特洛伊木马,从古希腊神话中得到的灵感
显然,要攻破任何坚固的防线,最简单的方法是从内部入手。直接猜测一个用户的名字和口令是困难的,但是如果在输入用户名和口令的时候能够在边上看着,得到口令就不是一件很困难的事情了,很多木马程序就具有这种“偷看你输密码”的功能。至于特洛伊木马是怎么出现的,我认识一个自己写了好几个木马程序的人,他告诉我的理由很简单:“为了泡美眉”,因为他在一个公司上班,有一个很可爱的美眉同事,为了满足他泡美眉的卑鄙愿望,他自己开发了一个木马程序,放在那个女同事的机器上,这样可以看到同事写的信什么的,掌握她的心理活动,从而有的放矢的开展他的卑鄙追求,知己知彼,方能百战不殆。当然这只是一个特例罢了,但是任何人总是有这样一种逆反心理,“越是不让我看的东西我越是要看”,很多黑客从事侵入活动的时候,不过是因为这样一个小小的动机吧。
在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具, 悄悄地潜入用户的系统,进行着不可告人的行动。那么木马究竟是什么呢?它有哪些危害呢?下文将为大家介绍有关木马的知识。
木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
木马程序的危害是十分大的,它能使远程用户获得本地机器的最高操作权限,通过网络对本地计算机进行任意的操作,比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象
木马程序是由两部分组成的,分别是服务器(Server)端程序和客户(Client)端程序。 其中服务器端程序是安装在被控制对象的计算机上的,而客户端程序是控制者所使用的,服务器端程序和客户端程序通过互联网建立起连接就可以实现对远程计算机的控制了。
首先服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现对本地计算机的控制了。
因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
木马可以通过远程控制对本地计算机进行删添文件、注册表操作、警告信息发送、键盘记录、记录机内保密信息、开关窗口、鼠标控制、进行计算机基本设置等操作,所以感染木马后可能会出现上述在本地机器上的因非正常操作而出现的计算机命令行为,当然这种症状的发生是建立在联网的基础之上的。
按照木马程序对计算机的不同破坏方式,可以把现在存在的木马程序分为以下的几类。远程访问型特洛伊木马、密码发送型特洛伊木马、键盘记录型木马、毁坏型木马和FTP型特洛伊木马。
l 远程访问型特洛伊木马是现在最广泛的特洛伊木马。谁都想要这样一个木马,因为他们可以访问受害人的硬盘。这种木马用起来是非常简单的只需一些人运行服务端程序,同时获得他们的IP地址,你就会访问他的电脑。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(Back Office)、国产的冰河等。
l 密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的特洛伊木马不会在每次的机器重启时重启,而且它们大多数使用25端口发送电子邮件。你的电脑上如果有隐藏密码和重要的数据,这些特洛伊木马是十分危险的。
l 键盘记录型木马是非常简单的,它们只做一种事情,就是记录受害者的键盘敲击,并且在日志文件里做完整的记录。这种特洛伊木马随着操作系统的启动而启动,知道受害者在线并且记录每一件事。
l 毁坏型木马的唯一功能是毁坏并且删除文件。这使它们非常简单,并且很容易被使用。它们可以自动地删除你电脑上的所有的.Dll或INI或这.EXE文件。这是非常危险的特洛伊木马,并且一旦你被感染而没有立刻删除,电脑中的信息会在顷刻间“灰飞烟灭”。
l FTP 型木马打开你电脑的21端口 (FTP所使用的默认端口), 使每一个人都可以用一个FTP 客户端程序来不用密码连接到你的电脑,并且可以进行最高权限的上传下载。
页:
[1]