什么是特洛伊木馬?木馬，其實質(zhì)只是一個網(wǎng)絡(luò)客戶/服務(wù)程序。網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺主機提供服務(wù)(服務(wù)器)，另一臺主機接受服務(wù)(客戶機)。作為服務(wù)器的主機一般會打開一個默認的端口開進行監(jiān)聽 (Listen)，如果有客戶機間服務(wù)器的這一端口提出連接請求(Connect Request)，服務(wù)器上的相應(yīng)程序就會自動運行，應(yīng)答客戶機的請求，這個程序我們稱為守護進程。就我們前面所講木馬來說，被控制端相當于一臺服務(wù)器，控制端則相當于一臺客戶機，被控制端為控制端提供服務(wù)。

木馬具有以下6個特性:

1.包含干正常程序中，當用戶執(zhí)行正常程序時，啟動自身，在用戶難以察覺的情況下，完成一些危害用戶的操作，具有隱蔽性

由于木馬所從事的是“地下工作”，因此它必須將自己隱藏起來，并且會想盡一切辦法不讓你發(fā)現(xiàn)它。很多人對木馬和遠程控制軟件有點分不清，還是讓我們舉個例子來說吧。我們進行局域網(wǎng)間通訊的常用軟件PCanywhere大家一定不陌生吧?

我們都知道它是一款遠程控制軟件。PCanywhere比在服務(wù)器端運行時，客戶端與服務(wù)器端連接成功后，客戶端機上會出現(xiàn)很醒目的提示標志;而木馬類的軟件的服務(wù)器端在運行的時候應(yīng)用各種手段隱藏自己，不可能出現(xiàn)任何明顯的標志。木馬開發(fā)者早就想到了可能暴露木馬蹤跡的問題，把它們隱藏起來了。例如大家所熟悉木馬修改注冊表和而文件以便機器在下一次啟動后仍能載入木馬程式，它不是自己生成一個啟動程序，而是依附在其他程序之中。有些木馬把服務(wù)器端和正常程序綁定成一個程序的軟件，叫做exe-binder綁定程序，可以讓人在使用綁定的程序時，木馬也入侵了系統(tǒng)。甚至有個別木馬程序能把它自身的exe文件和服務(wù)端的圖片文件綁定，在你看圖片的時候，木馬便侵人了你的系統(tǒng)。它的隱蔽性主要體現(xiàn)在以下2個方面:

(1)不產(chǎn)生圖標

木馬雖然在你系統(tǒng)啟動時會自動運行，但它不會在"任務(wù)欄"中產(chǎn)生一個圖標，這是容易理解的，不然的話，你看到任務(wù)欄中出現(xiàn)一個來歷不明的圖標，你不起疑心才怪呢!

(2)木馬程序自動在任務(wù)管理器中隱藏，并以"系統(tǒng)服務(wù)"的方式欺騙操作系統(tǒng)。

2.具有自動運行性。

木馬為了控制服務(wù)端。它必須在系統(tǒng)啟動時即跟隨啟動，所以它必須潛人在你的啟動配置文件中，如w in.ini、system.ini、w instart.bat以 及 啟動組等文件之中。

3.包含具有未公開并且可能產(chǎn)生危險后果的功能的程序。

4.具備自動恢復(fù)功能。

現(xiàn)在很多的木馬程序中的功能模塊巴不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。當你刪除了其中的一個，以為萬事大吉又運行了其他程序的時候，誰知它又悄然出現(xiàn)。像幽靈一樣，防不勝防。

5.能自動打開特別的端口。

木馬程序潛人你的電腦之中的目的主要不是為了破壞你的系統(tǒng)，而是為了獲取你的系統(tǒng)中有用的信息，當你上網(wǎng)時能與遠端客戶進行通訊，這樣木馬程序就會用服務(wù)器尸客戶端的通訊手段把信息告訴黑客們，以便黑客們控制你的機器，或?qū)嵤┻M一步的人侵企圖。你知道你的電腦有多少個端口?不知道吧?告訴你別嚇著:根據(jù)TCP/IP協(xié)議，每臺電腦可以有256乘以256個端口，也即從0到65535號"門"，但我們常用的只有少數(shù)幾個，木馬經(jīng)常利用我們不大用的這些端口進行連接，大開方便之“門”。

6、功能的特殊性。

通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作以及鎖定鼠標等功能。上面所講的遠程控制軟件當然不會有這些功能，畢竟遠程控制軟件是用來控制遠程機器，方便自己操作而已，而不是用來黑對方的機器的。