● 深入了解“特洛伊木马” - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: gordonlot (要学习啦), 信区: Virus
标  题: 深入了解“特洛伊木马”
发信站: 荔园晨风BBS站 (Wed Jan  9 07:38:19 2002), 转信

  “特洛伊木马”，不是历史上那场惊心动魄的战争，而是互联网上广为祸患的一种
危险程序。木马在今天的网络上可谓无所不在，像“BOBack Orifice　”、“冰
河”都是一种木马程序甚至，连掌上电脑（PDA）的世界也已经出现了“木马”
程序（Liberty Crack）。人们谈“马”色变，下面，我就给大家说说可怕的“特
洛伊木马”到底是怎么回事。

    什么是“木马”

    正像历史上的“特洛伊木马”一样，被称作“木马”的程序也是一种掩藏在美
丽外表下打入我们电脑内部的东西。确切地说，“木马”是一种经过伪装的欺骗性
程序，它通过将自身伪装吸引用户下载执行，从而破坏或窃取使用者的重要文件和
资料。

    木马程序与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他
文件，它的主要作用是向施种木马者打开被种者电脑的门户，使对方可以任意毁坏
、窃取你的文件，甚至远程操控你的电脑。木马与计算机网络中常常要用到的远程
控制软件是有区别的。虽然二者在主要功能上都可以实现远程控制，但由于远程控
制软件是“善意”的控制，因此通常不具有隐蔽性。木马则完全相反，木马要达到
的正是“偷窃”性的远程控制，因此如果没有很强的隐蔽性的话，那么木马简直就
是“毫无价值”的。

    木马的工作原理

    一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入你的
电脑的是它的“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了
“服务器”的电脑。

    众所周知，基于TCP/IP协议接入互联网的电脑有0到65535共256×256个端口。
通常我们上网的时候，电脑通过139端口与外界保持联系。运行了木马程序的“服
务器”以后，你的电脑就会有另一个或几个端口被打开，使黑客可以利用这些打开
的端口进入你的系统，你的系统安全和个人隐私也就全无保障了！

    木马如此“泛滥”，究竟我们怎么样才能知道我们的电脑被种上了木马呢？

    木马运行的征兆

    如果电脑莫名其妙地死机或重启；
    如果硬盘在无操作的情况下频繁被访问；
    如果系统无端搜索软驱、光驱；
    如果系统速度异常缓慢，系统资源占用率过高……

    这些时候，你要小心了！你很可能已经和“木马”发生了“亲密接触”！到底
这些“恐怖分子”是如何在我们电脑里“安家落户”的呢？

    木马的隐藏和启动

    木马进入服务端计算机以后，需要经过某种方式激活自身，运行并加载到系统
自启动程序序列。了解木马怎样激活自身，是找到并且清除木马的关键所在。关于
木马的激活方式在《木马藏身处大揭秘》一文中曾经做过详细介绍，请大家参看！

    检查木马的方法

    扫描端口是检测木马的常用方法。前面我们说过，在不打开任何网络软件的前
提下，接入互联网的电脑打开的只有139端口。因此，我们可以关闭所有网络软件
，然后，用“代理猎手”这类的端口扫描软件对电脑端口进行扫描，如果发现有
139端口之外的被打开，那么，你是中了木马无疑了。

    要想找到木马的位置，可以运用检测内存的办法。运行“c:
\windows\Drwatson.exe”，这是Windows系统的“华生医生”，它可以对系统内存
拍照，以取得相关的信息。拍照之后，查看“高级视图”中“任务”标签下的“程
序”项，其中列出的就是正在运行的程序。对于可疑的程序，再查“路径”栏，可
以找到这个程序，这样就知道它到底是不是木马了。

    手工删除木马

    如果你认为找到木马后，删除不过是举手之劳，那你就大错特错了。删除木马
，有时候恰恰是最困难的工作，如果删除不彻底，木马很容易“死灰复燃”。首先
想到的方法应该是使用杀毒软件，毕竟优秀的杀毒软件都是千锤百炼出来的“反
恐”高手。那么手工删除要注意什么呢?

    许多木马本身具有自动检测其自启动项目的功能，如果你在未删除木马的情况
下先行删除了其启动项目，木马马上又能将这些启动信息重新写入相关的文件或注
册表相关位置。因此，最稳妥的方法是，在确定木马的位置以后，先重新启动计算
机并进入DOS状态，在DOS下删掉木马程序后，再返回Windows，删除它的相关启动
信息。

    其次是木马文件名的麻烦——木马为了更好地隐藏自己和给你制造麻烦，生成
的服务端文件名类似Windows的系统文件名。比如木马SubSeven 1.7版本的服务器
文件名是c:\windows\kernel16.dll，而Windows有一个系统文件是c:
\windows\kernel32.dll。又如，木马phAse 1.0版本，生成的木马是c:
\windows\system\Msgsrv32.exe，和Windows的系统文件一模一样，只是图标不同
，你能正确区分这些并且删除吗？另外，别忘了，文件名是可以改的。你可能认为
中了netbus木马就该有Mring.exe或者SysEdit.exe这样的文件出现，但是我把它改
成123.exe你又能如何呢？所以，千万别一味依赖“常识”。

    最后也是最困难的，就是木马的“多重攻击”带来的麻烦。比如一种名叫“聪
明基因”的国产“文件关联”型木马，只要服务端被运行，就会生成c:
\windows\MBBManager.exe和Explore32.exe以及c:\windows\system\editor.exe三
个文件，它们用的都是HTM文件图标，如果你的系统设置是不显示已知文件类型的
扩展名，还真会以为它们是HTM文件呢！Explore32.exe关联HLP文件，
MBBManager.exe在启动时加载，Editor.exe关联TXT文件。当你发现并删除了
MBBManager.exe，以为大功告成的时候，只要打开HLP文件或文本文件，哪怕只是
一次，Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。类似手
段甚至更厉害的木马还有很多。

    要手工清除木马，非得有充分的电脑知识，丰富的经验，冷静的头脑，敏锐的
洞察力以及高度的警惕性和超强的分析能力才行——你做得到吗？

    防患于未然

    木马如此凶残，你还有信心战胜它吗？别急，其实对付木马的最好方法，就是
将它“拒之门外”。在这个木马横行的年代，我们实在有必要加强安全防护意识。
防火墙、杀毒软件都要经常更新；要慎重选择下载软件的地方，尽量不要到一些来
历不明的个人主页下载软件；对下载的软件，务必先用杀毒软件扫描后才可以进行
安装，以防其中包藏祸害；另外就是不要打开来历不明邮件中的附件，不要执行别
人发给你的所谓“有趣”的小程序……

    此外，一旦中了木马，首先要断开网络连接，因为这样就是神仙也操纵不了你
了，然后你可以耐心地去清除它。还有就是删除前做好备份，以防操作失误。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店