IsaacZ 发表于 2006-6-14 11:03:05

什么是木马(特洛伊木马)?

特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序在用户不知情的情况下被执行。其名称源于古希腊的特洛伊木马神话,传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城外,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。 &nbsp;&nbsp;&nbsp; 一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。<a href="http://baike.baidu.com/pic/1/11569952727143557.jpg" target="_blank"><img title="点击查看大图" alt="" hspace="5" src="http://baike.baidu.com/pic/1/11569952727143557_small.jpg" align="right" vspace="5" border="0"/></a>&nbsp;&nbsp;&nbsp; 目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里,如邮件、下载等,然后通过一定的提示故意误导被攻击者打开执行文件,比如故意谎称这是个木马执行文件是你朋友送给你贺卡,可能你打开这个文件后,确实有贺卡的画面出现,但这时可能木马已经悄悄在你的后台运行了。&nbsp;&nbsp;&nbsp; 一般的木马执行文件非常小,大都是几K到几十K,如果把木马捆绑到其它正常文件上,你很难发现的,所以,<font color="#ff0000">有一些网站提供的软件下载往往是捆绑了木马文件的,在你执行这些下载的文件,也同时运行了木马</font>。&nbsp;&nbsp;&nbsp; 木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入,由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面,他可以通过编制Cgi程序在攻击主机上执行木马目录。木马还可以利用系统的一些漏洞进行植入,如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即把IIS服务器崩溃,并且同时在攻击服务器执行远程木马执行文件。&nbsp;&nbsp;&nbsp; 木马在被植入攻击主机后,它一般会通过一定的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制攻击主机。&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 在早期的木马里面,大多都是通过发送电子邮件的方式把入侵主机信息告诉攻击者,<font color="#ff0000">有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者</font>,这样攻击者就不用直接连接攻击主机即可获得一些重要数据,如攻击OICQ密码的GOP木马即是如此。使用电子邮件的方式对攻击者来说并不是最好的一种选择,因为如果木马被发现可以通过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。
[此贴子已经被作者于2007-7-27 23:34:45编辑过]
页: [1]
查看完整版本: 什么是木马(特洛伊木马)?