木马程序的实质是什么_木马程序本质

病毒是软件，还是程序，还是其他的什么！怎么分类？病毒和木马是一个原理吗？

一、病毒定义所谓病毒就是一段代码，其本质和大家使用的 *** 、WORD什么的程序没有区别，只不过 *** 者令其具有了自我复制和定时发作进行破坏功能。一般病毒都在1K到数K大小。二、病毒种类我们所遇到的病毒可分引导型（感染磁盘引导区）程序型（感染可执行文件）宏病毒（感染WORD文档）等。三、病毒工作原理计算机系统的内存是一个非常重要的资源，我们可以认为所有的工作都需要在内存中运行（相当与人的大脑），所以控制了内存就相当于控制了人的大脑，病毒一般都是通过各种方式把自己植入内存，获取系统更高控制权，然后感染在内存中运行的程序。（注意，所有的程序都在内存中运行，也就是说，在感染了病毒后，你所有运行过的程序都有可能被传染上，感染那些文件这由病毒的特性所决定）1、程序型病毒的工作原理。这是目前最多的一类病毒，主要感染.exe和.dll等可执行文件和动态连接库文件，比如很多的蠕虫病毒都是这样。注意蠕虫病毒不是一个病毒，而是一个种类。他的特点是针对目前INTERNET高速发展，主要在 *** 上传播，当他感染了一台计算机之后，可以自动的把自己通过 *** 发送出去，比如发送给同一居欲网的用户或者自动读取你的EMAIL列表，自动给你的朋友发EMAIL等等。感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。会造成 *** 资源的巨大浪费。所以这次我们杀毒主要是针对这种病毒。那么病毒是怎么传染的那？切记：病毒传染的前提就是，他必须把自己复制到内存中，硬盘中的带毒文件如果没有被读入内寸，是不会传染的，这在杀毒中非常重要。而且，计算机断电后内存内容会丢失这我想大家都知道。所以：病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。2、程序型病毒是怎么传播的。病毒传播最主要的途径是 *** ，还有软盘和光盘。比如，我正在工作时，朋友拿来一个带病毒的软盘，比如，该病毒感染了磁盘里的A文件，我运行了一下这个A文件，病毒就被读如内存，如果你不运行染毒文件，程序型病毒是不会感染你的机器的（不要骂，我这里说的是程序型病毒，后面我会说引导型病毒，他只要打开软盘就会感染）当染毒文件被运行，病毒就进入内存，并获取了内存控制权，开始感染所有之后运行的文件。比如我运行了WORD。EXE，则该文件被感染，病毒把自己复制一份，加在WORD.EXE文件的后面，会使该文件长度增加1到几个K。（不是所有病毒都这样，我举这个离子只是想介绍病毒感染过程）好，接下来，比如说我关机了，则内存中的病毒被清除，我机子中所有的染毒文件只有WORD.exe。第二天，我又开机时，内存是干净的。比如我需要用WORD，于是，该染毒文件中的病毒被读如内存，继续感染下面运行的程序，周而复始，时间越长，染毒文件越多。到了一定时间，病毒开始发作（根据病毒作者定义的条件，有的是时间，比如CIH，有的是感染规模等等）执行病毒作者定义的操作，比如无限复制，占用系统资源、删除文件、将自己向 *** 传播甚至格式化磁盘等等。但是，无论如何，病毒只不过是一段代码，他不可能破坏硬件（欢迎和我讨论），就算是CIH也不是破坏硬件，他只是改写了BIOS中的数据，实际上还是软破坏。什么叫破坏硬件？就是病毒发作时，你的硬盘啪的一下裂成两半，可能吗？所以，完全不必惧怕病毒，他不会让我门受到太大的经济损失，如果我们养成良好的工作习惯的话（比如自己的文档不要保存在C盘等，后面我会细说）3、引导型病毒的工作原理看了前面的病毒传染过程，大家很容易想到，只要我启动计算机后不运行染毒程序，直接删除不就可以了。实际上，现在的病毒没有那么弱智的，下面我门来看看其他的几种传染机制，首先看看引导型病毒刚才说了，病毒必须进入内存才可以继续感染，只有被运行他才可以进入内存，那么与等用户来运行，如果用户长期不用这个染度文件，岂不是等的花而也谢了。引导型病毒感染的不是文件，而是磁盘引导区，他把自己写入引导区，这样，只要磁盘被读写，病毒就首先被读取入内存。这就是为什么杀毒要用干净的启动盘启动，为的就是防止引导型病毒。下面我详细的谈一下磁盘引导区，看不懂的可以跳过去。4、引导型病毒是如何传播的在计算机启动时，必须读取硬盘主引导区获得分区信息，再读取C：盘引导区获取操作系统信息，这时候任何杀毒软件都无法控制，这样我先介绍一下计算机的启动顺序，大家只要记住一点就是：任何程序都要被读入内存才会起作用。计算机加电后，内存是空的，首先从BIOS中读取一些启动参数到内存中，这些命令控制计算机去做下一步工作就是自检。（BIOS就是固化在ROM中的基本输入输出系统的意思，ROM是只读存储器，因为计算机是一个机电设备，他不会自己干什么事情，必须由软件，也就是人事先写好的程序来控制他工作，而这些程序必须被读入内存才可以控制计算机，哈哈越扯越远了，不说了，在将就变成计算机基础讲座了，哈哈）接下来，计算机自检，发现硬盘，读取硬盘主引导程序到内存中，再读取C盘的引导程序到内存中，再读取操作系统文件到内存中，然后开始由操作系统文件控制计算机开始启动。启动完毕后，读入各种自动运行的文件，比如天网放火墙、 *** 、病毒监测软件、等等，前面说过，谁先进入内存，谁先占据系统控制权，从上面的启动顺序可以发现，如果病毒在引导区，那么，他被读入内存的时候，杀毒软件还不知道在那里呢。举个离子：比如我拿了一张染有引导型病毒的软盘用，当我双击A盘图标后，计算机开始读软盘，首先读入软盘引导区，病毒随之进入内存，并立即把自己写入硬盘引导区（如果开了病毒检测，则时可以检测到并杀之）。如果没有装杀毒软件，检测布道，则下次开机时，计算机自检之后，读硬盘引导区时就会同时读入病毒，接下来，病毒获得系统控制权，改写操作系统文件，隐藏自己，然后计算机继续启动进入WIN200桌面，然后病毒检测才开始运行，病毒完全可能已经把自己伪装起来，让杀毒软件找不到。所以这中病毒一定要用启动盘启动后，再杀，就是为了跳过读硬盘引导区那一段。在后面我会纤细介绍。5、病毒如何自动把自身装入内存。刚才介绍了现在的病毒不会等待用户去运行染毒文件才进驻内存，他们都有自己的法运行自己，进驻内存，但是有一个共同的特征就是，他必须把自己放在合适的位置，让系统在启动的某个阶段自动去调用他。因为计算机刚刚加电的时候，系统控制权是在BIOS手里的（因为他最早装入内存），而BIOS是保存在只读的ROM中的，所以这时，系统是无毒的，所以引导型病毒要做的就是在BIOS向操作系统交权之前也就是读取启动盘时截取之。那么程序型病毒怎么把自身装如内存呢？他没有截取控制权的这个能力，BIOS会顺利的把控制权交给操作系统，这时，用户看到的就是开始启动WIN200，由于操作系统在启动时会读取大量的动态联结库文件，病毒就可以把自己放在一个合适的位置上，然后告诉WIN2000启动时把自己读如内存，这一步很好实现，比如大家都知道， *** 启动时会被自动运行，实际上，程序型病毒自动运行自己的法和 *** 从本质上是相同的。就是让系统在启动的某个阶段自动去调用而已。下面先介绍蠕虫病毒，用他携带的木马程序的自动运行方式来介绍一下这个过程。四、关于蠕虫病毒我们学校 *** 中最多的就是蠕虫病毒，所以我要单独的说一下。蠕虫病毒是在INTERNET高速发展后出现的病毒，他具有了一些新特性。大部分的蠕虫病毒是程序型的，不会感染引导区，他们一般通过邮件传播（注意，不是唯一的传播方式，所有传统的传播方式都会传播之,并且许多蠕虫病毒会自己搜索 *** 上没有感染的机器并感染之，他实际上是一个写的很好的以太网传输状态的检测工具^_^），并且大多携带木马程序，具有根据微软服务软件的漏洞来入侵计算机的攻击能力，大部分蠕虫病毒并不破坏计算机里的信息，只是疯狂的去感染其他的计算机。感染了蠕虫病毒的计算机会不停的向外发送信息包，占用CPU可在80%以上，造成本机运行极其缓慢， *** 拥塞，甚至可以导致 *** 瘫痪。一般蠕虫病毒会携带木马程序，安装在系统目录中，那么他是怎么自动运行的那，等一会我通过一个例子来介绍。五、什么是木马在我校很多机器中都有木马软件。木马就是远程控制软件的一种，也称为后门软件，其作用就是利用操作系统的漏洞或者使用者的疏忽来进入系统并在远程控制下从系统内部攻击系统。因特洛伊木马病毒是一种比较早期的成功的此种软件，且有古代战争典故，想必大家都知道。所以，后来多称此种带有攻击性质的远程控制软件为木马而其他的一些不带攻击性质的远程控制软件其实原理都是一样的，比如，塞门铁客（英文不会写）的大名鼎鼎的PCANYWHERE就是一个很成功的远程控制软件木马可以被杀毒软件查杀，所以，这里也把他作为病毒来处理。六、杀毒软件为什么能杀毒1、为什么杀毒软件必须不停的升级病毒就是一段代码，用一些语言写出来，比如汇编等。没种病毒都会有一些特征，叫做病毒特征码，实际上就是病毒代码中的一段读一无二的字符。举个容易理解的例子（实际上不是这样）：比如有个病毒发作后会格式化C：盘，那么病毒代码中就会有这么一句命令：FORMATC：／U（实际上病毒不会去用DOS命令的，那太高级了，他会直接调用13号中断写硬盘，所以这里只是一个例子），那么就可以用FORMATC：／U这样一个字符串作为这个病毒的特征代码，杀毒时，把所有的文件打开，从头到尾的搜索，如果找到着段代码，就报告发现病毒，然后清除之。从我描述的这个过程大家就可以明白，为什么杀毒软件必须不停的升级，因为，只有一种病毒被发现后，他的特征代码才能被找到，才能被杀毒软件识别。2、一个病毒从 *** 、传播到被杀死过程的例子：某个软件天才某天心情好，写了一个病毒，然后开始通过 *** 传播，然后大批的机器被感染，然后用户向杀毒软件公司抱怨有病毒杀不了，（其实大部分是杀毒软件公司的工作人员更早发现该病毒），然后，软件公司得到病毒样本，开始分析样本，找到病毒特征码，然后更新其病毒库，令其在杀毒时也查找这种病毒码，然后通知用户，请他们升级其购买的软件。然后用户升级，再杀毒，结果，该病毒被杀死，同时新的病毒被发现，周而复始。所以，杀毒软件永远跟在病毒的后面这是毫无疑问的。从我的叙述中大家可以发现，实际上，如果一种病毒被发现，几乎所有的公司都会得到他的样本并分析出他的特征码，然后另其自己的杀毒软件可以杀死该毒，那么，各种杀毒软件的优劣从何而来呢？3、什么杀毒软件好？其实，大家都有一样的病毒库，但是，在我刚才描述的查毒过程中，大家不知道有没有注意到，实际上他是等于在磁盘的所有文件中寻找某段特征代码，如果你的硬盘有20G的数据，他就要把这20G的数据过滤一遍，逐个字符来对比，其速度我不说你们也能想到。更要命的是一般的病毒库都装了几万中病毒代码，哈哈，这么查上几万遍，查下来，估计你也从我们学校毕业了。所以实际上各个公司都有自己的杀毒引擎，实际上这才是核心技术，他使用的独特的算法高速检查，但就算这样，查一遍下来至少也要几个小时。所以，为了提高杀毒效率，可以令杀毒程序只检查一些可能被感染的文件，比如。EXE。DLL等，象。BMP。MPG就不会被检查，这样，时间就缩短了很多，然后，他们可以只检查每个。EXE文件的文件头，从这里可以发现病毒修改的蛛丝马迹。然后，他们开始把一些不常见的病毒排除出病毒库之外，只检查一些常见的病毒，就是所谓的快速杀毒。这是为什么不同软件查出不同病毒的原因之一，再下来，也是最关键的一点，就是杀毒软件根据病毒代码判断病毒是完全有可能发生误判，错判的，提高判断的准确性必须以牺牲查毒时间为代价。所以，不同公司的杀毒引擎提供不同的判断 *** ，导致了可能有的软件查不出来的毒别的软件可以查出。所以，所有的杀毒软件都包括两个主要的部分，一是杀毒引擎，另一个是病毒数据库。病毒数据库必须不停的更新，就我校的情况我个人推荐半个月更新一次。我认为，各种杀毒软件其实功能相差不多，主要是看哪个可以迅速更新，再好的杀毒软件不跟新等于没有。

电脑病毒和木马有什么区别

病毒与木马的本质区别是：病毒具有破坏性，使其计算机程序无法正常运转，木马具有隐藏性，能盗取用户的个人信息。

木马是什么意思？

什么是木马?

特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的 *** 载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的 *** 地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

木马原理

用木马这种黑客工具进行 *** 入侵，从过程上看大致可分为六步(具体可见下图)，下面我们就按这六步来详细阐述木马的攻击原理。

一.配置木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：

(1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。

(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中详细介绍。

二.传播木马

(1)传播方式:

木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

(2)伪装方式:

鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑 *** 用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。

(一)修改图标

当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。

(二)捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

(三)出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时,木马却悄悄侵入了 系统。

(四)定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的 端口就 知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可 以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断 所感染木马类型带 来了麻烦。

(五)自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，一般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统 文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没有查杀木马的工 具帮助下，就很难删除木马了。

(六)木马更名

安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章,按 图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。

三.运行木马

服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。安装后就可以启动木马了，具体过程见下图：

(1)由触发条件激活木马

触发条件是指启动木马的条件,大致出现在下面八个地方:

1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。

2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]， [drivers32]中有命令行,在其中寻找木马的启动命令。

4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。

5.*.INI:即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将 *** 好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C :\WINDOWS \NOTEPAD.EXE %1”该为“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，这时你双 击一个TXT文件 后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马 ，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，大家可以 试着去找一下。

7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。

(2)木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：

其中①是服务端与控制端建立连接时的显示状态，②是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：

(1)1---1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21， *** TP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口 的。

(2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。

(3)4000端口：这是OICQ的通讯端口。

(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有定制端口的功能，那任何端口都有可能是木马端口。

四.信息泄露:

一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 一些服务端的软硬件信息，并通过E-MAIL，IRC或ICO的方式告知控制端用户。下图是一个典型的信息反 馈邮件。

从这封邮件中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，因为只有得到这个参数，控制端才能与服务端建立 连接，具体的连接 *** 我们会在下一节中讲解。

五.建立连接：

这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条件：一是 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以通过木马端口与服 务端建立连接。为了便于说明我们采用图示的形式来讲解。

如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立连接必须知道B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的 *** 主要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了，不再赘述，我们 重点来介绍IP扫描，因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，所以现在A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即用户每次上网的IP都是不同的，但是这个IP是在一定范围内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索这个IP地址段就可以找到B机了。

六.远程控制：

木马连接建立后，控制端端口和木马端口之间将会出现一条通道，见下图

控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想象的要大。

(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。

(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。

(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。

(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端 *** 连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪

三者差异，其实现在已经越来越小了。

蠕虫，现在具体指那些通过漏洞或者电子邮件等快速传播的程序，它们大都以快速传播为目的，以此躲避彻底查杀，蠕虫一般很少感染可执行文件。

当攻击者进入你的系统后，它会放置一个木马，或者，攻击者会欺骗你运行木马。木马的作用是帮助攻击者更加容易地操作你的电脑，它们很少自行破坏文件，因为它们一般要长期待在你的系统中。

病毒，更大类的东西，按照现在的分类趋势，病毒几乎能够涵盖木马和蠕虫，它泛指那些对用户有害的程序，又特指其中会自我传播的那一部分。早期的，一般意义的病毒是指会感染文件的文件型病毒。

病毒、蠕虫、木马和间谍有什么本质上的区别？

上面的朋友你们打太多字了没人有怎么多时间读呀不说废话了

病毒、蠕虫、木马和间谍有什么本质上的区别是

病毒:是破坏电脑的程序、蠕虫:是在网上以猛种 *** 传播的程序、蠕虫病毒:是最可怕的,木马,是隐藏在你电脑里可以把你的质料盗取的程序,间谍从性质上和木马是一样的

dll文件的作用和dll木马的原理及使用

DLL木马的实现原理是编程者在DLL中包含木马程序代码，随后在目标主机中选择特定目标进程，以某种方式强行指定该进程调用包含木马程序的DLL，最终达到侵袭目标系统的目的。

正是DLL程序自身的特点决定了以这种形式加载木马不仅可行，而且具有良好的隐藏性：

（1）DLL程序被映射到宿主进程的地址空间中，它能够共享宿主进程的资源，并根据宿主进程在目标主机的级别非法访问相应的系统资源；

（2）DLL程序没有独立的进程地址空间，从而可以避免在目标主机中留下"蛛丝马迹"，达到隐蔽自身的目的。

DLL木马实现了"真隐藏"，我们在任务管理器中看不到木马"进程"，它完全溶进了系统的内核。与"真隐藏"对应的是"假隐藏"，"假隐藏"木马把自己注册成为一个服务。虽然在任务管理器中也看不到这个进程，但是"假隐藏"木马本质上还具备独立的进程空间。"假隐藏"只适用于Windows9x的系统，对于基于WINNT的操作系统，通过服务管理器，我们可以发现系统中注册过的服务。

DLL木马注入其它进程的 *** 为远程线程插入。

远程线程插入技术指的是通过在另一个进程中创建远程线程的 *** 进入那个进程的内存地址空间。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL，从而实现木马对系统的侵害。

DLL木马注入程序

这里涉及到一个非常重要的Windows API――CreateRemoteThread。与之相比，我们所习惯使用的CreateThread API函数只能在进程自身内部产生一个新的线程，而且被创建的新线程与主线程共享地址空间和其他资源。而CreateRemoteThread则不同，它可以在另外的进程中产生线程！CreateRemoteThread有如下特点：

（1）CreateRemoteThread较CreateThread多一个参数hProcess，该参数用于指定要创建线程的远程进程，其函数原型为：

HANDLE CreateRemoteThread(

　HANDLE hProcess, //远程进程句柄

　LPSECURITY_ATTRIBUTES lpThreadAttributes,

　SIZE_T dwStackSize,

　LPTHREAD_START_ROUTINE lpStartAddress,

　LPVOID lpParameter,

　DWORD dwCreationFlags,

　LPDWORD lpThreadId

);

（2）线程函数的代码不能位于我们用来注入DLL木马的进程所在的地址空间中。也就是说，我们不能想当然地自己写一个函数，并把这个函数作为远程线程的入口函数；

（3）不能把本进程的指针作为CreateRemoteThread的参数，因为本进程的内存空间与远程进程的不一样。

（4）利用Windows API VirtualAllocEx函数在远程线程的VM中分配DLL完整路径宽字符所需的存储空间，并利用Windows API WriteProcessMemory函数将完整路径写入该存储空间；

（5）利用Windows API GetProcAddress取得Kernel32模块中LoadLibraryW函数的地址，这个函数将作为随后将启动的远程线程的入口函数；

（6）利用Windows API CreateRemoteThread启动远程线程，将LoadLibraryW的地址作为远程线程的入口函数地址，将宿主进程里被分配空间中存储的完整DLL路径作为线程入口函数的参数以另其启动指定的DLL；

（7）清理现场。

DLL木马的防治

从DLL木马的原理和一个简单的DLL木马程序中我们学到了DLL木马的工作方式，这可以帮助我们更好地理解DLL木马病毒的防治手段。

一般的木马被植入后要打开一 *** 端口与攻击程序通信，所以防火墙是抵御木马攻击的更好 *** 。防火墙可以进行数据包过滤检查，我们可以让防火墙对通讯端口进行限制，只允许系统接受几个特定端口的数据请求。这样，即使木马植入成功，攻击者也无法进入到受侵系统，防火墙把攻击者和木马分隔开来了。

对于DLL木马，一种简单的观察 *** 也许可以帮助用户发现之。我们查看运行进程所依赖的DLL，如果其中有一些莫名其妙的DLL，则可以断言这个进程是宿主进程，系统被植入了DLL木马。"道高一尺，魔高一丈"，现如今，DLL木马也发展到了更高的境界，它们看起来也不再"莫名其妙"。在最新的一些木马里面，开始采用了先进的DLL陷阱技术，编程者用特洛伊DLL替换已知的系统DLL。特洛伊DLL对所有的函数调用进行过滤，对于正常的调用，使用函数转发器直接转发给被替换的系统DLL；对于一些事先约定好的特殊情况，DLL会执行一些相应的操作。

病毒、木马和流氓软件的区别是什么？

电脑病毒从本质上讲，它是一段电脑程序。它具有如下的特点：一是具有自我繁殖能力，二是具有传播性,三是具有破坏性。其中自我繁殖及传播性是病毒的更大特征。

“木马程序”，是黑客常用的攻击 *** 。它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序，采用服务器/客户机的运行方式，从而达到在你上网时控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的文件、登录注册表等等。

“流氓软件”是介于病毒和正规软件之间的软件。

计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制。

正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。

“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。

流氓软件的分类

根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：

1、广告软件（Adware）

定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。

危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。

例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。

2、间谍软件(Spyware)

定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。

危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸 *** ”，这是目前 *** 安全的重要隐患之一。

例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。

3、浏览器劫持

定义：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。

危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。

例如：一些不良站点会频繁弹出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术（此技术通常被病毒使用）来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。

4、行为记录软件（Track Ware）

定义：行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、 *** 浏览习惯等个人行为的软件。

危害：危及用户隐私，可能被黑客利用来进行 *** 诈骗。

例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。

5、恶意共享软件(malicious shareware)

定义：恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。

危害：使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。

例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。

又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失的数据

“流氓软件”是介于病毒和正规软件之间的软件。

计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制。

正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。

“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。