木馬程序的發(fā)展、分類和功能

木馬的發(fā)展與分類

木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠(yuǎn)程控制用戶的計(jì)算機(jī)。木馬全稱特洛伊木馬，其名稱源于古希臘神話中的《特洛伊木馬記》。在公元前12世紀(jì)，希臘向特洛伊城宣戰(zhàn)，交戰(zhàn)了10年也沒有取得勝利。最后，希臘軍隊(duì)佯裝撤退，并在特洛伊城外留下很多巨大的木馬。這些木馬是空心的，里面藏了希臘最好的戰(zhàn)士。在希臘人佯裝撤走后，特洛伊人把這些木馬作為戰(zhàn)利品拉進(jìn)了城。當(dāng)晚，希臘戰(zhàn)士從木馬中出來并與城外的希臘軍隊(duì)里應(yīng)外合攻下特洛伊城，這就是特洛伊木馬名稱的由來。因此，特洛伊木馬一般會偽裝成合法程序植入系統(tǒng)，進(jìn)而對系統(tǒng)安全構(gòu)成威脅。完整的木馬程序一般由兩部分組成，一是服務(wù)器被控制端程序，二是客戶端控制端程序。黑客主要利用植入目標(biāo)主機(jī)的客戶端控制端程序來控制目標(biāo)主機(jī)。

（1）木馬技術(shù)的發(fā)展

從木馬技術(shù)的發(fā)展來看，其基本上可分為4代。

第1代木馬功能單一，只是實(shí)現(xiàn)簡單的密碼竊取與發(fā)送等，在隱藏和通信方面均無特別之處。

第2代木馬在隱藏、自啟動和操縱服務(wù)器等方面有了很大進(jìn)步。國外具有代表性的第2代木馬有BOZ000和Sub7。冰河可以說是國內(nèi)木馬的典型代表之一，它可以對注冊表進(jìn)行操作以實(shí)現(xiàn)自動運(yùn)行，并能通過將程序設(shè)置為系統(tǒng)進(jìn)程來進(jìn)行偽裝隱藏。

第3代木馬在數(shù)據(jù)傳遞技術(shù)上有了根本性的進(jìn)步，出現(xiàn)了ICMP等特殊報(bào)文類型傳遞數(shù)據(jù)的木馬，增加了查殺的難度。這一代木馬在進(jìn)程隱藏方面也做了很大的改進(jìn)，并采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)嵌入DLL線程，實(shí)現(xiàn)木馬程序的隱藏，達(dá)到了良好的隱藏效果。

第4代木馬實(shí)現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必像以前的木馬那樣需要欺騙用戶主動激活。具有代表性的等4代木馬有最近新出現(xiàn)的磁碟機(jī)和機(jī)器狗木馬等。

（2）木馬程序的分類

根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動作方式，可以把現(xiàn)在的木馬程序分為以下5類。

1）遠(yuǎn)程控制型

遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬具有遠(yuǎn)程監(jiān)控的功能，使用簡單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)并與控制端客戶程序建立網(wǎng)絡(luò)連接，就能使控制者任意訪問被控制的計(jì)算機(jī)。這種木馬在控制端的控制下可以在被控主機(jī)上做任何事情，如鍵盤記錄、文件上傳/下載、屏幕截取、遠(yuǎn)程執(zhí)行等。

2）密碼發(fā)送型

密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在用戶不知情的情況下把它們發(fā)送到指定的郵箱。在大多數(shù)情況下，這類木馬程序不會在每次Windows系統(tǒng)重啟時都自動加載，它們大多數(shù)使用25端口發(fā)送電子郵件。

3）鍵盤記錄型

鍵盤記錄型木馬非常簡單，它們只做一件事情，就是記錄用戶的鍵盤敲擊，并且在LOG文件里進(jìn)行完整的記錄。這種木馬程序會隨著Windows系統(tǒng)的啟動而自動加載，并能感知受害主機(jī)在線，且記錄每一個用戶事件，然后通過郵件或其他方式將用戶事件發(fā)送給控制者。

4）毀壞型

大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機(jī)上所有的.ini或.exe文件，甚至遠(yuǎn)程格式化受控主機(jī)硬盤，使受控主機(jī)上的所有信息都受到破壞?？偠灾擃惸抉R的目標(biāo)只有一個，就是盡可能地毀壞受感染系統(tǒng)，使其癱瘓。

5）FTP型

FTP型木馬會打開被控主機(jī)系統(tǒng)的21號端口（FTP服務(wù)所使用的默認(rèn)端口），使每個人都可以用一個FTP客戶端程序無需密碼就能連接到被控主機(jī)系統(tǒng)，進(jìn)而進(jìn)行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機(jī)密文件。

根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以將木馬分為以下兩類。

正向連接型：發(fā)起連接的方向?yàn)榭刂贫说奖豢刂贫?，這種技術(shù)被早期的木馬廣泛采用，其缺點(diǎn)是不能透過防火墻發(fā)起連接。

反向連接型：發(fā)起連接的方向?yàn)楸豢刂贫说娇刂贫?，其出現(xiàn)主要是為了解決從內(nèi)向外不能發(fā)起連接這一問題。其已經(jīng)被較新的木馬廣泛采用。

根據(jù)木馬使用的架構(gòu)，木馬可分為4類。

C/S架構(gòu)：這種架構(gòu)是普通的服務(wù)器、客戶端的傳統(tǒng)架構(gòu)，一般將客戶端作為控制端，服務(wù)器端作為被控制端。在編程實(shí)現(xiàn)的時候，如果采用反向連接的技術(shù)，那么客戶端（也就是控制端）就要采用socket編程的服務(wù)器端的方法，而服務(wù)端（也就是被控制端）就要采用Socket編程的客戶端的方法。

B/S架構(gòu)：這種架構(gòu)是普通的網(wǎng)頁木馬所采用的方式。通常在B/S架構(gòu)下，服務(wù)器端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應(yīng)的網(wǎng)頁，進(jìn)而達(dá)到對服務(wù)器端進(jìn)行控制的目的。

C/P/S架構(gòu)：這里的P意為Proxy，也就是在這種架構(gòu)中使用了代理。當(dāng)然，為了實(shí)現(xiàn)正常的通信，代理也要由木馬作者編程實(shí)現(xiàn)，進(jìn)而才能實(shí)現(xiàn)一個轉(zhuǎn)換通信。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個內(nèi)部網(wǎng)絡(luò)對另外一個內(nèi)部網(wǎng)絡(luò)的控制。但是，這種架構(gòu)的木馬目前還沒有被發(fā)現(xiàn)。

B/S/B架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)一個內(nèi)部網(wǎng)絡(luò)對另外一個內(nèi)部網(wǎng)絡(luò)的控制。當(dāng)被控制端與控制端都打開瀏覽器瀏覽這個服務(wù)器上的網(wǎng)頁時，一端就變成了控制端，而另一端就變成了被控制端。這種架構(gòu)的木馬已經(jīng)在國外出現(xiàn)。

根據(jù)木馬存在的形態(tài)的不同，可將木馬分為以下幾種：

傳統(tǒng)EXE程序文件木馬：這是最常見、最普通的木馬，即在目標(biāo)計(jì)算機(jī)中以.exe文件運(yùn)行的木馬。

傳統(tǒng)DLL/VXD木馬：此類木馬自身無法運(yùn)行，它們須利用系統(tǒng)啟動或其他程序來運(yùn)行，或使用Rundi132.exe來運(yùn)行。

替換關(guān)聯(lián)式DLL木馬：這種木馬本質(zhì)上仍然是DLL木馬，但它卻會替換某個系統(tǒng)的DLL文件并將它改名。

嵌入式DLL木馬：這種木馬利用遠(yuǎn)程緩沖區(qū)溢出的入侵方式，從遠(yuǎn)程將木馬代碼寫入目前正在運(yùn)行的某個程序的內(nèi)存中，然后利用更改意外處理的方式來運(yùn)行木馬代碼。這種技術(shù)在操作上難度較高。

網(wǎng)頁木馬：即利用腳本等設(shè)計(jì)的木馬。這種木馬會利用IE等的漏洞嵌入目標(biāo)主機(jī)，傳播范圍廣。

溢出型木馬：即將緩沖區(qū)溢出攻擊和木馬相結(jié)合的木馬，其實(shí)現(xiàn)方式有很多特點(diǎn)和優(yōu)勢，屬于一種較新的木馬類型。

此外，根據(jù)隱藏方式，木馬可以分為以下幾類：本地文件隱藏、啟動隱藏、進(jìn)程隱藏、通信隱藏、內(nèi)核模塊隱藏和協(xié)同隱藏等。隱藏技術(shù)是木馬的關(guān)鍵技術(shù)之一，直接決定木馬的生存能力。木馬與遠(yuǎn)程控制程序的主要不同點(diǎn)就在于它的隱蔽性，木馬的隱蔽性是木馬能否長期存活的關(guān)鍵。

（3）木馬的功能

木馬的功能可以概括為以下5種。

1）管理遠(yuǎn)程文件

對被控主機(jī)的系統(tǒng)資源進(jìn)行管理，如復(fù)制文件、刪除文件、查看文件、以及上傳/下載文件等。

2）打開未授權(quán)的服務(wù)

為遠(yuǎn)程計(jì)算機(jī)安裝常用的網(wǎng)絡(luò)服務(wù)，令它為黑客或其他非法用戶服務(wù)。例如，被木馬設(shè)定為FTP文件服務(wù)器后的計(jì)算機(jī)，可以提供FTP文件傳輸服務(wù)、為客戶端打開文件共享服務(wù)，這樣，黑客就可以輕松獲取用戶硬盤上的信息。

3）監(jiān)視遠(yuǎn)程屏幕

實(shí)時截取屏幕圖像，可以將截取到的圖像另存為圖片文件;實(shí)時監(jiān)視遠(yuǎn)程用戶目前正在進(jìn)行的操作。

4）控制遠(yuǎn)程計(jì)算機(jī)

通過命令或遠(yuǎn)程監(jiān)視窗口直接控制遠(yuǎn)程計(jì)算機(jī)。例如，控制遠(yuǎn)程計(jì)算機(jī)執(zhí)行程序、打開文件或向其他計(jì)算機(jī)發(fā)動攻擊等。

5）竊取數(shù)據(jù)

以竊取數(shù)據(jù)為目的，本身不破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。它以系統(tǒng)使用者很難察覺的方式向外傳送數(shù)據(jù)，典型代表為鍵盤和鼠標(biāo)操作記錄型木馬。
責(zé)編AJX