关于木马的基本知识

周澄澄

木马，也称特伊洛木马，名称源于古希腊的特伊洛马神话，此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。
尽管资深的黑客不屑于使用木马，但在对以往网络安全事件的分析统计里，我们发现，有相当部分的网络入侵是通过木马来进行的，包括去年微软被黑一案，据称该黑客是通过一种普通的蠕虫木马侵入微软的系统的，并且窃取了微软部分产品的源码。
木马的危害性在于它对电脑系统强大的控制和破坏能力，窃取密码、控制系统操作、进行文件操作等等，一个功能强大的木马一旦被植入你的机器，攻击者就可以象操作自己的机器一样控制你的机器，甚至可以远程监控你的所有操作。
木马是如何侵入的？
    一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。
目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统里，如邮件、下载等，然后通过一定的提示故意误导被攻击者打开执行文件，比如故意谎称这是个木马执行文件是你朋友送给你贺卡，可能你打开这个文件后，确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。
    一般的木马执行文件非常小，大到都是几K到几十K，如果把木马**到其它正常文件上，你很难发现的，所以，有一些网站提供的软件下载往往是**了木马文件的，在你执行这些下载的文件，也同时运行了木马。
木马也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式植入，由于微软的浏览器在执行Script脚本上存在一些漏洞，攻击者可以利用这些漏洞传皤病毒和木马，甚至直接对浏览者电脑进行文件操作等控制，前不久就出现一个利用微软Scripts脚本漏洞对浏览者硬盘进行格式化的Html页面。如果攻击者有办法把木马执行文件上载到攻击主机的一个可执行WWW目录夹里面，他可以通过编制Cgi程序在攻击主机上执行木马目录.
   木马还可以利用系统的一些漏洞进行植入，如微软著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序即在把IIS服务器崩溃，并且同时在攻击服务器执行远程木马执行文件。
木马如何将入侵主机信息发送给攻击者？
     木马在被植入攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制攻击主机。
在早期的木马里面，大多都是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击都就不用直接连接攻击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马即是如此。
使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，可以能过这个电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。