木马程序原理_木马程序骇客

咩叫木马程式?

所谓的木马程式

就是用蒙混的方式让受害者无意间加以执行的程式 (通常是有不良意图的)。 例如有人寄一封 email 给你

附件有个执行档叫做 readme.txt.exe

早期 outlook 热心过头

会把副档名隐藏

windows 的执行档又可以附带自订的 icon

如果这个 readme.txt.exe 附带的是纯文字档的 icon

受害者很可能会误以为是无害的纯文字档

就给他 double-click 下去 ... 这种程式就叫做木马程式。 另外有些是用网页的方式

有些发垃圾邮件的

会在网页中用 onLoad() 去执行一小段 JavaScript

例如确认这个 email 是有人收的

这样受害者只要开过这个网页一次

就会源源不绝的收到更多的垃圾邮件

这也算是一种木马程式。 木马一词出自著名的特洛伊战争

特洛伊人因为好奇

在不知情的状况下把装满希腊士兵的大木马当成战利品拖进城中

让希腊人轻易地突破特洛伊坚固的城墙

攻陷特洛伊城。木马程式就是骇客从特洛伊战争所获得的灵感

用来入侵受害者电脑的一种手法。 木马是属于恶意软体，一般的防毒软体不一定能解决， 所以要靠专门的程式来防卫 去找 Spy Sweeper 这套程式来用，它能帮你解决恶意软体 下载测试版安装后，先更新资料库，然后开始完整扫描 安装本程式后，使用者仍然要配合其它防毒程式一起使用， 因为这套程式只防卫恶意软体，要预防病毒仍得靠防毒程式 建议你在 "安全模式" 下扫描， 在 Windows 启动之前按下 F8 键选择 "安全模式" 安装中文化前，要先关闭 Spy Sweeper 程式才能开始安装中文化 安装中文化化后，把 "防卫" 内的每一个能选的防卫项目全打勾， 到 "选项" 中执行 "更新定义资料" 把反间谍资料库更新到最新的， 再到 "扫除选项" 中把所有项目打勾，全部搞定再开始扫除 在 "防卫" 内的 "启动程式" 中会列出随着 Windows 启动而执行的程式， 如果有觉得可疑的程式，可以把打勾符号给消除，让它不能再搞怪， 基本上只要留下输入法用的 ctfmon.exe 和安装的防毒程式用的常驻监视 ， 不清楚的话，可以一个一个尝试看看哪些是用不到的，弄错随时可还原， 虽然每次改完要重开机测试很麻烦，但这可帮你了解你自己的电脑状况 在 "防卫" 内的 "Host 档案" 中，将 "编辑 Host 档案" 这个项目打勾后， 会列出一些项目，可以查看你的 host 文件目前将你的电脑封锁了哪些网站， 有些恶意程式会去封锁一些防毒软体商的网站，让你完全无法更新病毒码， 建议把可疑的选取后全删了 若觉得启动慢，可把 "选项" 中的 "停用绷现式启动画面" 打勾， 以后长驻这个程式可随时帮你防卫，也记得经常 "更新定义资料"

参考: .knowledge.yahoo/question/?qid=7006072401824

咩叫木马程式? 一种电脑病毒

特洛伊木马程式原理 引言 特洛伊木马是 Trojan Horse 的中译，是借自"木马屠城记"中那只木马的名称。古希腊有大军围攻特洛伊城，逾年无法攻下。 有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，及得到"木马"这个奇异的战利品，全城饮酒狂欢。 到午夜时份，全城军民尽入梦乡，匿于木马中的将士开暗门垂绳而下，开启城门及四处纵火，城外伏兵涌入，焚屠特洛伊城。后世称这只木马为"特洛伊木马"，现今电脑术语借用其名，意思是"一经进入，后患无穷"。 特洛伊木马原则上它和Laplink 、 PCanywhere 等程式一样，只是一种远端管理工具。 而且本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)；但却常常被视之为病毒。原因是如果有人不当的使用，破坏力可以比病毒更强。 木马攻击原理 特洛伊木马是一个程式，它驻留在目标电脑里，可以随电脑自动启动并在某一连接进行侦听，在对接收的资料识别后，对目标电脑执行特定的****作。 木马，其实只是一个使用连接进行通讯的网路客户/伺服器程式。 基本概念：网路客户/伺服器模式的原理是一台主机提供伺服器(伺服端)，另一台主机接受伺服器(客户端)。 作为伺服端的主机一般会开启一个预设的连接埠并进行监听(Listen)，如果有客户端向伺服端的这一连接埠提出连接请求(Connect Request)，伺服端上的相对应程式就会自动执行，来回复客户端的请求。对于特洛伊木马，被控制端就成为一台伺服器。 特洛伊木马隐身 *** 木马程式会想尽一切办法隐藏自己，主要途径有：在工作程序中隐形：将程式设为「系统伺服器」可以伪装自己。 当然它也会悄无声息地启动，木马会在每次使用者启动时自动载入伺服器端，Windows系统启动时自动载入应用程式的 *** ，「木马」都会用上，如：win.ini、system.ini、注册表等等都是「木马」藏身的好地方。 在win.ini档案中，在[WINDOWS]下面，「run=」和「load=」是可能载入「木马」程式的途径，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与档案名称不是您熟悉的启动档案，电脑就可能中「木马」了。当然也得看清楚，因为好多「木马」，如「AOL Trojan木马」，它把自身伪装成mand.exe档案，如果不注意可能不会发现它不是真正的系统启动档案。 　MLaplink 、 PCanywhere 等程式一样，只是一种远端管理工具。 而且本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)；但却常常被视之为病毒。原因是如果有人不当的使用，破坏力可以比病毒更强。 木马攻击原理 特洛伊木马是一个程式，它驻留在目标电脑里，可以随电脑自动启动并在某一连接进行侦听，在对接收的资料识别后，对目标电脑执行特定的****作。 木马，其实只是一个使用连接进行通讯的网路客户/伺服器程式。 基本概念：网路客户/伺服器模式的原理是一台主机提供伺服器(伺服端)，另一台主机接受伺服器(客户端)。 作为伺服端的主机一般会开启一个预设的连接埠并进行监听(Listen)，如果有客户端向伺服端的这一连接埠提出连接请求(Connect Request)，伺服端上的相对应程式就会自动执行，来回复客户端的请求。对于特洛伊木马，被控制端就成为一台伺服器。 特洛伊木马防御原理 知道了木马的攻击原理和隐身 *** ，我们就可以采取措施进行防御了。 1.连接埠扫瞄 连接埠扫瞄是检查远端机器有无木马的更好办法，连接埠扫瞄的原理非常简单，扫瞄程式尝试连接某个连接埠，如果成功，则说明连接埠开放，如果失败或超过某个特定的时间(逾时)，则说明连接埠关闭。但对于驱动程式/动态连结木马，扫瞄连接是不起作用的。 2.检视连接 检视连接埠和连接扫瞄的原理基本相同，不过是在本地电脑上使用stat -a检视所有的TCP/UDP连接，检视连接要比连接埠扫瞄快，但同样是无法查出驱动程式/动态连结木马，而且仅能在本地电脑使用。 3.检查注册表 上面在讨论木马的启动方式时已经提到，木马可以使用注册表启动（现在大部分的木马都是使用注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以使用检查注册表来发现木马在注册表里留下的痕迹。 4.寻找档案 寻找木马特定的档案也是一个常用的 *** ，木马的一个特征档案是kernl32.exe，另一个是sysexlpr.exe，只要删除了这两个档案，木马就已经不起作用了。 2007-03-14 19:30:00 补充： 在电脑领域中，特洛伊木马指的是一种后门程序，是骇客用来盗取其他用户的个人信息，甚至是远程控制对方的电脑而加壳 *** ，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。与病毒相似，木马程序有很强的隐秘性，随作业系统启动而启动。但不会自我复制，这一点和病毒程序不一样。 2007-03-14 19:30:27 补充： 一个完整的特洛伊木马套装程式含了两部分：服务端（伺服器部分）和用户端（控制器部分）。植入对方电脑的是服务端，而骇客正是利用用户端进入运行了服务端的电脑。运行了木马程式的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开埠，向指定地点发送资料（如 *** 游戏的密码， *** 密码和用户上网密码等），骇客甚至可以利用这些打开的埠进入电脑系统。 2007-03-14 19:31:29 补充： 特洛伊木马程式不能自动操作， 一个特洛伊木马程式是包含或者安装一个存心不良的程式的， 它可能看起来是有用或者有趣的计划(或者至少无害) 对一不怀疑的用户来说，但是实际上有害当它被执行。 特洛伊木马不会自动执行，它是暗含在某些用户感兴趣的档中，用户下载时附带的。当用户执行档程式时，特洛伊木马才会运行，资讯或档才会被破坏和遗失。 特洛伊木马和后门不一样，后门指隐藏在程式中的秘密功能，通常是程式设计者为了能在日后随意进入系统而设置的。 2007-03-14 19:31:51 补充： 特洛伊木马有两种，universal and tritive

universal就是可以控制的，而tritive 是不能控制，刻死的操作。木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历了四代的改进： 2007-03-14 19:32:13 补充： 之一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。 第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。 第三代

主要改进在数据传递技术方面，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了杀毒软体查杀识别的难度。 第四代 在进程隐藏方面有了很大改动，采用了核心插入式的嵌入方式，利用远程插入执行绪技术，嵌入DLL执行绪。或者挂接PSAPI

实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。 专家相信，第五代木马很快会出现。 2007-03-14 19:32:31 补充： 木马的植入通常是利用了作业系统的漏洞

绕过了对方的防御措施（如防火墙）。中了特洛伊木马程序的电脑，因为资源被占用，速度会减慢，莫名死机。著名的木马 Back Orifice （BO） NetBus Pro SUB7 NetSpy 冰河 （木马） 广外女生 广外男生 灰鸽子 蜜蜂大盗 2007-03-14 19:32:49 补充： 如果要知道如何防止木马请到zh. *** /w/index?title=防火墙variant=zh-zh. *** /w/index?title=计算机病毒variant=zh-zh. *** /w/index?title=杀毒软件variant=zh-

参考: .knowledge.yahoo/question/?qid=7006032801153

木马程式是一种电脑病毒

木马系病毒!!

什么是 *** 黑客？黑客常用的攻击 *** 有哪些？

相关推荐：《编程学习网站》

什么是 *** 黑客？

*** 黑客是指拥有高超的编程技术，强烈的解决问题和克服限制的欲望、擅长IT技术的人群、计算机科学家，以及对计算机科学、编程和设计方面具高度理解的人。

黑客，最早源自英文hacker，早期在美国的电脑界是带有褒义的。都是水平高超的电脑专家，尤其是程序设计人员，算是一个统称。

红客，维护国家利益代表祖国人民意志的红客，热爱自己的祖国，民族，和平，极力的维护国家安全与尊严。

蓝客，信仰自由，提倡爱国主义的黑客们，用自己的力量来维护 *** 的和平。

骇客，是“Cracker”的音译，就是“破解者”的意思。从事恶意破解商业软件、恶意入侵别人的网站等事务。与黑客近义，其实黑客与骇客本质上都是相同的，闯入计算机系统/软件者。黑客和“骇客”（Cracker）并没有一个十分明显的界限，但随着两者含义越来越模糊，公众对待两者含义已经显得不那么重要了。

黑客常用的攻击 ***

黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。

1、种植病毒

病毒程序具有潜伏性，会对个人信息安全造成长期影响。以前，病毒主要常见于电脑，现在随着手机普及，移动设备上的病毒也很多。

病毒并不会主动攻击个人设备，往往是潜藏在网页、软件中，用户进行点击、安装等操作后被植入，只要设备联网，病毒程序就会自动将搜集来的信息上报给黑客。

病毒也在更新换代，很多高级病毒是普通软件难以查杀的，甚至还有病毒就藏在正规杀毒软件里，令你防不胜防。

2、电子邮件攻击

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的 *** 管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该 *** 提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。

3、 *** 监听

*** 监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些 *** 监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然 *** 监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

4、系统漏洞

许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在 *** 文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

5、后门程序

由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因（如将其留在程序中，便于日后访问、测试或维护）后门没有去掉，一些别有用心的人会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。

6、信息炸弹

信息炸弹是指使用一些特殊工具软件，短时间内向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、 *** 堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包，会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。

7、拒绝服务

又叫分布式D.O.S攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，最后致使 *** 服务瘫痪的一种攻击手段。作为攻击者，首先需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可以集中大量的 *** 服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。

什么是木马和黑客

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代 *** 的安全运行。

黑客是一个中文词语，皆源自英文hacker，随着灰鸽子的出现，灰鸽子成为了很多假借黑客名义控制他人电脑的黑客技术，于是出现了“骇客”与"黑客"分家。2012年电影频道节目中心出品的电影《骇客（Hacker) 》也已经开始使用骇客一词，显示出中文使用习惯的趋同。实际上，黑客（或骇客）与英文原文Hacker、Cracker等含义不能够达到完全对译，这是中英文语言词汇各自发展中形成的差异。Hacker一词，最初曾指热心于计算机技术、水平高超的电脑专家，尤其是程序设计人员，逐渐区分为白帽、灰帽、黑帽等，其中黑帽（black hat）实际就是cracker。在媒体报道中，黑客一词常指那些软件骇客（software cracker），而与黑客（黑帽子）相对的则是白帽子。

什么是病毒啊 木马又是什么啊 黑客又是做什么的工作啊？

黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑 *** 搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。 木马程序是目前比较流行的一类病毒文件，它与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行，或以捆绑在网页中的形式，当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件和隐私，甚至远程操控被种者的电脑。木马的原理和计算机 *** 中常常要用到的远程控制软件相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性;而木马程序则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是毫无价值的。

木马通常有两个可执行程序:一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行，电脑就会有一个或几个端口被打开，黑客就可以利用控制端进入运行了服务端的电脑，甚至可以控制被种者的电脑，所以被种者的安全和个人隐私也就全无保障了!

随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003)，微软的任务管理器也一下子“脱胎换骨”，变得“火眼金睛”起来 (在Win9X中，只需要将进程注册为系统服务就能够从进程查看器中隐形，可是这一切在WinNT中却完全不同，无论木马从端口、启动文件上如何巧妙地隐藏自己，始终都不能欺骗WinNT的任务管理器)，这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。

因为DLL文件不能独立运行，所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe)，那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能，所以，预防DLL木马也是相当重要的。

在WinNT系统，DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录，里面的文件很多，在里面隐藏当然很方便了)，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车，再输入cd C:\Windows\System32回车，这就转换目录到了System32目录(要还是不知道怎么进入的，请参看DOS的cd命令的使用)，输入命令:dir *.exeexebackup.txt dir *.dlldllbackup.txt回车。

这样，我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的 *** 又查不出问题时，则要考虑是不是系统中已经潜入了DLL木马。

这时我们用同样的 *** 将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中，然后运行 CMD—fc exebackup.txt exebackup1.txtdifferent.txt fc dllbackup.txt dllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件，并将结果输入到 different.txt中)，这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

没有是更好，如果有的话也不要直接删除掉，可以先把它移到回收站里，若系统没有异常反应再将之彻底删除，或者把DLL文件上报给反病毒研究中心检查。

最后，防治木马的危害，专家建议大家应采取以下措施:

之一，安装反病毒软件和个人防火墙，并及时升级。

第二，把个人防火墙设置好安全等级，防止未知程序向外传送数据。

第三，使用安全性比较好的浏览器和电子邮件客户端工具。

第四，操作系统的补丁要经常进行更新。

第五，不要随便打开陌生网友传送的文件和下载、使用破解软件。

相信大家只要做好安全防护工作，防治木马并不是那么可怕的。 采纳吧。