木马分析 _原创精品文档.pdfVIP

5.5木马技术

5.5.1木马技术概述

木马的全称是“特洛伊木马”（Trojanhorse），来源于希腊神话。古希腊围攻特洛伊

城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，

城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城

门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。

网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是

具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控

制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，

最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。就象一个

潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得

名木马程序。实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以

通过控制主机来攻击网络中的其它主机。

木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和

国家的利益和安全。如果公安部用于采集处理人们身份证信息的计算机被安装了木马，

那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。木

马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大

的危险性和破坏性。

木马是近几年比较流行的危害程度较严重的恶意软件，常被用作网络系统入侵的重

要工具和手段。2008年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已

经成为当前网络危害最严重的网络病毒。网络上各种“种马”技术加剧了木马的流行和

发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏

程度非常巨大，可以窃取账号密码、删除文件、格式化磁盘，甚至可以打开摄像头进行

偷窥等；木马往往又被用做后门，植入被攻击的系统，以便为入侵者再次访问系统提供

方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中“散发”木马，以便

进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）

等提供可能。木马“投放”也有巨大的商业利益驱动，简单的一个木马程序就会带来数

十万的收入。对个人而言，了解和掌握各种木马攻击技术和防御技术，可以保护个人利

益不受侵犯，维护自己的网络安全。因此，研究木马攻击和防御技术十分重要。

木马不同于传统病毒，它们的区别见5.1节表5-1所示。最基本的区别就在于病毒有

很强的传染性及寄生性，而木马程序则不同。但是，现在木马技术和病毒的发展相互借

鉴，也使得木马具有了更好的传播性，病毒具有了远程控制能力，例如，”红色代码”已

具备了远程控制的雏形。木马程序和病毒的区别日益模糊。

从木马的发展历程考虑。木马技术自出现至今，大致可以分为五代。

第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即实现简单的

密码窃取、发送等功能，这种木马通过伪装成一个合法的程序诱骗用户上当。世界上第

一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72

版本，而实际上编写PC-Write的Quicksoft公司从未发行过2.72版本，一旦用户信以为

真运行该木马程序，硬盘可能被格式化。第一代木马还不具有传染性，在隐藏和通信方

面也均无特别之处。

第二代木马在技术上有了很大的进步，它使用标准的C/S架构，提供远程文件管理、

屏幕监视等功能，在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木

马的服务端程序会打开连接端口等候客户端连接，因此比较容易被用户发现。冰河、

BO2000等都是典型的第二代木马。

第三代木马在功能上与第二代木马没有太大差异，其改变主要在网络连接方式上，

特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用TCP端口反

弹技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了一

些改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀难度，如网

络神偷(Netthief)、灰鸽子木马等。

第四代木马在进程隐藏方面做了较大改动，让木马服务器运行时没有进程，网络操

作插入到系统进程或者应用进程中完成。这方面发展的最高境界是rootkit技术，嵌入木

马通过替换系统程序、D