浅谈木马程序的原理与实现(免费黑客技术网站)

　　大家应该都很熟悉“特洛伊木马”这个名词。很多人感觉自己的电脑系统变慢，有些文件打不开，怀疑是不是“病毒木马”。其实在这里我们要向大家说明的是，“病毒”和“木马”并不是一个统一的概念，而是有一些本质上的区别。虽然木马属于病毒的范畴。

　　特洛伊木马和病毒的主要区别:

　　1.病毒是在被感染的软件运行时，这些恶意程序给计算机软件添加代码，修改程序的工作模式，从而获得对计算机的控制。

　　2.木马是指未经用户同意，进行未授权操作的恶意程序。他们可能会删除硬盘上的数据，瘫痪系统，窃取用户数据等等。木马无法独立入侵电脑，而是依靠黑客传播。它们经常伪装成“正常”的软件来传播。

　　3.两者最大的区别是病毒有传染性，而木马一般没有传染性。另外，病毒入侵后马上有感觉，木马入侵后希望你没有感觉，这样有助于她“工作”。

　　好了，在你了解了木马和病毒的区别之后，今天就进入正题，讲解一下木马程序的原理和实现!

　　特洛伊木马程序简介

　　1.特洛伊木马的起源和定义

　　起源:

　　先讲个故事吧。故事发生在古希腊三千多年。特洛伊王子帕里斯爱上了斯巴达国王的妻子海伦。王子把她带回了古城特洛伊。这时，斯巴达国王非常生气。他找到他的兄弟迈锡尼国王阿伽门农，向他求助。阿伽门农只想征服特洛伊，于是借此机会成立了希腊联军，攻打特洛伊古城。然后事情就没那么简单了。军队对特洛伊古城进行了长达9年的围攻，但仍未被攻克。第十年，奥德修斯将军想出一个计划，把一群勇士藏在一群巨大的特洛伊人的腹部，放在城外，大部队则假装撤退。特洛伊人以为敌人撤退了，于是打开城门，打扫战场，把敌人留下的特洛伊木马作为战利品带进城里。一直喝着喝着，到了晚上，全城军民都睡着了，而躺在木马里的勇士们跳出来，打开城门，到处放火。城外的士兵蜂拥而入，内外的军队攻占了特洛伊城。后人将此特洛伊木马称为“特洛伊木马”。后来写文章时，人们常常用“特洛伊木马”这个典故，作为在敌营埋下伏兵的活动。

　　定义:入侵者编写的入侵他人电脑并对其进行控制和破坏的程序称为“木马程序”。木马与计算机网络中经常使用的远程控制软件有些类似，但由于远程控制软件是善意控制的，所以通常不具有隐蔽性。“特洛伊木马”则相反。木马的目的是实现“窃取”远程控制。如果没有很强的隐蔽性，那就是“一文不值”。

　　2.特洛伊木马的主要特征

　　(1)伪装:木马总是伪装成其他程序来迷惑管理员。

　　(2)潜伏性:木马可以静默打开端口，等待外部连接。

　　(3)隐蔽性:木马是隐藏运行的，即使使用任务管理器也是如此。

　　(4)自动运行:系统启动时自动运行。

　　3.入侵者用木马做什么?

　　(1)入侵

　　当基于认证和漏洞的入侵无法进行时，就要考虑使用木马入侵。

　　(2)留后门。

　　因为木马连接不需要系统认证，隐蔽性好，为了以后控制远程主机，可以植入木马，留后门。

　　二、木马的工作原理

　　1.基本原理

　　特洛伊木马是一种基于远程控制的黑客工具。一般来说，木马程序包括客户端和服务器端。

　　其中，客户端运行在入侵者的操作系统上，是入侵者控制目标主机的平台。服务器运行在目标主机上，即受控平台。通常，服务器文件被发送到目标主机。

　　木马主要依靠邮件附件、软件下载、淫秽图片、通讯软件等方式传播。然后，木马通过一定的提示诱导目标主机运行木马的服务器程序，从而实现木马的种植。

　　例如，入侵者伪装成目标主机用户的朋友，发送捆绑有木马的电子贺卡。当目标主机打开卡片时，虽然屏幕上会出现卡片的图片，但木马服务器程序已经在后台运行了。

　　木马的体积非常小，大部分在几KB到几十KB之间。

　　目标主机执行服务器程序后，入侵者可以通过客户端程序与目标主机的服务器建立连接，进而控制目标主机。

　　对于通信协议的选择，大部分木马使用TCP/IP协议，但也有部分木马使用UDP协议。

　　木马的服务器程序会尽可能隐藏自己的行踪，同时监听特定端口，等待客户端的连接;另外，服务器程序为了每次重启电脑后都能正常运行，需要修改注册表等方法来实现自启动功能。