木馬攻擊步驟

時(shí)間：2022-02-14 06:35:01 | 來源：信息時(shí)代

時(shí)間：2022-02-14 06:35:01 來源：信息時(shí)代

在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說明,因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。

硬件部分：建立木馬連接所必須的硬件實(shí)體。

控制端：對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。

服務(wù)端：被控制端遠(yuǎn)程控制的一方。

INTERNET：控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。

軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。

控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。

木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。

木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。

具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。

控制端IP，服務(wù)端IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?br>
控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬程序。

用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵，從過程上看大致可分為六步，下面我們就按這六步來詳細(xì)闡述木馬的攻擊原理。

配置木馬

一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方面功能：

木馬偽裝：木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo)，捆綁文件，定制端口，自我銷毀等，我們將在'傳播木馬'這一節(jié)中詳細(xì)介紹。

信息反饋：木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號(hào)，ICO號(hào)等等，具體的我們將在'信息反饋'這一節(jié)中詳細(xì)介紹。

傳播及偽裝方式

傳播方式：木馬的傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。

偽裝方式：鑒于木馬的危害性，很多人對(duì)木馬知識(shí)還是有一定了解的，這對(duì)木馬的傳播起了一定的抑制作用，這是木馬設(shè)計(jì)者所不愿見到的，因此他們開發(fā)了多種功能來偽裝木馬，以達(dá)到降低用戶警覺，欺騙用戶的目的。下面介紹六種偽裝手段：

1）修改圖標(biāo)：當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí)，是否會(huì)認(rèn)為這是個(gè)文本文件呢？但是我不得不告訴你，這也有可能是個(gè)木馬程序，現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML，TXT，ZIP等各種文件的圖標(biāo)，這有相當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見，并且這種偽裝也不是無懈可擊的，所以不必整天提心吊膽，疑神疑鬼的。

2）捆綁文件：這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無察覺的情況下，偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE，COM一類的文件)。

3）出錯(cuò)顯示：有一定木馬知識(shí)的人都知道，如果打開一個(gè)文件，沒有任何反應(yīng)，這很可能就是個(gè)木馬程序，木馬的設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷，所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時(shí)，會(huì)彈出一個(gè)如下圖所示的錯(cuò)誤提示框(這當(dāng)然是假的)，錯(cuò)誤內(nèi)容可自由定義，大多會(huì)定制成一些諸如'文件已破壞，無法打開的！'之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí)，木馬卻悄悄侵入了系統(tǒng)。

4）定制端口：很多老式的木馬端口都是固定的，這給判斷是否感染了木馬帶來了方便，只要查一下特定的端口就知道感染了什么木馬，所以現(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在1024---65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口)，這樣就給判斷所感染木馬類型帶來了麻煩。

5）自我銷毀：這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，一般來說，原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外)，那么中了木馬的朋友只要在近來收到的信件和下載的軟件中找到原木馬文件，然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件，判斷一下哪個(gè)是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。

6）木馬更名：安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章,按圖索驥在系統(tǒng)文件夾查找特定的文件，就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。