摘 要 每一個上網(wǎng)的用戶都會和計算機病毒打交道，其中木馬病毒也是最常見的病毒之一，今天讓我們揭去它神秘的面紗，看看他到底是什么真面目。木馬病毒全稱為特洛伊木馬病毒，名字來自于古老的古希臘傳說，在《荷馬史詩》中的木馬計中以特洛伊指代了特洛伊木馬，木馬的英文全稱Trojan，也是取自于木馬計的故事。

關(guān)鍵詞 木馬 計算機病毒 木馬病毒防治 木馬原理

中圖分類號：TP309.5 文獻(xiàn)標(biāo)識碼：A

0 前言

每一個上網(wǎng)的用戶都會和計算機病毒打交道，其中木馬病毒也是最常見的病毒之一，今天讓我們揭去它神秘的面紗，看看他到底是什么真面目。

木馬病毒全稱為特洛伊木馬病毒，名字來自于古老的古希臘傳說，在《荷馬史詩》中的木馬計中以特洛伊指代了特洛伊木馬，木馬的英文全稱Trojan，也是取自于木馬計的故事。

之所以將此種病毒命名為木馬，是因為它的特點和木馬計中的特洛伊木馬極其相似，在木馬計中，特洛伊木馬是為了隱藏破壞，里應(yīng)外合的，而這種計算機程序也起到了相同的作用，他不會自我繁殖，僅僅在計算機中以獨立的個體存在，不會主動去感染其他文件，所以從表面上看來，它是一個十分安靜的病毒。它會以各種方式吸引受害者去下載執(zhí)行，進(jìn)而控制受害者的電腦，向木馬病毒施種者提供打開被種者電腦的門戶，讓施種者可以對被種者的電腦內(nèi)的任何文件進(jìn)行破壞，竊取等惡意操作。如果條件允許的情況下，木馬病毒的施種者可以直接對被施種者電腦進(jìn)行控制操作。

1 木馬的原理及發(fā)展

1.1 木馬病毒的原理

這種卑鄙的程序原理其實十分簡單，對于一個完整的木馬程序成品，會具有兩個部分，即服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。木馬病毒的使用者會使用一切手段將服務(wù)端（服務(wù)器部分）植入被害者電腦，而其自身操作客戶端來控制服務(wù)端。當(dāng)被害者運行了服務(wù)端后，木馬自身會偽裝產(chǎn)生一個用于迷惑被害者的名稱進(jìn)程，進(jìn)而打開向指定地點發(fā)送數(shù)據(jù)的端口。當(dāng)然，如果條件允許的話，木馬施種者也可以通過這些開放的端口來進(jìn)入被害者的電腦，對被害者電腦系統(tǒng)進(jìn)行破壞。

但是這種程序不能自動運行，這也是其一大特點，一般的木馬施種者會把它偽裝成一種對被害者有用的東西或者一份十分有趣的計劃，木馬則暗含在一些用戶下載的文檔中，當(dāng)被害者選擇運行這些文檔程序的時候，連帶著激活了木馬程序，只有這樣才能使木馬病毒開始運行，對被害者的文件和重要資料進(jìn)行竊取和破壞。雖然它具有對文件的竊取功能，但從定義上來講，木馬和后門程序之間還是有本質(zhì)的區(qū)別的，后門是指隱藏在程序內(nèi)部，為后門操作者日后隨時進(jìn)入被害者計算機系統(tǒng)而留下的設(shè)置程序。

1.2 木馬病毒的發(fā)展

木馬程序技術(shù)發(fā)展可以說非常迅速。主要是有些年輕人出于好奇，或是急于顯示自己實力，不斷改進(jìn)木馬程序的編寫。至今木馬程序已經(jīng)經(jīng)歷了六代的改進(jìn)：

第一代，是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發(fā)送信息等，具備了木馬最基本的功能，開始了木馬程序的開端。

第二代，在技術(shù)上有了很大的進(jìn)步，冰河是中國木馬的典型代表之一。冰河木馬開發(fā)于1999年，在設(shè)計之初，開發(fā)者的本意是編寫一個功能強大的遠(yuǎn)程控制軟件。但一經(jīng)推出，就依靠其強大的功能成為了黑客們發(fā)動入侵的工具，并結(jié)束了國外木馬一統(tǒng)天下的局面，成為國產(chǎn)木馬的標(biāo)志和代名詞。

第三代，主要改進(jìn)在數(shù)據(jù)傳遞技術(shù)方面，利用畸形報文傳遞數(shù)據(jù)，增加了殺毒軟件查殺識別的難度，出現(xiàn)了ICMP等類型的木馬，代表性的木馬是ICMP監(jiān)控型木馬?！癐CMP木馬”監(jiān)控，木馬程序英文名字Win32.Troj.IcmpCmd，該木馬可以向指定的已經(jīng)被植入該木馬的IP地址發(fā)送命令，可以直接對感染的計算機進(jìn)行口令修改，獲得最高管理權(quán)，實現(xiàn)重啟計算機打開遠(yuǎn)程SHELL、注入遠(yuǎn)程SHELL等，會給用戶的機器帶來不可預(yù)知的破壞。

第四代， 在進(jìn)程隱藏方面有了很大改動，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程?；蛘邟旖覲SAPI，實現(xiàn)木馬程序的隱藏，甚至在Windows NT/2000下，都達(dá)到了良好的隱藏效果?；银澴雍兔鄯浯蟊I是比較出名的DLL木馬。

第五代，驅(qū)動級木馬。驅(qū)動級木馬多數(shù)都使用了大量的Rootkit技術(shù)來達(dá)到在深度隱藏的效果，并深入到內(nèi)核空間的，感染后針對殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去效應(yīng)。有的驅(qū)動級木馬可駐留BIOS，并且很難查殺。

第六代，隨著身份認(rèn)證UsbKey和殺毒軟件主動防御的興起，黏蟲技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動態(tài)口令和硬證書攻擊為主。

1.3 木馬病毒的未來可能發(fā)展趨勢

1.3.1 關(guān)于winPE的發(fā)展方面的發(fā)展

R0級內(nèi)核攻防的技術(shù)不斷進(jìn)化，現(xiàn)在發(fā)展了內(nèi)核驅(qū)動（各種HOOK）木馬，MBR病毒以及BIOS病毒。只要被病毒或木馬成功運行一次，整個系統(tǒng)的核心防線就會被直接打穿，瞬間就會導(dǎo)致崩潰?，F(xiàn)在，感染了惡性病毒或木馬后，基本上都會選擇進(jìn)入WinPE環(huán)境下進(jìn)行查殺和修復(fù)。那問題來了：

會不會木馬或病毒不僅在正常的Windows環(huán)境下可以運行，在WinPE環(huán)境一樣可以運行，然后進(jìn)行各種破壞？

預(yù)計發(fā)展進(jìn)程：內(nèi)核驅(qū)動木馬→MBR病毒→BIOS病毒→PE病毒

1.3.2 關(guān)于不被廣大用戶注意的硬件木馬

目前的廣大計算機木馬病毒制造者都會把硬件方面的主要目標(biāo)定位在CPU等重要硬件，但是2013年NVIDIA顯卡驅(qū)動爆出漏洞，引起人們注意。未來，除CPU以外的如顯卡，聲卡，網(wǎng)卡等以前不太惹人注意的硬件設(shè)備會被木馬病毒利用，所以不被廣大用戶注意的硬件會成為木馬的目標(biāo)。

2 偽裝手段

首先最常見的還是修改圖標(biāo)和捆綁文件，起一種方式的偽裝效果不是很好，一般情況下，木馬病毒程序制造者會使用一些手段把木馬的服務(wù)端的圖標(biāo)改成TXT，ZIP，HTML等看似沒有什么傷害的各種文件圖標(biāo)，但是此種方法如果在顯示擴(kuò)展名的系統(tǒng)文件顯示條件下，偽裝就會暴露自己，因為文件后面和圖標(biāo)不符的擴(kuò)展名就會暴漏自己。而后一種方法捆綁文件，一般會將木馬程序綁在一種可執(zhí)行性文件上，也可以防止看出擴(kuò)展名帶來的問題，當(dāng)這種程序和被捆綁的程序一起運行時，就可以開始工作了

當(dāng)然，木馬設(shè)計者還會找出更好的方法，因為木馬程序在運行的時候會出現(xiàn)點擊文件后無響應(yīng)，這樣很容易暴漏自己，所以設(shè)計者會設(shè)計出一個文件出錯的方法，當(dāng)運行這個文件后就會有顯示一個錯誤提示框，當(dāng)被害者認(rèn)為是真的時候，設(shè)計者的目的就達(dá)到了。也有的設(shè)計者會選擇對木馬進(jìn)行更名，將木馬安裝成功后就對木馬的文件名進(jìn)行自由定制的權(quán)限放開，使用戶難辨真?zhèn)巍?/p>

更高端的偽裝還有自我銷毀和定制端口兩者方法，自我銷毀則是為了解決很多老木馬病毒的缺點，即在木馬運行后將自身銷毀，使用戶無法找到源文件。而定制端口方式是為了解決老木馬病毒端口固定的問題，控制端的木馬施種者可以在1024-65535之間隨意定制，作為木馬病毒的端口，但一般不選擇1024以下的端口，因為不方便于隱藏。

3 木馬病毒的分類與隱藏手段

3.1 木馬病毒的分類

常見的為網(wǎng)游木馬和即時通訊木馬，面對當(dāng)下網(wǎng)游的普及和對QQ等即時通訊工具軟件的使用，木馬設(shè)計者對網(wǎng)游下手，以盜取網(wǎng)游賬號密碼為目的，常見的為鍵盤記錄，HOOK游戲進(jìn)程API函數(shù)等手段。因為目前網(wǎng)游在中國處于上升的發(fā)展階段，加上不法人員對木馬病毒生成器和一些不法網(wǎng)站對木馬病毒的公開銷售，使該種病毒的種類和數(shù)量一直處于頂峰。而即時通訊類木馬則目的多種，常見的有發(fā)送消息型，盜號型和傳播自身型，主要用于發(fā)送有毒鏈接，偷竊聊天記錄，倒賣賬號，傳播自身病毒等目的，也是目前種類和數(shù)量排名前列的木馬種類。

還有一部分木馬病毒和個人習(xí)慣有關(guān)，比如專門研制為了盜取網(wǎng)銀的網(wǎng)銀木馬病毒，喜歡在網(wǎng)頁中點擊窗口的人則容易成為網(wǎng)頁點擊型木馬的攻擊目標(biāo)，但此類木馬一般是為了賺取較高的推廣流量，所以設(shè)計簡單。還有些偽裝性較強，如下載類木馬將自身安裝成功后向被害者電腦中下載各種其他病毒程序或廣告插件。代理類木馬則在本機開啟HTTP，SOCKS等代理服務(wù)功能，實現(xiàn)了跳板效果。面對FTP型木馬，則控制21號端口，是每個人可以用一個FTP客戶端程序不用密碼就可以連接到受控計算機，并上傳，下載，竊取其機密文件，在近些年的FTP木馬中部分加入了密碼功能，只有攻擊者自身才能進(jìn)入受害者計算機。

3.2 木馬病毒的隱藏手段

對于木馬，偽裝不但要有表面功夫，還要找到合適的地點，所以計算機中很多陰暗角落就成了良好的隱藏的地點，現(xiàn)在就讓我們一起發(fā)現(xiàn)他們，把他們拉到光天化日之下吧。

木馬設(shè)計者采用很多種方法隱藏自己的程序，常見方法并不多。第一項，把自己的木馬程序放入集成程序中，這也是目前廣泛使用的方法，將自身和一款應(yīng)用程序捆綁，如和操作系統(tǒng)綁住，那么只要運行了WINDOWS就可以自動運行了。第二項，木馬可以藏身在Win.ini中，在win.ini中Windows字段后面如有啟動命令“Load=”和“Run=”，一般“=”后面為空白的，若有其他文件，則有可能為木馬程序。第三項，藏身于注冊表，這種方法主要是利用注冊表的復(fù)雜性，這著實讓人痛苦。也有的木馬會偽裝到普通文件中，將自身后綴修改成“XXX.EXE”，也可以迷惑一些對計算機并不了解的人。類似的，木馬也可以在Autoexec.bat和Config.sys中加載，利用配置文件運行自己。當(dāng)然，有的木馬設(shè)計者會在自己的網(wǎng)站上安置惡意代碼，引誘受害者點擊。

4 查殺木馬

從專殺的角度來說，因為就木馬自身很多本質(zhì)性特點來講，它不完全具備一個標(biāo)準(zhǔn)病毒的完整屬性含義，所以從某種角度上來講，木馬不屬于病毒，所以將其從廣大病毒大軍中剝離出來。現(xiàn)在大多軟件制造者單獨制作木馬專殺，這樣可以有效提高查殺效率，畢竟節(jié)約時間就是保護(hù)機密文件和信息不被泄漏的最好方式，越早處理，損失就越少。像瑞星，江民等大型殺毒案件公司單獨制作的木馬專殺工具已經(jīng)基本普及，而類似于“木馬殺客”等專業(yè)查殺木馬的軟件也毫不遜色。

從自身手動查殺角度講，可以利用計算機上的命令提示符錄入一些指令，也可以完成自己查殺的效果。首先在命令提示符中錄入netstat-an命令，觀察計算機上的鏈接。其次，利用net start找到不明服務(wù)項，利用net stor serve來禁用。

5 木馬病毒的正常防范

5.1 木馬病毒防范基本原理

經(jīng)常使用木馬專殺對系統(tǒng)內(nèi)文件進(jìn)行全盤檢查，并且安裝防火墻，過濾掉網(wǎng)上的一些危險文件包和不明惡意代碼。另外不隨意訪問來歷不明的網(wǎng)站，不用來歷不明的軟件，及時對系統(tǒng)的漏洞進(jìn)行修復(fù)更新等，雖然我們手中握著殺死木馬的利器，但是防范于未然，提高自身防范意識，才能讓木馬設(shè)計制造者無機可乘。

5.2 木馬病毒防范細(xì)節(jié)

在面對木馬病毒的防范，有一些小細(xì)節(jié)當(dāng)然也需要注意：

（1）禁用OE自動收發(fā)郵件功能。

（2）安裝殺毒軟件，并及時更新。

（3）禁用文件系統(tǒng)對象FILESYSTEM OBJECT.

（4）對于文件的擴(kuò)展名不進(jìn)行隱藏，及時對新建文件的擴(kuò)展名的進(jìn)行檢索，出現(xiàn)異常的文件要及時進(jìn)行檢索查殺。

木馬是一種讓人痛恨的病毒，它竊取機密文件，破壞系統(tǒng)文件，可謂無惡不做，但是當(dāng)我們?nèi)媪私馑院螅蚁嘈盼覀儽貢氐讘?zhàn)勝它，讓我們擁有一片更安全，更干凈的網(wǎng)絡(luò)家園。