本页使用了标题或全文手工转换

特洛伊木马 (电脑)

维基百科,自由的百科全书
跳转至: 导航搜索

特洛伊木马(Trojan Horse),在计算机领域中指的是一种后门程序,是黑客用来盗取其他用户的个人信息,甚至是远程控制对方的计算机而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。与病毒相似,木马程序有很强的隐秘性,随操作系统启动而启动。

名字由來[编辑]

“木马”这一名称来源于一个希腊神话。攻城的希腊联军佯装撤退后留下了一只木马,特洛伊人将其当作战利品带回城内。当特洛伊人为胜利而庆祝时,从木马中出来了一队希腊兵,它们悄悄打开城门,放进了城外的军队,最终攻克了特洛伊城。计算机中所说的木马与病毒一样也是一种有害的程序,其特征与特洛伊木马一样具有伪装性,看起来挺好的,却会在使用者不经意间,对使用者的计算机系统产生破坏或窃取数据,特别是使用者的各种账户及口令等重要且需要保密的信息,甚至控制使用者的计算机系統。

原理[编辑]

一個完整的特洛伊木馬套裝程式含了兩部分:服務端(伺服器部分)和用戶端(控制器部分)。植入對方電腦的是服務端,而駭客正是利用用戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後,會產生一個有著容易迷惑用戶的名稱的進程,暗中打開,向指定地點發送資料(如網路遊戲密碼即時通訊軟體密碼和用戶上網密碼等),黑客甚至可以利用這些打開的埠進入電腦系統。

特洛伊木馬程式不能自動操作, 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式的, 它可能看起來是有用或者有趣的計畫(或者至少無害)對一不懷疑的用戶來說,但是實際上有害當它被執行。 特洛伊木馬不會自動執行,它是暗含在某些用戶感興趣的文檔中,用戶下載時附帶的。當用戶執行文檔程式時,特洛伊木馬才會運行,資訊或文檔才會被破壞和遺失。 特洛伊木馬和後門不一樣,後門指隱藏在程式中的秘密功能,通常是程式設計者為了能在日後隨意進入系統而設置的。

特洛伊木馬有兩種,universale的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。

特徵[编辑]

特洛伊木馬不經電腦用戶准許就可獲得電腦的使用權。程式容量十分輕小,執行時不會浪費太多資源,因此沒有使用防毒軟件是難以發覺的;執行時很難阻止它的行動,執行後,立刻自動登錄系統啟動區,之後每次在Windows載入時自動執行;或立刻自動變更檔名,甚至隱形;或馬上自動複製到其他資料夾中,執行連用戶本身都無法執行的動作;或瀏覽器自動連往奇怪或特定的網頁。

发展[编辑]

木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:

  • 第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
  • 第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。
  • 第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
  • 第四代,在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子蜜蜂大盗是比较出名的DLL木马
  • 第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
  • 第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。PassCopy暗黑蜘蛛侠是这类木马的代表。

中毒症状[编辑]

木马的植入通常是利用了操作系统的漏洞,绕过了对方的防御措施(如防火墙)。中了特洛伊木马程序的计算机,因为资源被佔用,速度会减慢,莫名死机,且使用者資訊可能會被竊取,導致資料外洩等情況發生。

解决办法[编辑]

特洛伊木马大部分可以被杀毒软件识别清除。但很多时候,需要用户去手动清除某些文件,注册表项等。 不具有破坏防火墙功能的木马可以被防火墙拦截。

著名木马[编辑]

  • 海外著名木马
    • Back Orifice(BO)
    • NetBus Pro
    • SUB7

参见[编辑]