木馬的發(fā)展與分類

木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠程控制用戶的計算機。木馬全稱特洛伊木馬，其名稱源于古希臘神話中的《特洛伊木馬記》。在公元前12世紀，希臘向特洛伊城宣戰(zhàn)，交戰(zhàn)了10年也沒有取得勝利。最后，希臘軍隊佯裝撤退，并在特洛伊城外留下很多巨大的木馬。這些木馬是空心的，里面藏了希臘最好的戰(zhàn)士。在希臘人佯裝撤走后，特洛伊人把這些木馬作為戰(zhàn)利品拉進了城。當晚，希臘戰(zhàn)士從木馬中出來并與城外的希臘軍隊里應外合攻下特洛伊城，這就是特洛伊木馬名稱的由來。因此，特洛伊木馬一般會偽裝成合法程序植入系統(tǒng)，進而對系統(tǒng)安全構成威脅。完整的木馬程序一般由兩部分組成，一是服務器被控制端程序，二是客戶端控制端程序。黑客主要利用植入目標主機的客戶端控制端程序來控制目標主機。

（1）木馬技術的發(fā)展

從木馬技術的發(fā)展來看，其基本上可分為4代。

第1代木馬功能單一，只是實現(xiàn)簡單的密碼竊取與發(fā)送等，在隱藏和通信方面均無特別之處。

第2代木馬在隱藏、自啟動和操縱服務器等方面有了很大進步。國外具有代表性的第2代木馬有BOZ000和Sub7。冰河可以說是國內木馬的典型代表之一，它可以對注冊表進行操作以實現(xiàn)自動運行，并能通過將程序設置為系統(tǒng)進程來進行偽裝隱藏。

第3代木馬在數(shù)據(jù)傳遞技術上有了根本性的進步，出現(xiàn)了ICMP等特殊報文類型傳遞數(shù)據(jù)的木馬，增加了查殺的難度。這一代木馬在進程隱藏方面也做了很大的改進，并采用了內核插入式的嵌入方式，利用遠程插入線程技術嵌入DLL線程，實現(xiàn)木馬程序的隱藏，達到了良好的隱藏效果。

第4代木馬實現(xiàn)了與病毒緊密結合，利用操作系統(tǒng)漏洞，直接實現(xiàn)感染傳播的目的，而不必像以前的木馬那樣需要欺騙用戶主動激活。具有代表性的等4代木馬有最近新出現(xiàn)的磁碟機和機器狗木馬等。

（2）木馬程序的分類

根據(jù)木馬程序對計算機的具體動作方式，可以把現(xiàn)在的木馬程序分為以下5類。

1）遠程控制型

遠程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬具有遠程監(jiān)控的功能，使用簡單，只要被控制主機聯(lián)入網(wǎng)絡并與控制端客戶程序建立網(wǎng)絡連接，就能使控制者任意訪問被控制的計算機。這種木馬在控制端的控制下可以在被控主機上做任何事情，如鍵盤記錄、文件上傳/下載、屏幕截取、遠程執(zhí)行等。

2）密碼發(fā)送型

密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在用戶不知情的情況下把它們發(fā)送到指定的郵箱。在大多數(shù)情況下，這類木馬程序不會在每次Windows系統(tǒng)重啟時都自動加載，它們大多數(shù)使用25端口發(fā)送電子郵件。

3）鍵盤記錄型

鍵盤記錄型木馬非常簡單，它們只做一件事情，就是記錄用戶的鍵盤敲擊，并且在LOG文件里進行完整的記錄。這種木馬程序會隨著Windows系統(tǒng)的啟動而自動加載，并能感知受害主機在線，且記錄每一個用戶事件，然后通過郵件或其他方式將用戶事件發(fā)送給控制者。

4）毀壞型

大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動刪除受控主機上所有的.ini或.exe文件，甚至遠程格式化受控主機硬盤，使受控主機上的所有信息都受到破壞?？偠灾?，該類木馬的目標只有一個，就是盡可能地毀壞受感染系統(tǒng)，使其癱瘓。

5）FTP型

FTP型木馬會打開被控主機系統(tǒng)的21號端口（FTP服務所使用的默認端口），使每個人都可以用一個FTP客戶端程序無需密碼就能連接到被控主機系統(tǒng)，進而進行最高權限的文件上傳和下載，竊取受害系統(tǒng)中的機密文件。

根據(jù)木馬的網(wǎng)絡連接方向，可以將木馬分為以下兩類。

正向連接型：發(fā)起連接的方向為控制端到被控制端，這種技術被早期的木馬廣泛采用，其缺點是不能透過防火墻發(fā)起連接。

反向連接型：發(fā)起連接的方向為被控制端到控制端，其出現(xiàn)主要是為了解決從內向外不能發(fā)起連接這一問題。其已經(jīng)被較新的木馬廣泛采用。

根據(jù)木馬使用的架構，木馬可分為4類。

C/S架構：這種架構是普通的服務器、客戶端的傳統(tǒng)架構，一般將客戶端作為控制端，服務器端作為被控制端。在編程實現(xiàn)的時候，如果采用反向連接的技術，那么客戶端（也就是控制端）就要采用socket編程的服務器端的方法，而服務端（也就是被控制端）就要采用Socket編程的客戶端的方法。

B/S架構：這種架構是普通的網(wǎng)頁木馬所采用的方式。通常在B/S架構下，服務器端被上傳了網(wǎng)頁木馬，控制端可以使用瀏覽器來訪問相應的網(wǎng)頁，進而達到對服務器端進行控制的目的。

C/P/S架構：這里的P意為Proxy，也就是在這種架構中使用了代理。當然，為了實現(xiàn)正常的通信，代理也要由木馬作者編程實現(xiàn)，進而才能實現(xiàn)一個轉換通信。這種架構的出現(xiàn)，主要是為了適應一個內部網(wǎng)絡對另外一個內部網(wǎng)絡的控制。但是，這種架構的木馬目前還沒有被發(fā)現(xiàn)。

B/S/B架構：這種架構的出現(xiàn)，也是為了適應一個內部網(wǎng)絡對另外一個內部網(wǎng)絡的控制。當被控制端與控制端都打開瀏覽器瀏覽這個服務器上的網(wǎng)頁時，一端就變成了控制端，而另一端就變成了被控制端。這種架構的木馬已經(jīng)在國外出現(xiàn)。

根據(jù)木馬存在的形態(tài)的不同，可將木馬分為以下幾種：

傳統(tǒng)EXE程序文件木馬：這是最常見、最普通的木馬，即在目標計算機中以.exe文件運行的木馬。

傳統(tǒng)DLL/VXD木馬：此類木馬自身無法運行，它們須利用系統(tǒng)啟動或其他程序來運行，或使用Rundi132.exe來運行。

替換關聯(lián)式DLL木馬：這種木馬本質上仍然是DLL木馬，但它卻會替換某個系統(tǒng)的DLL文件并將它改名。

嵌入式DLL木馬：這種木馬利用遠程緩沖區(qū)溢出的入侵方式，從遠程將木馬代碼寫入目前正在運行的某個程序的內存中，然后利用更改意外處理的方式來運行木馬代碼。這種技術在操作上難度較高。

網(wǎng)頁木馬：即利用腳本等設計的木馬。這種木馬會利用IE等的漏洞嵌入目標主機，傳播范圍廣。

溢出型木馬：即將緩沖區(qū)溢出攻擊和木馬相結合的木馬，其實現(xiàn)方式有很多特點和優(yōu)勢，屬于一種較新的木馬類型。

此外，根據(jù)隱藏方式，木馬可以分為以下幾類：本地文件隱藏、啟動隱藏、進程隱藏、通信隱藏、內核模塊隱藏和協(xié)同隱藏等。隱藏技術是木馬的關鍵技術之一，直接決定木馬的生存能力。木馬與遠程控制程序的主要不同點就在于它的隱蔽性，木馬的隱蔽性是木馬能否長期存活的關鍵。

（3）木馬的功能

木馬的功能可以概括為以下5種。

1）管理遠程文件

對被控主機的系統(tǒng)資源進行管理，如復制文件、刪除文件、查看文件、以及上傳/下載文件等。

2）打開未授權的服務

為遠程計算機安裝常用的網(wǎng)絡服務，令它為黑客或其他非法用戶服務。例如，被木馬設定為FTP文件服務器后的計算機，可以提供FTP文件傳輸服務、為客戶端打開文件共享服務，這樣，黑客就可以輕松獲取用戶硬盤上的信息。

3）監(jiān)視遠程屏幕

實時截取屏幕圖像，可以將截取到的圖像另存為圖片文件;實時監(jiān)視遠程用戶目前正在進行的操作。

4）控制遠程計算機

通過命令或遠程監(jiān)視窗口直接控制遠程計算機。例如，控制遠程計算機執(zhí)行程序、打開文件或向其他計算機發(fā)動攻擊等。

5）竊取數(shù)據(jù)

以竊取數(shù)據(jù)為目的，本身不破壞計算機的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。它以系統(tǒng)使用者很難察覺的方式向外傳送數(shù)據(jù)，典型代表為鍵盤和鼠標操作記錄型木馬。
責編AJX