木馬的發(fā)展與分類

木馬是一種后門程序，黑客可以利用其盜取用戶的隱私信息，甚至遠(yuǎn)程控制用戶的計(jì)算機(jī)。木馬全稱特洛伊木馬，其名稱源于古希臘神話中的《特洛伊木馬記》。在公元前12世紀(jì)，希臘向特洛伊城宣戰(zhàn)，交戰(zhàn)了10年也沒有取得勝利。最后，希臘軍隊(duì)佯裝撤退，并在特洛伊城外留下很多巨大的木馬。這些木馬是空心的，里面藏了希臘最好的戰(zhàn)士。在希臘人佯裝撤走后，特洛伊人把這些木馬作為戰(zhàn)利品拉進(jìn)了城。當(dāng)晚，希臘戰(zhàn)士從木馬中出來并與城外的希臘軍隊(duì)里應(yīng)外合攻下特洛伊城，這就是特洛伊木馬名稱的由來。因此，特洛伊木馬一般會(huì)偽裝成合法程序植入系統(tǒng)，進(jìn)而對(duì)系統(tǒng)安全構(gòu)成威脅。完整的木馬程序一般由兩部分組成，一是服務(wù)器被控制端程序，二是客戶端控制端程序。黑客主要利用植入目標(biāo)主機(jī)的客戶端控制端程序來控制目標(biāo)主機(jī)。

（1）木馬技術(shù)的發(fā)展

從木馬技術(shù)的發(fā)展來看，其基本上可分為4代。

第1代木馬功能單一，只是實(shí)現(xiàn)簡(jiǎn)單的密碼竊取與發(fā)送等，在隱藏和通信方面均無特別之處。

第2代木馬在隱藏、自啟動(dòng)和操縱服務(wù)器等方面有了很大進(jìn)步。國(guó)外具有代表性的第2代木馬有BOZ000和Sub7。冰河可以說是國(guó)內(nèi)木馬的典型代表之一，它可以對(duì)注冊(cè)表進(jìn)行操作以實(shí)現(xiàn)自動(dòng)運(yùn)行，并能通過將程序設(shè)置為系統(tǒng)進(jìn)程來進(jìn)行偽裝隱藏。

第3代木馬在數(shù)據(jù)傳遞技術(shù)上有了根本性的進(jìn)步，出現(xiàn)了ICMP等特殊報(bào)文類型傳遞數(shù)據(jù)的木馬，增加了查殺的難度。這一代木馬在進(jìn)程隱藏方面也做了很大的改進(jìn)，并采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)嵌入DLL線程，實(shí)現(xiàn)木馬程序的隱藏，達(dá)到了良好的隱藏效果。

第4代木馬實(shí)現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必像以前的木馬那樣需要欺騙用戶主動(dòng)激活。具有代表性的等4代木馬有最近新出現(xiàn)的磁碟機(jī)和機(jī)器狗木馬等。

（2）木馬程序的分類

根據(jù)木馬程序?qū)τ?jì)算機(jī)的具體動(dòng)作方式，可以把現(xiàn)在的木馬程序分為以下5類。

1）遠(yuǎn)程控制型

遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬具有遠(yuǎn)程監(jiān)控的功能，使用簡(jiǎn)單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)并與控制端客戶程序建立網(wǎng)絡(luò)連接，就能使控制者任意訪問被控制的計(jì)算機(jī)。這種木馬在控制端的控制下可以在被控主機(jī)上做任何事情，如鍵盤記錄、文件上傳/下載、屏幕截取、遠(yuǎn)程執(zhí)行等。

2）密碼發(fā)送型

密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在用戶不知情的情況下把它們發(fā)送到指定的郵箱。在大多數(shù)情況下，這類木馬程序不會(huì)在每次Windows系統(tǒng)重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用25端口發(fā)送電子郵件。

3）鍵盤記錄型

鍵盤記錄型木馬非常簡(jiǎn)單，它們只做一件事情，就是記錄用戶的鍵盤敲擊，并且在LOG文件里進(jìn)行完整的記錄。這種木馬程序會(huì)隨著Windows系統(tǒng)的啟動(dòng)而自動(dòng)加載，并能感知受害主機(jī)在線，且記錄每一個(gè)用戶事件，然后通過郵件或其他方式將用戶事件發(fā)送給控制者。

4）毀壞型

大部分木馬程序只是竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動(dòng)刪除受控主機(jī)上所有的.ini或.exe文件，甚至遠(yuǎn)程格式化受控主機(jī)硬盤，使受控主機(jī)上的所有信息都受到破壞?？偠灾?，該類木馬的目標(biāo)只有一個(gè)，就是盡可能地毀壞受感染系統(tǒng)，使其癱瘓。

5）FTP型

FTP型木馬會(huì)打開被控主機(jī)系統(tǒng)的21號(hào)端口（FTP服務(wù)所使用的默認(rèn)端口），使每個(gè)人都可以用一個(gè)FTP客戶端程序無需密碼就能連接到被控主機(jī)系統(tǒng)，進(jìn)而進(jìn)行最高權(quán)限的文件上傳和下載，竊取受害系統(tǒng)中的機(jī)密文件。

根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以將木馬分為以下兩類。

正向連接型：發(fā)起連接的方向?yàn)榭刂贫说奖豢刂贫?，這種技術(shù)被早期的木馬廣泛采用，其缺點(diǎn)是不能透過防火墻發(fā)起連接。

反向連接型：發(fā)起連接的方向?yàn)楸豢刂贫说娇刂贫?，其出現(xiàn)主要是為了解決從內(nèi)向外不能發(fā)起連接這一問題。其已經(jīng)被較新的木馬廣泛采用。

根據(jù)木馬使用的架構(gòu)，木馬可分為4類。

C/S架構(gòu)：這種架構(gòu)是普通的服務(wù)器、客戶端的傳統(tǒng)架構(gòu)，一般將客戶端作為控制端，服務(wù)器端作為被控制端。在編程實(shí)現(xiàn)的時(shí)候，如果采用反向連接的技術(shù)，那么客戶端（也就是控制端）就要采用socket編程的服務(wù)器端的方法，而服務(wù)端（也就是被控制端）就要采用Socket編程的客戶端的方法。

B/S架構(gòu)：這種架構(gòu)是普通的網(wǎng)頁(yè)木馬所采用的方式。通常在B/S架構(gòu)下，服務(wù)器端被上傳了網(wǎng)頁(yè)木馬，控制端可以使用瀏覽器來訪問相應(yīng)的網(wǎng)頁(yè)，進(jìn)而達(dá)到對(duì)服務(wù)器端進(jìn)行控制的目的。

C/P/S架構(gòu)：這里的P意為Proxy，也就是在這種架構(gòu)中使用了代理。當(dāng)然，為了實(shí)現(xiàn)正常的通信，代理也要由木馬作者編程實(shí)現(xiàn)，進(jìn)而才能實(shí)現(xiàn)一個(gè)轉(zhuǎn)換通信。這種架構(gòu)的出現(xiàn)，主要是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。但是，這種架構(gòu)的木馬目前還沒有被發(fā)現(xiàn)。

B/S/B架構(gòu)：這種架構(gòu)的出現(xiàn)，也是為了適應(yīng)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)另外一個(gè)內(nèi)部網(wǎng)絡(luò)的控制。當(dāng)被控制端與控制端都打開瀏覽器瀏覽這個(gè)服務(wù)器上的網(wǎng)頁(yè)時(shí)，一端就變成了控制端，而另一端就變成了被控制端。這種架構(gòu)的木馬已經(jīng)在國(guó)外出現(xiàn)。

根據(jù)木馬存在的形態(tài)的不同，可將木馬分為以下幾種：

傳統(tǒng)EXE程序文件木馬：這是最常見、最普通的木馬，即在目標(biāo)計(jì)算機(jī)中以.exe文件運(yùn)行的木馬。

傳統(tǒng)DLL/VXD木馬：此類木馬自身無法運(yùn)行，它們須利用系統(tǒng)啟動(dòng)或其他程序來運(yùn)行，或使用Rundi132.exe來運(yùn)行。

替換關(guān)聯(lián)式DLL木馬：這種木馬本質(zhì)上仍然是DLL木馬，但它卻會(huì)替換某個(gè)系統(tǒng)的DLL文件并將它改名。

嵌入式DLL木馬：這種木馬利用遠(yuǎn)程緩沖區(qū)溢出的入侵方式，從遠(yuǎn)程將木馬代碼寫入目前正在運(yùn)行的某個(gè)程序的內(nèi)存中，然后利用更改意外處理的方式來運(yùn)行木馬代碼。這種技術(shù)在操作上難度較高。

網(wǎng)頁(yè)木馬：即利用腳本等設(shè)計(jì)的木馬。這種木馬會(huì)利用IE等的漏洞嵌入目標(biāo)主機(jī)，傳播范圍廣。

溢出型木馬：即將緩沖區(qū)溢出攻擊和木馬相結(jié)合的木馬，其實(shí)現(xiàn)方式有很多特點(diǎn)和優(yōu)勢(shì)，屬于一種較新的木馬類型。

此外，根據(jù)隱藏方式，木馬可以分為以下幾類：本地文件隱藏、啟動(dòng)隱藏、進(jìn)程隱藏、通信隱藏、內(nèi)核模塊隱藏和協(xié)同隱藏等。隱藏技術(shù)是木馬的關(guān)鍵技術(shù)之一，直接決定木馬的生存能力。木馬與遠(yuǎn)程控制程序的主要不同點(diǎn)就在于它的隱蔽性，木馬的隱蔽性是木馬能否長(zhǎng)期存活的關(guān)鍵。

（3）木馬的功能

木馬的功能可以概括為以下5種。

1）管理遠(yuǎn)程文件

對(duì)被控主機(jī)的系統(tǒng)資源進(jìn)行管理，如復(fù)制文件、刪除文件、查看文件、以及上傳/下載文件等。

2）打開未授權(quán)的服務(wù)

為遠(yuǎn)程計(jì)算機(jī)安裝常用的網(wǎng)絡(luò)服務(wù)，令它為黑客或其他非法用戶服務(wù)。例如，被木馬設(shè)定為FTP文件服務(wù)器后的計(jì)算機(jī)，可以提供FTP文件傳輸服務(wù)、為客戶端打開文件共享服務(wù)，這樣，黑客就可以輕松獲取用戶硬盤上的信息。

3）監(jiān)視遠(yuǎn)程屏幕

實(shí)時(shí)截取屏幕圖像，可以將截取到的圖像另存為圖片文件;實(shí)時(shí)監(jiān)視遠(yuǎn)程用戶目前正在進(jìn)行的操作。

4）控制遠(yuǎn)程計(jì)算機(jī)

通過命令或遠(yuǎn)程監(jiān)視窗口直接控制遠(yuǎn)程計(jì)算機(jī)。例如，控制遠(yuǎn)程計(jì)算機(jī)執(zhí)行程序、打開文件或向其他計(jì)算機(jī)發(fā)動(dòng)攻擊等。

5）竊取數(shù)據(jù)

以竊取數(shù)據(jù)為目的，本身不破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。它以系統(tǒng)使用者很難察覺的方式向外傳送數(shù)據(jù)，典型代表為鍵盤和鼠標(biāo)操作記錄型木馬。
責(zé)編AJX