● 关于木马的基本知识 [转载] - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: conjure (等差数列), 信区: Security
标  题: 关于木马的基本知识 [转载]
发信站: 荔园晨风BBS站 (Wed Nov  6 18:55:50 2002), 转信

【以下文字转载自 Hardware 讨论区】
【原文由 conjure 所发表】
木马，也称特伊洛木马，名称源于古希腊的特伊洛马神话，此词语来源于古希腊的神话故事
，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的
木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木
马内的士兵则乘
夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛
伊城。
尽管资深的黑客不屑于使用木马，但在对以往网络安全事件的分析统计里，我们发现，有相
当部分的网络入侵是通过木马来进行的，包括去年微软被黑一案，据称该黑客是通过一种普
通的蠕虫木马侵入微软的系统的，并且窃取了微软部分产品的源码。
木马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文
件操作等等，一个功能强大的木马一旦被植入你的机器，攻击者就可以象操作自己的机器一
样控制你的机器，甚至可以远程监控你的所有操作。
木马是如何侵入的？
    一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植
入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第
一步是要把木马的服务器端程序植入到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里
，如邮件、下载等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这
是个木马执行文件是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，
但这时可能木马
已经悄悄在你的后台运行了。
    一般的木马执行文件非常小，大到都是几K到几十K，如果把木马捆绑到其它正常文件上
，你很难发现的，所以，有一些网站提供的软件下载往往是捆绑了木马文件的，在你执行这
些下载的文件，也同时运行了木马。
木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入，由于微软的浏览器在执
行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传皤病毒和木马，甚至直接对浏览
者电脑进行文件操作等控制，前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进
行格式化的Html页
面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面，他可
以通过编制Cgi程序在攻击主机上执行木马目录.
   木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS服务器溢出漏洞，通过一个
IISHACK攻击程序即在把IIS服务器崩溃，并且同时在攻击服务器执行远程木马执行文件。
木马如何将入侵主机信息发送给攻击者？
     木马在被植入攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP
地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制
攻击主机。
在早期的木马里面，大多都是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些
木马文件干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击都就不用直接连接攻
击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马即是如此。
使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，可以能过
这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包
的方式通知攻击者。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.29]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.29]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店