木马的原理和远程控制的主要方式

发布时间：2011-06-21 14:37:20作者：知识屋

特洛伊木马（或称木马），英文叫做“Trojanhorse”，该故事来源于荷马所作的古希腊史诗《伊里亚特》。特洛伊是小亚细亚沿岸的一座商业繁荣的古城，新兴的希腊人为了维护自己的利益，与特洛伊进行了长达10年之久的战争。最后，希腊联军采用奥德赛的木马计攻破特洛伊，取得了战争的胜利。

在互联网上，特洛伊木马是一种基于远程控制的黑客工具。互联网的发展初期就产生了木马程序。只是当时的木马程序相对比较简单，通常通过将一段程序植入到系统文件中，用跳转指令来控制木马。初期的木马程序都是由具备较高深的计算机编程能力的技术人员设计的。随着网络和计算机技术的不断发展，出现了许多专门的木马软件。这些木马软件易于学习和操作，使用者不需要了解太多的技术知识就可以熟练地使用这些软件。因此，木马程序对于网络和计算机用户的威胁也就与日俱增。
木马的传播方式主要有两种：一种是通过E-Mail，控制端将木马程序以附件的形式通过电子邮件发送到用户端（收信人），收信人只要打开附件就会被植入木马程序。
另一种是黑客将木马程序捆绑在软件安装程序上，用户在不知情的情况下下载并安装，木马程序随着安装程序的安装也就自动地安装到用户的计算机上。木马程序首先将自身拷贝到Windows的系统文件夹中（c：Windows，c：Windowssystem或c：Windowstemp目录下），然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就结束了。随后，控制端就可以利用植入到用户端的木马程序进行远程控制了。一般而言，木马程序都有一个信息反馈机制，它会收集一些服务端的软硬件信息，并通过E-mail，IRC或ICO的方式告知控制端。

那么控制端和用户端之间是如何通过木马程序进行连接的呢？由于用户端已经被植入了木马程序，那么只要控制端和用户端都同时在线，控制端就可以通过木马端口与服务端建立连接。

控制端要与用户端建立连接必须知道用户端的木马端口和IP地址，由于用户端的木马端口是控制端事先设定好的，所以只要获得用户端的IP地址即可进行攻击。通常而言，控制端主要通过IP扫描的方法来获取IP地址。由于用户端装有木马程序，所以它的某木马端口一定是处于开放状态的，此时假设用户端的IP地址是202.199.160.56，当控制端的扫描程序扫描到这个IP时发现它的某端口是开放的，那么这个IP就会被添加到列表中。随后控制端就会向用户端发出连接信号，用户端的木马程序收到信号后立即作出响应，当控制端收到响应的信号后，就会开启一个端口与用户端的木马端口建立连接。

木马连接建立后，控制端就可以通过木马程序对用户端进行远程控制。远程控制的主要形式有以下几种：
1）窃取密码：以明文的形式保存，或缓存在CACHE中的密码都可能被木马获得。目前一些较高级的木马程序还具有键盘记录功能，它能够记录用户端每次敲击键盘的行为，并反馈给控制端。
2）文件操作：控制端可对用户端上的文件进行删除、修改、运行、更改属性等一系列操作，基本拥有普通用户在自己的计算机上所能进行的所有的文件操作功能。
3）修改注册表：控制端可随意修改用户端注册表，所以控制端就可以禁用用户端的软驱，光驱，或其他更高级的操作。
4）系统操作：控制端可以控制用户端的操作系统、鼠标、键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时向用户端发送信息。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）