【正文】 密碼發(fā)送型：密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。 鍵盤(pán)記錄型：鍵盤(pán)記錄型木馬非常簡(jiǎn)單，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在LOG文件里進(jìn)行完整的記錄。 毀壞型：大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。總而言之，該類(lèi)木馬目標(biāo)只有一個(gè)就是盡可能的毀壞受感染系統(tǒng)，致使其癱瘓。（二）根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以分為兩類(lèi)： 正向連接型：發(fā)起通信的方向?yàn)榭刂贫讼虮豢刂贫税l(fā)起，這種技術(shù)被早期的木馬廣泛采用，其缺點(diǎn)是不能透過(guò)防火墻發(fā)起連接。（三）根據(jù)木馬使用的架構(gòu)，可以分為四類(lèi)： C/S架構(gòu)：這種為普通的服務(wù)器、客戶(hù)端的傳統(tǒng)架構(gòu)，一般我們都是采用客戶(hù)端作控制端，服務(wù)器端作被控制端。 B/S架構(gòu)：這種架構(gòu)為普通的網(wǎng)頁(yè)木馬所采用的方式。 C/P/S架構(gòu)：這里的P是Proxy的意思，也就是在這種架構(gòu)中使用了代理。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。 B/S/B架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)內(nèi)部網(wǎng)絡(luò)對(duì)另外的內(nèi)部網(wǎng)絡(luò)的控制。特洛伊木馬程序發(fā)展到今天已經(jīng)相當(dāng)完善了，但隨著計(jì)算機(jī)技術(shù)的發(fā)展，木馬仍會(huì)繼續(xù)演變并運(yùn)用一些新的技術(shù)和方法使其更具有攻擊性和破壞性?？梢灶A(yù)見(jiàn)，木馬會(huì)借鑒病毒的開(kāi)發(fā)技術(shù)，很快將會(huì)出現(xiàn)能夠反查殺的變形木馬等一批在惡劣的環(huán)境下更具生存能力的新型木馬。 更注重代碼模塊化的設(shè)計(jì)目前，程序設(shè)計(jì)的潮流是模塊化設(shè)計(jì)，木馬程序現(xiàn)在也具有這種概念。 即時(shí)通知目前，網(wǎng)絡(luò)中很多機(jī)器使用的是動(dòng)態(tài)IP，木馬程序要想控制目標(biāo)就比較麻煩，因此，未來(lái)的木馬程序在這方面會(huì)進(jìn)一步完善。 可能會(huì)出現(xiàn)跨平臺(tái)的木馬現(xiàn)今木馬一般都是基于某種硬件平臺(tái)或者操作系統(tǒng)開(kāi)發(fā)的，在各種操作系統(tǒng)之間并不具有通用性，對(duì)使用者要求較高。 木馬與蠕蟲(chóng)會(huì)相互融合蠕蟲(chóng)和木馬是兩種不同功能的程序。然而最近己經(jīng)開(kāi)始出現(xiàn)具有蠕蟲(chóng)特征的木馬程序，這是個(gè)危險(xiǎn)的信號(hào)。 未來(lái)木馬將更注重底層的通訊編程，如針對(duì)網(wǎng)卡和Modem的通訊編程，這樣可以逃過(guò)防火墻的監(jiān)視和過(guò)濾[9][10][11]?？蛻?hù)端是用來(lái)控制目標(biāo)主機(jī)的部分，安裝在控制者的計(jì)算機(jī)，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠(yuǎn)程計(jì)算機(jī)。木馬程序的工作過(guò)程包含了木馬程序的偽裝、隱藏、啟動(dòng)、通信以及攻擊等。因此，它們要想完成其不可告人的“使命”，就必須先將自身隱藏好。用戶(hù)往往誤認(rèn)為這些程序?qū)ο到y(tǒng)是無(wú)害的，因此很容易誘使其打開(kāi)并將其運(yùn)行。攻擊者常常將特洛伊木馬程序常捆綁到一個(gè)正常程序上。被捆綁的文件一般是可執(zhí)行文件，例如，EXE、COM等類(lèi)型的文件。所以，一些特洛伊木馬程序會(huì)故意顯示一些出錯(cuò)顯示。錯(cuò)誤內(nèi)容可自由定義，大多會(huì)定制成一些諸如文件已破壞，無(wú)法打開(kāi)!之類(lèi)的信息，當(dāng)被害用戶(hù)信以為真時(shí)，特洛伊木馬程序就悄悄侵入了系統(tǒng)中。但是，如果特洛伊木馬程序只是如此簡(jiǎn)單的拷貝，就會(huì)造成源特洛伊木馬程序文件和系統(tǒng)文件夾中的特洛伊木馬程序文件長(zhǎng)度的大小是一樣的。特洛伊木馬程序的此種偽裝方式恰恰就是在于彌補(bǔ)自身的這種缺陷。這樣，被害用戶(hù)就很難找到特洛伊木馬程序的來(lái)源了，在沒(méi)有查殺特洛伊木馬程序工具幫助下，就很難刪除木馬了。不過(guò)，大多特洛伊木馬程序會(huì)選用一個(gè)與正常的系統(tǒng)文件名十分近似的文件名來(lái)故意誤導(dǎo)用戶(hù)，使用戶(hù)誤認(rèn)為是正常的系統(tǒng)文件。木馬的隱蔽性是木馬能否長(zhǎng)期存活的關(guān)鍵，為了達(dá)到隱蔽目的，木馬開(kāi)發(fā)者總是采用各種先進(jìn)技術(shù)來(lái)實(shí)現(xiàn)木馬的隱藏。要實(shí)現(xiàn)在任務(wù)欄中隱藏的功能，在編程時(shí)是很容易實(shí)現(xiàn)的。 隱藏端口一臺(tái)機(jī)器有65536個(gè)端口，不難發(fā)現(xiàn)，大多數(shù)木馬使用的端口在1024以上，而且呈越來(lái)越大的趨勢(shì):當(dāng)然也有占用1024以下端口的木馬，但這些端口是常用端口，占用這些端口可能會(huì)造成系統(tǒng)不正常，木馬容易暴露。 在任務(wù)管理器里隱藏查看正在運(yùn)行的進(jìn)程的最簡(jiǎn)單方法就是按下 Crtl+Alt+Del時(shí)出現(xiàn)的任務(wù)管理器。 隱藏通信隱藏通信也是木馬經(jīng)常采用的手段之一。目前大部分木馬都是采用TCP連接方式使攻擊者控制主機(jī)的，這些木馬在植入主機(jī)后一般會(huì)在 1024以上不易發(fā)現(xiàn)的高端口上駐留；也有些木馬采用端口復(fù)用技術(shù)，不打開(kāi)新的通信端口，而選擇一些常用的端口(如80)實(shí)現(xiàn)通信，在收到正常的HTTP請(qǐng)求仍然把它交與Web服務(wù)器處理，只有在收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬。還有些木馬只有收到特定的數(shù)據(jù)包才開(kāi)始通信，平時(shí)處于休眠狀態(tài)。常見(jiàn)木馬啟動(dòng)的方式有:加載程序到啟動(dòng)組；將程序啟動(dòng)路徑寫(xiě)到注冊(cè)表的[HKEY_LOCAL_ CHINE\Software\Microsoft\Windows\CurrentVersion\Run] (以及Runonce等)::通過(guò)注冊(cè)表中的輸入法鍵值真接掛接啟動(dòng)；。也可利用DLL木馬替換系統(tǒng)原有的動(dòng)態(tài)連接庫(kù)，使系統(tǒng)在裝載這些連接庫(kù)時(shí)啟動(dòng)木馬(如:著名的GINA木馬)；還可以采用與其他可執(zhí)行文件捆綁的方式，在運(yùn)行捆綁文件時(shí)在后臺(tái)運(yùn)行。 隱藏傳播方式與病毒不同，木馬大多沒(méi)有主動(dòng)傳播的功能。目前大多數(shù)木馬采用的傳播途徑仍然電子郵件，但近幾年，隨著木馬的流行，用戶(hù)對(duì)木馬的認(rèn)識(shí)不斷提高，大多用戶(hù)都清楚一些關(guān)于木馬和如何防治的基本知識(shí)，這種方法己經(jīng)很難湊效。再一個(gè)就是，利用系統(tǒng)漏洞進(jìn)行木馬傳播，隨著技術(shù)的不斷發(fā)展，這種方法將逐步成為木馬植入的主流。即使用戶(hù)刪除了WSH功能，攻擊者仍然能通過(guò)其他的系統(tǒng)漏洞(如MIME漏洞)，在用戶(hù)瀏覽郵件時(shí)將木馬植入到計(jì)算機(jī)中運(yùn)行。 最新隱身技術(shù)通過(guò)修改虛擬設(shè)備驅(qū)動(dòng)程序 (VXD)或修改動(dòng)態(tài)鏈接庫(kù)(DLL)來(lái)加載木馬。對(duì)于常用函數(shù)的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL，對(duì)于一些事先約定好的特殊情況，木馬會(huì)自動(dòng)執(zhí)行。這種木馬沒(méi)有增加新的文件，不需要打開(kāi)新的端口，沒(méi)有新的進(jìn)程，使用常規(guī)的方法監(jiān)測(cè)不到它。 木馬程序也和其它的計(jì)算機(jī)軟件或程序一樣，也必須把自己從硬盤(pán)或網(wǎng)上下載下來(lái)，調(diào)入系統(tǒng)中運(yùn)行，從而實(shí)際其功能。一旦用戶(hù)運(yùn)行被捆綁文件，特洛伊木馬程序就會(huì)進(jìn)入系統(tǒng)運(yùn)行。這樣每次系統(tǒng)啟動(dòng)，特洛伊木馬程序也會(huì)隨著啟動(dòng)。這樣，這些系統(tǒng)配置文件恰好成為了這些特洛伊木馬程序一處絕好的藏身之地。 在windows系統(tǒng)中， 16程序需要的字體設(shè)置、文件關(guān)聯(lián)等信息，主要完成GUI（圖形用戶(hù)接口）的相應(yīng)的環(huán)境配置。所以，特洛伊木馬程序就必須在系統(tǒng)中找一個(gè)既安全能在統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的地方。[windows]字段中，它有兩行啟動(dòng)命令，一行是“l(fā)oad=”，另一行是“run=”。如果它們有后跟程序，比如說(shuō)，run=c:\windows\=c:\windows\。另外GUI（圖形用戶(hù)接口）的外殼程序(SHELL，即界面程序)、鼠標(biāo)、。在這個(gè)文件中，有一個(gè)[boot]字段，這個(gè)字段也是特洛伊木馬程序經(jīng)常用來(lái)自啟動(dòng)的地方。再有，[mic]、[drivers]、[drivers32]三個(gè)字段也是起著加載驅(qū)動(dòng)程序的作用，因此也是增添特洛伊木馬程序的好場(chǎng)所。這個(gè)偽裝方式的具體方法就是把可執(zhí)行文件偽裝成圖片或文本—在程序中把圖標(biāo)改成Windows的默認(rèn)圖片圖標(biāo),再把文件名改為*.。用戶(hù)一不注意點(diǎn)了這個(gè)圖標(biāo)，那么特洛伊木馬程序就進(jìn)入系統(tǒng)運(yùn)行。它們都是由二進(jìn)制數(shù)據(jù)組成。其中，注冊(cè)表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEYUSERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值都是特洛伊木馬程序自動(dòng)運(yùn)行的好地方。因此它就將自己簡(jiǎn)單的寫(xiě)入了程序中的啟動(dòng)項(xiàng)目組中，其對(duì)應(yīng)的文件夾為：C:\windows\startmenu\programs\startup，在注冊(cè)表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup=C:\windows\startmenu\programs\startup。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成。因此，很多特洛伊木馬程序就充分運(yùn)用了人們喜愛(ài)上網(wǎng)的習(xí)慣，特洛伊木馬程序的制作者在網(wǎng)頁(yè)上放置各種惡意代碼，并使用各種方法引誘用戶(hù)點(diǎn)擊，然后在用戶(hù)的系統(tǒng)中運(yùn)行特洛伊木馬程序，達(dá)到其侵入的目的。這種控制是通過(guò)對(duì)基于網(wǎng)絡(luò)通訊的標(biāo)準(zhǔn)通訊協(xié)議和對(duì)目標(biāo)機(jī)的操作系統(tǒng)響應(yīng)方式的準(zhǔn)確控制來(lái)實(shí)現(xiàn)的。所有的TCP、UDP、ICMP、IGMP數(shù)據(jù)報(bào)都以口數(shù)據(jù)報(bào)格式傳輸。不可靠(unreliable)的意思是它不能保證口數(shù)據(jù)報(bào)能夠成功地到達(dá)目的地。如果發(fā)生某種錯(cuò)誤時(shí)，如某個(gè)路由器暫時(shí)用完了緩沖區(qū)，口有一個(gè)簡(jiǎn)單的錯(cuò)誤處理算法：丟棄該數(shù)據(jù)報(bào)，然后發(fā)送ICMP消息報(bào)給信源端。無(wú)連接(connectionless)這個(gè)術(shù)語(yǔ)的意思是m并不維護(hù)任何關(guān)于后續(xù)數(shù)據(jù)報(bào)的狀態(tài)信息。這也說(shuō)明，口數(shù)據(jù)報(bào)可以不按發(fā)送順序接收。IP協(xié)議對(duì)于網(wǎng)絡(luò)通信具有非常重要的意義，網(wǎng)絡(luò)中的計(jì)算機(jī)通過(guò)安裝IP軟件，使許許多多的局域網(wǎng)構(gòu)成了一個(gè)龐大而又嚴(yán)密的通信系統(tǒng)，從而使Internet看起來(lái)好像是真實(shí)存在的。 TCP協(xié)議TCP協(xié)議位于傳輸層，它使用網(wǎng)絡(luò)層(口)為用戶(hù)提供一種面向連接的、可靠的字節(jié)流服務(wù)[16]。隨著時(shí)間的推移，檢測(cè)出了各種各樣的錯(cuò)誤和不一致，并且在一些領(lǐng)域?qū)CP的要求也有所變化。在RFCl323中給出了對(duì)TCP的一些功能擴(kuò)展。在一個(gè)TCP連接中，僅有兩方進(jìn)行彼此通信。TCP通過(guò)下列方式來(lái)提供可靠性： 應(yīng)用數(shù)據(jù)被分割成TCP認(rèn)為最適合發(fā)送的數(shù)據(jù)塊。由TCP傳遞給口的信息單位稱(chēng)為報(bào)文段或者段(segment)。如果不能及時(shí)收到一個(gè)確認(rèn)，重發(fā)這個(gè)報(bào)文段。 當(dāng)TCP收到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送確認(rèn)消息。這是一個(gè)端到端的檢驗(yàn)和，目的是檢測(cè)數(shù)據(jù)在傳輸過(guò)程中的任何變化。 既然TCP報(bào)文段作為口數(shù)據(jù)報(bào)來(lái)傳輸，而口數(shù)據(jù)報(bào)的到達(dá)可能會(huì)失序，因此TCP報(bào)文段的到達(dá)也可能會(huì)失序。 既然口數(shù)據(jù)報(bào)會(huì)發(fā)生重復(fù)，TCP的接收端必須丟棄重復(fù)的數(shù)據(jù)。TCP連接的每一方都有固定大小的緩沖空間。這將防止較快主機(jī)致使較慢主機(jī)的緩沖區(qū)溢出。TCP不知道傳輸?shù)臄?shù)據(jù)字節(jié)流是二進(jìn)制數(shù)據(jù)，還是ASCII字符、EBCDIC字符或者其他類(lèi)型數(shù)據(jù)。要實(shí)現(xiàn)TCP協(xié)議的功能，需要完成的機(jī)制包括：連接管理(如何建立和關(guān)閉連接)、滑動(dòng)窗口機(jī)制、擁塞控制機(jī)制、定時(shí)器管理。套接字可以根據(jù)通信的類(lèi)型分類(lèi)，不同的套接字之間照樣可以通信；一般應(yīng)用于程序的套接字可分為兩類(lèi)： 流套接字：建立在TCP/IP傳輸層上，提供雙向的無(wú)記錄邊界的數(shù)據(jù)流服務(wù)，其傳輸數(shù)據(jù)有序、無(wú)重復(fù)，適用于處理大量數(shù)據(jù)；面向連接，通信雙方進(jìn)行數(shù)據(jù)交換之前，必須建立一條路徑來(lái)確定雙方通信的路由，保證雙方都是活動(dòng)的、可彼此響應(yīng)的。木馬通常需要利用一定的通信方式與控制端進(jìn)行信息交流(如接收控制者的指令、向控制端傳遞信息等)。木馬一般也是利用TCP/UDP端口與控制端進(jìn)行通信。早期的木馬在系統(tǒng)中運(yùn)行后都是打開(kāi)固定的端口，后來(lái)的木馬在植入時(shí)可隨機(jī)設(shè)定通信時(shí)打開(kāi)的端口，具有了一定的隨機(jī)性。事實(shí)上，目前的許多木馬檢測(cè)軟件正是通過(guò)掃描本地和遠(yuǎn)程主機(jī)系統(tǒng)中打開(kāi)的已知木馬端口進(jìn)行木馬檢測(cè)的。為此采用新技術(shù)的木馬對(duì)其通信形式進(jìn)行了隱蔽和變通，使其很難被端口掃描發(fā)現(xiàn)。在winsock的實(shí)現(xiàn)中，對(duì)于服務(wù)器的綁定是可以多重綁定的，在確定多重綁定使用誰(shuí)的時(shí)候，根據(jù)一條原則是誰(shuí)的指定最明確則將包遞交給誰(shuí)，而且沒(méi)有權(quán)限之分，也就是說(shuō)低級(jí)權(quán)限的用戶(hù)是可以重綁定在高級(jí)權(quán)限如服務(wù)啟動(dòng)的端口上的，這是非常重大的一個(gè)安全隱患[20]。 一個(gè)木馬可以在低權(quán)限用戶(hù)上綁定高權(quán)限的服務(wù)應(yīng)用的端口，進(jìn)行該處理信息的嗅探，本來(lái)在一個(gè)主機(jī)上監(jiān)聽(tīng)一個(gè)Socket的通訊需要具備非常高的權(quán)限要求，但其實(shí)利用Socket重綁定，可以輕易的監(jiān)聽(tīng)具備這種SOCKET編程漏洞的通訊，而無(wú)須采用什么掛接，鉤子或低層的驅(qū)動(dòng)技術(shù)(這些都需要具備管理員權(quán)限才能達(dá)到)[21]。 對(duì)于構(gòu)建的WEB服務(wù)器，入侵者只需要獲得低級(jí)的權(quán)限，就可以完全達(dá)到更改網(wǎng)頁(yè)目的，很簡(jiǎn)單，扮演你的服務(wù)器給予連接請(qǐng)求以其他信息的應(yīng)答，甚至是基于電子商務(wù)上的欺騙，獲取非法的數(shù)據(jù)。包括WZK+SP3的IIS也都一樣，那么如果你已經(jīng)可以以低權(quán)限用戶(hù)入侵或木馬植入的話(huà)，而且對(duì)方又開(kāi)啟了這些服務(wù)的話(huà)，那就不妨一試。反彈端口就是木馬針對(duì)防火墻所采用的技術(shù)[23]。防火墻對(duì)于向內(nèi)的鏈接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，對(duì)于向外的連接卻疏于防范。與一般的木馬相反，反彈端口木馬使用主動(dòng)端口，控制端使用被動(dòng)端口。為了隱蔽起見(jiàn)，控制端的被動(dòng)端口一般開(kāi)在TCP80。這種反彈端口的木馬常常會(huì)采用固定IP的第三方存儲(chǔ)空間來(lái)進(jìn)行控制端IP地址的傳遞。如果有內(nèi)容就按照文本文件中的數(shù)據(jù)計(jì)算出控制端的IP地址和端口，反彈一個(gè)TCP連接回去。所謂潛伏技術(shù)就是指利用TCP/IP協(xié)議族中的其它協(xié)議而不通過(guò)TCP/UDP協(xié)議來(lái)進(jìn)行通信。采用潛伏技術(shù)進(jìn)行通信的木馬一般都是使用ICMP協(xié)議。客戶(hù)機(jī)/服務(wù)器模式的建立基于兩點(diǎn)。其次，網(wǎng)間進(jìn)程通信完全是異步的，相互通信的進(jìn)程間既不存在父子關(guān)系，又不共享內(nèi)存緩沖區(qū)，因此需要一種機(jī)制為希望通信的進(jìn)程間建立一種聯(lián)系，為二者的數(shù)據(jù)交換提供同步，這就是基于客戶(hù)機(jī)/服務(wù)器模式的TCP/IP[25]。首先服務(wù)器方要啟動(dòng)，并根據(jù)請(qǐng)求提供相應(yīng)服務(wù)。接收并發(fā)服務(wù)請(qǐng)求，激活一個(gè)進(jìn)程來(lái)處理這個(gè)客戶(hù)請(qǐng)求。服務(wù)完成后，關(guān)閉此新進(jìn)程與客戶(hù)的通信鏈路，并終止；d、返回第2步，等待另外的客戶(hù)請(qǐng)求；c、關(guān)閉服務(wù)器。從上面的描述可知，服務(wù)進(jìn)程一般是先于客戶(hù)請(qǐng)求啟動(dòng)的。并且，客戶(hù)與服務(wù)器進(jìn)程的作用是非對(duì)稱(chēng)的[26]。由于要達(dá)到遠(yuǎn)程控制的目的，所