wǎng)絡(luò)管理員不必親臨計算機(jī)，就可以像坐在計算機(jī)前面一樣進(jìn)行管理，人人地提高了管理工作的效率和方便性。3 木馬程序的工作機(jī)理木馬雖然神龍見首不見尾，但他畢竟也是一種計算機(jī)程序，要防范木馬就必須知道木馬的工作原理?，F(xiàn)在的木馬程序雖然已經(jīng)有了即時通知的功能，例如IRC,ICQ通知等，畢竟還是太少， 但是，以后肯定會更加完善。1．6．4即時通知木馬程序如何知道被控制端在哪里已經(jīng)運(yùn)行了呢?如果中招的計算機(jī)使用固定口地址的話，還比較好檢查，但如果目標(biāo)使用的是動態(tài)口。目前，很多木馬的感染方式已經(jīng)開始在悄悄轉(zhuǎn)變，例如，著名的木馬程序YAI就給了我們很多的啟發(fā)，該程序像病毒一樣的感染W(wǎng)indows