传统特洛伊木马的工作原理.doc

《传统特洛伊木马的工作原理.doc》由会员分享，可在线阅读，更多相关《传统特洛伊木马的工作原理.doc（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流传统特洛伊木马的工作原理.精品文档.史少甫 20092420229 通信2班一、 什么是特洛伊木马特洛伊木马（TrojanHorse，以下简称木马）的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序，这些特殊功能处于隐藏状态，执行时不为人发觉。特洛伊木马是一种基于远程控制的工具，类似于远端管理软件，其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现，会采用多种手段隐藏木马；非授权性是指一旦控制端与服务端建立连接后，控制端将窃取服务端的密码及大部分操作权限，包括修改文件、修改

2、注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的，而是通过木马程序窃取的。木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。 一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。1、硬件部分 建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程

3、控制，数据传输的网络载体。2、软件部分 实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得 更隐蔽的程序。3、具体连接部分通过 I NTERNET 在服务端和控制端之间建立一条木马通道所必须的元素。控制端 I P，服务端 I P：即控制端，服务端的网络地址，也是木马进行数据传输的目 的。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达 控制端程序或木马程序。二木马的特征木马是病毒的一种，同时木马程序又有许多种不同的种类

4、，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征1、隐蔽性是其首要的特征如其它所有的病毒一样，木马也是一种病毒，它必需隐藏在你的系统之中，它会想尽一切办法不让你发现它。很多人的对木马和远程控制软件有点分不清，因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。实际上他们两者的最大区别就是在于这一点，这些黑客们早就想到了方方面面可能发生的迹象，把它们扼杀了。大家所熟悉木马修改注

5、册表和ini文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。有些把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用绑定的程式时，木马也入侵了系统，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。它的隐蔽性主要体现在以下两个方面：a、不产生图标它虽然在你系统启动时会自动运行，但它不会在“任务栏”中产生一个图标，这是容易理解的，不然的话，凭你的火眼金睛你一定会发现它的。我们知道要想在任务栏中隐藏图标，只需要在木马程序开发时把“Form”的“Visible

6、”属性设置为“False”、把“ShowintaskBar”属性设置为“Flase”即可；b、木马程序自动在任务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。2、它具有自动运行性它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。3、木马程序具有欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dllwinsysexplorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“

7、0”，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。4、具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。5、能自动打开特别的端口木马程序潜入人的电脑之中的目的不主要为了破坏你的系统，更是为了获取你的系统中有用的信息，这样就必需当你上网时能与远端客户进行通讯，这

8、样木马程序就会用服务器/客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施更加进一步入侵企图。你知不知道你的电脑有多少个对外的“门”，不知道吧，告诉你别吓着，根据TCP/IP协议，每台电脑可以有256乘以256扇门，也即从0到65535号“门，但我们常用的只有少数几个，你想有这么门可以进，还能进不来？当然有门我们还是可以关上它们的，这我在预防木马的办法中将会讲到。6、功能的特殊性通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的

9、功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机，即侵入被攻击主机的入侵程序属于服务程序，攻击者的控制程序属于客户程序。计算机感染特洛伊木马后，会受到特络伊木马程序的控制，有以下几种典型现象：（1）有未知程序试图建立网络连接。（2）系统中有可疑的进程在运行等现象。（3）系统运行速度越来越慢，且CPU资源占用率高。（4）任务表中有可疑的文件在运行。（5）系统长时间读写硬盘或搜索软盘。（6）系统经常死机或重启等。二特洛伊木马的攻击步骤 用木马这种黑客工具进行网络入侵，从过程上看大致可分为

10、六步，下面我们就按这六步来详细阐述木马的攻击原理。22配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方 面功能：（1）木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手 段，如修改图标 ，捆绑文件，定制端口，自我销毁等等（2）信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈 的邮件地址、I CO 号等等。222传播木马（1）传播方式木马的传播方式主要有两种：一种是通过 E- MAI L，控制端将木马程序以附件的形式夹在 邮件中发送出 去， 收信人只要打开附件系统就会感染木马; 另一种是软件下载，一些非正

11、规 的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程 序，木马就会自动安装。（2）伪装方式 鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这 是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低 用户警觉，欺骗用户的目 的。一般来说有以下几种：(1)修改图标也许你会在在 E- MAI L 的附件中看到一个很平常的文本图标，但是我不得不告 诉你，这也 有可能是个木马程序，现在 已经有木马可以将木马服务端程序的图标改成 HTML，TXT， ZI P 等各种文件的图标，这有相当大的迷 惑性，但是目前提供这种功能

12、的木马还不多见，并且这 种 伪装也不是无懈可击的，所以不必整天提 心吊胆，疑神疑鬼的。(2)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的 情况下 ，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件( 即 EXE，COM 一类的文 件) 。(3)出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程 序， 木马的 设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木 马程序时，会弹出一个如下图所示的错误提示框( 这当然是假的) ，错误 内容可自由 定义，大多会定制成 一些诸如”文件

13、已破坏，无法打开的！”之类的信息，当服务端用户信以 为真时，木马却悄悄侵入了 系统。(4)定制端口 很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的 端口就 知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端 用户可 以在 1024- 65535 之间任选一个端口作为木马端口( 一般不选 1024 以下的端口) ，这 样就给判断 所感染木马类型带 来了麻烦。(5)自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马 会将自己拷贝到 WI NDOWS 的系统文件夹中( C: WI NDOWS 或 C: W

14、I NDOWSSYSTEM 目录下) ，一 般来说 原木马文件 和系统文件夹中的木马文件的大小是一样的( 捆绑文件的木马除外) ，那么 中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文件，然后根据原木马的 大小去系统 文件夹找相同大小的文件， 判断一下哪个是木马就行了。而木马的自我销毁功能 是指安装完木 马后，原木马文件将自动销毁，这 样服务端用户就很难找到木马的来源，在没 有查杀木马的工 具帮助下，就很难删除木马了。(6)木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，按 图索骥在系统文件夹查找特定的文件，就可以断定中了什么木马。所以现

15、在有很多木马都 允许控 制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。23运行木马 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WI NDOWS 的 系统文件夹中( C: WI NDOWS 或 C: WI NDOWSSYSTEM 目录下) ，然后在注册表，启动 组，非启动组中设置好木马 的触发条件 ，这样木马的安装就完成了。安装后就可以启动木马 了。( 1) 由触发条件激活木马 触发条件是指启动木马的条件，大致出现在下面八个地方1)注册表: 打开 HKEY_LOCAL_MACHI NESoft war eMi cr osoft Wi ndo

16、wsCurr ent Ver si on下 的五个以 Run 和 RunSer vi ces 主键，在其中寻找可能是启动木马的键值。2）WI N.I NI: C: WI NDOWS 目录下有一个配置文件 wi n. i ni ，用文本方式打开，在 wi ndows字段中有启动 命令 l oad=和 r un=，在一般情况下是空白的，如果有启动程序，可能是木马。3）SYSTEM.I NI: C: WI NDOWS 目录下有个配置文件 syst em. i ni ，用文本方式打开，在 386Enh ， mi c ， dr i ver s32 中有命令行，在其中寻找木马的启动命令。4）Aut oex

17、ec. bat 和 Conf i g. sys: 在 C 盘根目录下的这两个文件也可以启动木马。但这种 加载方式一般都 需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名 文件上 传 到服务端覆盖这两个文件才行。5）* .I NI: 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作 好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马 的目的了。6）注册表: 打开 HKEY_CLASSES_ROOT文件类型shel l opencommand 主键，查看其键值。 举个例子，国产 木马”冰河”就是修改 HKEY_CLASSES_ROOT

18、t xtf i l eshel l opencommand 下 的键值，将”C : WI NDOWS NOTEPAD. EXE %1”改为”C: WI NDOWSSYSTEMSYSEXPLR. EXE%1”，这时你双 击一个 TXT 文件 后，原本应用 NOTEPAD 打开文件的，现在却变成启动木马程序了。还要说明 的是不光是 TXT 文件 ，通过修改 HTML，EXE，ZI P 等文件的启动命令的键值都可以启动木马 ，不同之处只在于”文件类型”这个主键的差别，TXT 是 t xtf i l e，ZI P 是WI NZI P，大家可以 试着去找一下。7）捆绑文件: 实现这种触发条件首先要控制端

19、和服务端已通过木马建立连接，然后控制端 用户用工具 软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这 样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。8）启动菜单: 在”开始- 程序- 启动”选项下也可能有木马的触发条件( 2) 木马运行过程 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在 MS- DOS 方式下，键入 NETSTAT - AN 查看端口状态，一般个人电脑在脱机状态 下是不会有端口 开放的，如果有端口开放，你就要注意是否感染木马了。在上网过程中要下载软件，发送信件，网上聊天等必然打

20、开一些端口，下面是一些常用的 端口：( 1) 1- 1024 之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如 FTP 使用 21， SMTP 使用 25，POP3 使用 110 等。只有很少木马会用保留端口作为木马端口 的。( 2) 1025 以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字， 图片到本地 硬盘上，这些端口都是 1025 以上的连续端口。( 3) 4000 端口：这是 OI CQ 的通讯端口。( 4) 6667 端口：这是 I RC 的通讯端口。 除上述的端口基本可以排除在外，如发现还有其 它端口打开，尤其是数值比较大的端口，那就要怀疑 是

21、否感染了木马，当然如果木马有定制 端口的功能，那任何端口都有可能是木马端口。24信息泄露一般来说，设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安 装后会收集一些服务端的软硬件信息，并通过 E- MAI L、I RC 或 I CQ 的方式告知控制端用户。从中我们可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分 区况， 系统口令等，在这些信息中，最重要的是服务端 I P，因为只有得到这个参数，控制端 才能与服务端建立 连接，具体的连接方法我们会在下一节中讲解。25建立连接这一节我们讲解一下木马连接是怎样建立的 。一个木马连接的建立首先必须满足两个条 件：一是

22、 服务端已安装了木马程序；二是控制端，服务端都要在线 。在此基础上控制端可以 通过木马端口与服 务端建立连接。假设 A 机为控制端，B 机为服务端，对于 A 机来说要与 B 机建立连接必须知道 B 机的木马 端口和 I P 地 址，由于木马端口是 A 机事先设定的，为已知项，所以最重要的是如何获得 B 机 的 I P 地址。获得 B 机的 I P 地址的方法主要有两种：信息反馈和 I P 扫描。对于前一种已在上 一节中已经介绍过了，不再赘述，我们 重点来介绍 I P 扫描，因为 B 机装有木马程序，所以它 的木马端口 7626 是处于开放状态的，所以现在 A 机只 要扫描 I P 地址段中 7

23、626 端口开放的主 机就行了，例如图中 B 机的 I P 地址是 202. 102. 47. 56，当 A 机扫描到 这个 I P 时发现它的 7626 端口是开放的，那么这个 I P 就会被添加到列表中，这时 A 机就可以通过木马的控 制端 程序向 B 机发出连接信号，B 机中的木马程序收到信号后立即作出响应，当 A 机收到响应的信 号后，开启一个随即端口 1031 与 B 机的木马端口 7626 建立连接到这时一个木马连接才算真正建立。值得一提的要扫描整个 IP地址段显然费时费力，一般来说控制端都是先通过信息 反馈获得服务端的 IP 地址，由拨号上网的 I P 是动态的，即用户每次上网的

24、 I P 都是不同 的，但是这个 I P 是在一定范围内变动的，如果 B 机的 I P 是 202. 102. 47. 56，那么 B 机上网I P 的变动范围是在 202. 102. 000. 000- 202. 102. 255. 255，所以 每次控制端只要搜索这个 I P地址段就可以找到 B 机了。26 远程控制 木马连接建立后，控制端端口和木马端口之间将会出现一条通道，控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序 对服务端进行远 程控制。下面我们就介绍一下控制端具体能享有哪些控制权限，这远比你想 象的要大。( 1) 窃取密码：一切以明文的形式，* 形式

25、或缓存在 CACHE 中的密码都能被木马侦测到， 此外很多木马还 提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有 木马入侵， 密码将很容易被窃取。( 2) 文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传， 下载，运行，更改属 性等一系列操作，基本涵盖了 WI NDOWS 平台上所有的文件操作功能。( 3) 修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将 服务端 上木马的触发条件设置得更隐蔽的一系列高级操作。( 4) 系统操作：这项内容包括重

26、启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务 端发送信 息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪。木马运行原理27特洛伊木马常用的侦听端口port 21 - Blade Runner，Doly Trojan，Fore，Invisible FTP，WebEx，WinCrash port 23 - Tiny Telnet Server port 25 - Antigen，Email Password Sender，Haebu Coceda，Shtrilitz Stealth，Terminat

27、or，WinPC，WinSpy port 31 - Hackers Paradise port 80 - Executor port 456 - Hackers Paradise port 555 - Ini-Killer，Phase Zero，Stealth Spy port 666 - Satanz Backdoor port 1001 - Silencer，WebEx port 1011 - Doly Trojan port 1170 - Psyber Stream Server，Voice port 1234 - Ultors Trojan port 1245 - VooDoo Dol

28、l port 1492 - FTP99CMP port 1600 - Shivka-Burka port 1807 - SpySender port 1981 - Shockrave port 1999 - BackDoor port 2001 - Trojan Cow port 2023 - Ripper port 2115 - Bugs port 2140 - Deep Throat，The Invasor port 2801 - Phineas Phucker port 3024 - WinCrash port 3129 - Masters Paradise port 3150 - De

29、ep Throat，The Invasor port 3700 - Portal of Doom port 4092 - WinCrash port 4590 - ICQTrojan port 5000 - Sockets de Troie port 5001 - Sockets de Troieport 5321 - Firehotcker port 5400 - Blade Runner port 5401 - Blade Runner port 5402 - Blade Runner port 5569 - Robo-Hack port 5742 - WinCrash port 6670

30、 - DeepThroat port 6771 - DeepThroat port 6969 - GateCrasher，Priority port 7000 - Remote Grab port 7300 - NetMonitor port 7301 - NetMonitor port 7306 - NetMonitor port 7307 - NetMonitor port 7308 - NetMonitor port 7789 - ICKiller port 9872 - Portal of Doom port 9873 - Portal of Doom port 9874 - Port

31、al of Doom port 9875 - Portal of Doom port 9989 - iNi-Killer port 10067 - Portal of Doom port 10167 - Portal of Doom port 11000 - Senna Spy port 11223 - Progenic trojan port 12223 - Hack99 KeyLogger port 12345 - GabanBus，NetBus port 12346 - GabanBus，NetBus port 12361 - Whack-a-mole port 12362 - Whac

32、k-a-mole port 16969 - Priority port 20001 - Millennium port 20034 - NetBus 2 Pro port 21544 - GirlFriend port 22222 - Prosiak port 23456 - Evil FTP，Ugly FTP port 26274 - Delta port 31337 - Back Orifice port 31338 - Back Orifice，DeepBO port 31339 - NetSpy DK port 31666 - BOWhack port 33333 - Prosiak

33、port 34324 - BigGluck，TN port 40412 - The Spy port 40421 - Masters Paradise port 40422 - Masters Paradise port 40423 - Masters Paradiseport 40426 - Masters Paradise port 47262 - Delta port 50505 - Sockets de Troie port 50766 - Fore port 53001 - Remote Windows Shutdown port 61466 - Telecommando port

34、65000 - Devil三木马的通信木马通常需要利用一定的通信方式与控制端进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下，木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口，后来的木马在植入时可随机设定通信时打开的端口，具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上，目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木

35、马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通，使其很难被端口扫描发现。木马为隐蔽通信形式所采用手段有:端口复用、反弹端口、潜伏技术。3.1端口复用技术在winsock的实现中，对于服务器的绑定是可以多重绑定的，在确定多重绑定使用谁的时候，根据一条原则是谁的指定最明确则将包递交给谁，而且没有权限之分，也就是说低级权限的用户是可以重绑定在高级权限如服务启动的端口上的，这是非常重大的一个安全隐患。1，一个木马绑定到一个已经合法存在的端口上进行端口的隐藏，他通过自己特定的包格式判断是不是自己的包，如果是自己处理，如果不是通过127.0.0.1的地址交给真正的服务器应用进行

36、处理。2.一个木马可以在低权限用户上绑定高权限的服务应用的端口，进行该处理信息的嗅探，本来在一个主机上监听一个Socket的通讯需要具备非常高的权限要求，但其实利用Socket重绑定，可以轻易的监听具备这种SOCKET编程漏洞的通讯，而无须采用什么挂接，钩子或低层的驱动技术(这些都需要具备管理员权限才能达到)。3.针对一些的特殊应用，可以发起中间人攻击，从低权限用户上获得信息或事实欺骗，如在guest权限下拦截telnet服务器的23端口，如果是采用NTLM加密认证，使用差异比较法对木马程序进行防杀的技术探讨虽然你无法通过嗅探直接获取密码，但一旦有admin用户通过你登陆以后，你的应用就完全可

37、以发起中间人攻击，扮演这个登陆的用户通过Scoket发送高权限的命令，到达入侵的目的。4.对于构建的WEB服务器，入侵者只需要获得低级的权限，就可以完全达到更改网页目的，很简单，扮演你的服务器给予连接请求以其他信息的应答，甚至是基于电子商务上的欺骗，获取非法的数据。其实，MS自己的很多服务的Socket编程都存在这样的问题，telnet，ftp，http的服务实现全部都可以利用这种方法进行攻击，在低权限用户上实现对SYSTEM应用的截听。包括WZK+SP3的IIS也都一样，那么如果你已经可以以低权限用户入侵或木马植入的话，而且对方又开启了这些服务的话，那就不妨一试。并且估计还有很多第三方的服务

38、也大多存在这个漏洞。3.2反弹端口反弹端口就是木马针对防火墙所采用的技术。因为防火墙可以监视主机的进出信息，故常常用来监视系统和外界的联系。防火墙对于向内的链接往往会进行非常严格的过滤，对于向外的连接却疏于防范。反弹端口木马就是正是利用了防火墙的这个不足。与一般的木马相反，反弹端口木马使用主动端口，控制端使用被动端口。木马定时监测控制端的存在，发现控制端上线，立即主动连接控制端打开的被动端口。为了隐蔽起见，控制端的被动端口一般开在TCP80。3.3潜伏技术所谓潜伏技术就是指利用TCP/IP协议族中的其它协议而不通过TCP/UDP协议来进行通信。由于不利用TCP/UDP协议，不会打开通信端口，所

39、以不会被一些端口扫描软件和利用端口进行木马防范的软件检测到。采用潜伏技术进行通信的木马一般都是使用四识别与清除木马 木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般电脑在脱机状态下是不会有端口开放的。如果有可疑的端口开放，你按照以下步骤进行：先记下这个端口号，然后打开ATM软件看内存中正在运行哪些软件，把这些软件名称和硬盘位置记下，然后终止某个程序运行，如果端口还是开放着，那继续终止下一个，直到端口不再开放，就也就找到了木马。 用手工判断端口的方法只能识别一部分木马，而且操作多有不便。因此，对付木

40、马必须有几款上手的工具： tcpview 查看端口和线程的有力工具。 ATM 在ATM界面上可以清楚地看到什么软件在运行，软件的硬盘位置等，对查找木马很有帮助。 (3)LockDown 被认为是最好的防御工具，能监视注册表的变化，删除很多木马(4)木马克星iparmor 可以查杀木马。内置木马防火墙，黑客试图与本机建立连接，都需要Iparmor 确认。 (5)杀毒软件 大部分杀毒软件都具有查杀木马的功能。 五木马的预防 1.不要随便运行别人给你的程序，特别是exe可执行程序。 2.不要去不正规的站点去下载软件，因为，许多黑客将木马隐藏在软件的安装程序里。 3.启用防御工具LockDown ，它能随时监视注册表等文件的变化，并且对删除木马有帮助。 4.养成经常查杀木马的良好习惯，并留心升级最新的查杀木马的工具或杀毒软件