传统特洛伊木马的工作原理.docx

传统特洛伊木马的工作原理.docx

《传统特洛伊木马的工作原理.docx》由会员分享，可在线阅读，更多相关《传统特洛伊木马的工作原理.docx（16页珍藏版）》请在冰点文库上搜索。

传统特洛伊木马的工作原理

史少甫20092420229通信2班

一、什么是特洛伊木马

特洛伊木马（TrojanHorse，以下简称木马）的名称取自希腊神话的特洛伊木马记。

木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。

特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。

这些权限并不是服务端赋予的，而是通过木马程序窃取的。

木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

1、硬件部分建立木马连接所必须的硬件实体。

控制端：

对服务端进行远程控制的一方。

服务端：

被控制端远程控制的一方。

INTERNET：

控制端对服务端进行远程控制，数据传输的网络载体。

2、软件部分实现远程控制所必须的软件程序。

控制端程序：

控制端用以远程控制服务端的程序。

木马程序：

潜入服务端内部，获取其操作权限的程序。

木马配置程序：

设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

3、具体连接部分

通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP，服务端IP：

即控制端，服务端的网络地址，也是木马进行数据传输的目的。

控制端端口，木马端口：

即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

二．木马的特征

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice（BO）、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。

综合现在流行的木马程序，它们都有以下基本特征

1、隐蔽性是其首要的特征

如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。

很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。

实际上他们两者的最大区别就是在于这一点，这些黑客们早就想到

了方方面面可能发生的迹象，把它们扼杀了。

大家所熟悉木马修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。

有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。

它的隐蔽性主要体现在以下两个方面：

a、不产生图标

它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。

我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；

b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。

2、它具有自动运行性

它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3、木马程序具有欺骗性

木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。

还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。

等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。

4、具备自动恢复功能

现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

5、能自动打开特别的端口

木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。

你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？

当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。

6、功能的特殊性

通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机，即侵入被攻击主机的入侵程序属于服务程序，攻击者的控制程序属于客户程序。

计算机感染特洛伊木马后，会受到特络伊木马程序的控制，有以下几种典型现象：

（1）有未知程序试图建立网络连接。

（2）系统中有可疑的进程在运行等现象。

（3）系统运行速度越来越慢，且CPU资源占用率高。

（4）任务表中有可疑的文件在运行。

（5）系统长时间读写硬盘或搜索软盘。

（6）系统经常死机或重启等。

二特洛伊木马的攻击步骤

用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六

步来详细阐述木马的攻击原理。

2．2．配置木马一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了

实现以下两方面功能：

（1）木马伪装：

木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等等

（2）信息反馈：

木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、ICO号等等。

2．2．2传播木马

（1）传播方式

木马的传播方式主要有两种：

一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

（2）伪装方式鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。

一般来说有以下几种：

（1）修改图标

也许你会在在E-MAIL的附件中看到一个很平常的文本图标，但是我不得不告诉你，这也有可能是个木马程序，现在已经有木马可以将木马服务端程序的图标改成HTML，TXT，ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。

（2）捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。

至于被捆绑的文件一般是可执行文件（即EXE，COM一类的文件）。

（3）出错显示

有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时，会弹出一个如下图所示的错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如”文件已破坏，无法打开的！

”之类的信息，当服

务端用户信以为真时，木马却悄悄侵入了系统。

（4）定制端口很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断所感染木马类型带来了麻烦。

（5）自我销毁这项功能是为了弥补木马的一个缺陷。

我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中（C:

\WINDOWS或C:

\WINDOWS\SYSTEM目录下），一般来说原木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。

（6）木马更名安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。

所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

2．3运行木马

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。

首先将自身拷贝到WINDOWS的系统文件夹中（C:

\WINDOWS或C:

\WINDOWS\SYSTEM目录下），然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。

安装后就可以启动木马了。

（1）由触发条件激活木马触发条件是指启动木马的条件，大致出现在下面八个地方

1）注册表:

打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run和RunServices主键，在其中寻找可能是启动木马的键值。

2）WIN.INI:

C:

\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

3）SYSTEM.INI:

C:

\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

4）Autoexec.bat和Config.sys:

在C盘根目录下的这两个文件也可以启动木马。

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

5）*.INI:

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6）注册表:

打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值。

举个例子，国产木马”冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将”C:

\WINDOWS\NOTEPAD.EXE%1”改为”C:

\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。

还要说明的是不光是TXT文件，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于”文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

7）捆绑文件:

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8）启动菜单:

在”开始---程序---启动”选项下也可能有木马的触发条件

（2）木马运行过程木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。

这时服务端用户可以在MS-DOS方式下，键入NETSTAT-AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

（1）1---1024之间的端口：

这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。

只有很少木马会用保留端口作为木马端口的。

（2）1025以上的连续端口：

在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。

（3）4000端口：

这是OICQ的通讯端口。

（4）6667端口：

这是IRC的通讯端口。

除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

2．4信息泄露

一般来说，设计成熟的木马都有一个信息反馈机制。

所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过E-MAIL、IRC或ICQ的方式告知控制端用户。

从中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立连接，具体的连接方法我们会在下一节中讲解。

2．5建立连接

这一节我们讲解一下木马连接是怎样建立的。

一个木马连接的建立首先必须满足两个条件：

一是服务端已安装了木马程序；二是控制端，服务端都要在线。

在此基础上控制端可以通过木马端口与服务端建立连接。

假设A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。

获得B机的IP地址的方法主要有两种：

信息反馈和IP扫描。

对于前一种已在上一节中已经介绍过了，不再赘述，我们重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后，开启一个随即端口1031与B机的木马端口7626建立连接到这时一个木马连接才算真正建立。

值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如果B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以每次控制端只要搜索这个IP地址段就可以找到B机了。

2．6远程控制木马连接建立后，控制端端口和木马端口之间将会出现一条通道，控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。

下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

（1）窃取密码：

一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵，密码将很容易被窃取。

（2）文件操作：

控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。

（3）修改注册表：

控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。

有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。

（4）系统操作：

这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪。

木马运行原理

2．7特洛伊木马常用的侦听端口

port21-BladeRunner，DolyTrojan，Fore，InvisibleFTP，WebEx，

WinCrash

port23-TinyTelnetServer

port25-Antigen，EmailPasswordSender，HaebuCoceda，Shtrilitz

Stealth，Terminator，WinPC，WinSpy

port31-HackersParadise

port80-Executor

port456-HackersParadise

port555-Ini-Killer，PhaseZero，StealthSpy

port666-SatanzBackdoor

port1001-Silencer，WebEx

port1011-DolyTrojan

port1170-PsyberStreamServer，Voice

port1234-UltorsTrojan

port1245-VooDooDoll

port1492-FTP99CMP

port1600-Shivka-Burka

port1807-SpySender

port1981-Shockrave

port1999-BackDoor

port2001-TrojanCow

port2023-Ripper

port2115-Bugs

port2140-DeepThroat，TheInvasor

port2801-PhineasPhucker

port3024-WinCrash

port3129-MastersParadise

port3150-DeepThroat，TheInvasor

port3700-PortalofDoom

port4092-WinCrash

port4590-ICQTrojan

port5000-SocketsdeTroie

port5001-SocketsdeTroie

port5321-Firehotcker

port5400-BladeRunner

port5401-BladeRunner

port5402-BladeRunner

port5569-Robo-Hack

port5742-WinCrash

port6670-DeepThroat

port6771-DeepThroat

port6969-GateCrasher，Priority

port7000-RemoteGrab

port7300-NetMonitor

port7301-NetMonitor

port7306-NetMonitor

port7307-NetMonitor

port7308-NetMonitor

port7789-ICKiller

port9872-PortalofDoom

port9873-PortalofDoom

port9874-PortalofDoom

port9875-PortalofDoom

port9989-iNi-Killer

port10067-PortalofDoom

port10167-PortalofDoom

port11000-SennaSpy

port11223-Progenictrojan

port12223-Hack′99KeyLogger

port12345-GabanBus，NetBus

port12346-GabanBus，NetBus

port12361-Whack-a-mole

port12362-Whack-a-mole

port16969-Priority

port20001-Millennium

port20034-NetBus2Pro

port21544-GirlFriend

port22222-Prosiak

port23456-EvilFTP，UglyFTP

port26274-Delta

port31337-BackOrifice

port31338-BackOrifice，DeepBO

port31339-NetSpyDK

port31666-BOWhack

port33333-Prosiak

port34324-BigGluck，TN