木馬的發展與分類

木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠程控制用戶的計算機。木馬全稱特洛伊木馬，其名稱源于古希臘神話中的《特洛伊木馬記》。在公元前12世紀，希臘向特洛伊城宣戰，交戰了10年也沒有取得勝利。最后，希臘軍隊佯裝撤退，并在特洛伊城外留下很多巨大的木馬。這些木馬是空心的，里面藏了希臘最好的戰士。在希臘人佯裝撤走后，特洛伊人把這些木馬作為戰利品拉進了城。當晚，希臘戰士從木馬中出來并與城外的希臘軍隊里應外合攻下特洛伊城，這就是特洛伊木馬名稱的由來。因此，特洛伊木馬一般會偽裝成合法程序植入系統，進而對系統安全構成威脅。完整的木馬程序一般由兩部分組成，一是服務器被控制端程序，二是客戶端控制端程序。黑客主要利用植入目標主機的客戶端控制端程序來控制目標主機。

（1）木馬技術的發展

從木馬技術的發展來看，其基本上可分為4代。

第1代木馬功能單一，只是實現簡單的密碼竊取與發送等，在隱藏和通信方面均無特別之處。

第2代木馬在隱藏、自啟動和操縱服務器等方面有了很大進步。國外具有代表性的第2代木馬有BOZ000和Sub7。冰河可以說是國內木馬的典型代表之一，它可以對注冊表進行操作以實現自動運行，并能通過將程序設置為系統進程來進行偽裝隱藏。

第3代木馬在數據傳遞技術上有了根本性的進步，出現了ICMP等特殊報文類型傳遞數據的木馬，增加了查殺的難度。這一代木馬在進程隱藏方面也做了很大的改進，并采用了內核插入式的嵌入方式，利用遠程插入線程技術嵌入DLL線程，實現木馬程序的隱藏，達到了良好的隱藏效果。

第4代木馬實現了與病毒緊密結合，利用操作系統漏洞，直接實現感染傳播的目的，而不必像以前的木馬那樣需要欺騙用戶主動激活。具有代表性的等4代木馬有最近新出現的磁碟機和機器狗木馬等。

（2）木馬程序的分類

根據木馬程序對計算機的具體動作方式，可以把現在的木馬程序分為以下5類。

1）遠程控制型

遠程控制型木馬是現今最廣泛的特洛伊木馬，這種木馬具有遠程監控的功能，使用簡單，只要被控制主機聯入網絡并與控制端客戶程序建立網絡連接，就能使控制者任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任何事情，如鍵盤記錄、文件上傳/下載、屏幕截取、遠程執行等。

2）密碼發送型

密碼發送型木馬的目的是找到所有的隱藏密碼，并且在用戶不知情的情況下把它們發送到指定的郵箱。在大多數情況下，這類木馬程序不會在每次Windows系統重啟時都自動加載，它們大多數使用25端口發送電子郵件。

3）鍵盤記錄型

鍵盤記錄型木馬非常簡單，它們只做一件事情，就是記錄用戶的鍵盤敲擊，并且在LOG文件里進行完整的記錄。這種木馬程序會隨著Windows系統的啟動而自動加載，并能感知受害主機在線，且記錄每一個用戶事件，然后通過郵件或其他方式將用戶事件發送給控制者。

4）毀壞型

大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機上所有的.ini或.exe文件，甚至遠程格式化受控主機硬盤，使受控主機上的所有信息都受到破壞?？偠灾擃惸抉R的目標只有一個，就是盡可能地毀壞受感染系統，使其癱瘓。

5）FTP型

FTP型木馬會打開被控主機系統的21號端口（FTP服務所使用的默認端口），使每個人都可以用一個FTP客戶端程序無需密碼就能連接到被控主機系統，進而進行最高權限的文件上傳和下載，竊取受害系統中的機密文件。

根據木馬的網絡連接方向，可以將木馬分為以下兩類。

正向連接型：發起連接的方向為控制端到被控制端，這種技術被早期的木馬廣泛采用，其缺點是不能透過防火墻發起連接。

反向連接型：發起連接的方向為被控制端到控制端，其出現主要是為了解決從內向外不能發起連接這一問題。其已經被較新的木馬廣泛采用。

根據木馬使用的架構，木馬可分為4類。

C/S架構：這種架構是普通的服務器、客戶端的傳統架構，一般將客戶端作為控制端，服務器端作為被控制端。在編程實現的時候，如果采用反向連接的技術，那么客戶端（也就是控制端）就要采用socket編程的服務器端的方法，而服務端（也就是被控制端）就要采用Socket編程的客戶端的方法。

B/S架構：這種架構是普通的網頁木馬所采用的方式。通常在B/S架構下，服務器端被上傳了網頁木馬，控制端可以使用瀏覽器來訪問相應的網頁，進而達到對服務器端進行控制的目的。

C/P/S架構：這里的P意為Proxy，也就是在這種架構中使用了代理。當然，為了實現正常的通信，代理也要由木馬作者編程實現，進而才能實現一個轉換通信。這種架構的出現，主要是為了適應一個內部網絡對另外一個內部網絡的控制。但是，這種架構的木馬目前還沒有被發現。

B/S/B架構：這種架構的出現，也是為了適應一個內部網絡對另外一個內部網絡的控制。當被控制端與控制端都打開瀏覽器瀏覽這個服務器上的網頁時，一端就變成了控制端，而另一端就變成了被控制端。這種架構的木馬已經在國外出現。

根據木馬存在的形態的不同，可將木馬分為以下幾種：

傳統EXE程序文件木馬：這是最常見、最普通的木馬，即在目標計算機中以.exe文件運行的木馬。

傳統DLL/VXD木馬：此類木馬自身無法運行，它們須利用系統啟動或其他程序來運行，或使用Rundi132.exe來運行。

替換關聯式DLL木馬：這種木馬本質上仍然是DLL木馬，但它卻會替換某個系統的DLL文件并將它改名。

嵌入式DLL木馬：這種木馬利用遠程緩沖區溢出的入侵方式，從遠程將木馬代碼寫入目前正在運行的某個程序的內存中，然后利用更改意外處理的方式來運行木馬代碼。這種技術在操作上難度較高。

網頁木馬：即利用腳本等設計的木馬。這種木馬會利用IE等的漏洞嵌入目標主機，傳播范圍廣。

溢出型木馬：即將緩沖區溢出攻擊和木馬相結合的木馬，其實現方式有很多特點和優勢，屬于一種較新的木馬類型。

此外，根據隱藏方式，木馬可以分為以下幾類：本地文件隱藏、啟動隱藏、進程隱藏、通信隱藏、內核模塊隱藏和協同隱藏等。隱藏技術是木馬的關鍵技術之一，直接決定木馬的生存能力。木馬與遠程控制程序的主要不同點就在于它的隱蔽性，木馬的隱蔽性是木馬能否長期存活的關鍵。

（3）木馬的功能

木馬的功能可以概括為以下5種。

1）管理遠程文件

對被控主機的系統資源進行管理，如復制文件、刪除文件、查看文件、以及上傳/下載文件等。

2）打開未授權的服務

為遠程計算機安裝常用的網絡服務，令它為黑客或其他非法用戶服務。例如，被木馬設定為FTP文件服務器后的計算機，可以提供FTP文件傳輸服務、為客戶端打開文件共享服務，這樣，黑客就可以輕松獲取用戶硬盤上的信息。

3）監視遠程屏幕

實時截取屏幕圖像，可以將截取到的圖像另存為圖片文件;實時監視遠程用戶目前正在進行的操作。

4）控制遠程計算機

通過命令或遠程監視窗口直接控制遠程計算機。例如，控制遠程計算機執行程序、打開文件或向其他計算機發動攻擊等。

5）竊取數據

以竊取數據為目的，本身不破壞計算機的文件和數據，不妨礙系統的正常工作。它以系統使用者很難察覺的方式向外傳送數據，典型代表為鍵盤和鼠標操作記錄型木馬。
責編AJX