学习《计算机网络安全》这本书第六章的一些记录和整理，知识的搬运工

木马攻击

特洛伊木马（trojan horse）简称“木马”

木马的工作原理

特洛伊木马程序可以直接侵入用户的计算机并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机，危害极大。

木马程序一般包括两个部分：：客户端和服务器端。</br>
服务器端安装在被控制的计算机中，它一般通过电子邮件或其他手段让用户在其计算机中运行，以达到控制该用户计算机的目的。</br>
客户端程序是控制者所使用的，用于对受控的计算机进行控制。</br>
服务器端程序和客户端程序建立起连接就可以实现对远程计算机的控制了。</br>
木马运行时，首先服务器端程序获得本地计算机的最高操作权限，当本地计算机连入网络后，客户端程序可以与服务器端程序直接建立起连接，向服务器端程序发送各种基本的操作请求，并由服务器端程序完成这些请求，也就实现对本地计算机的控制了。

因为木马发挥作用必须要求服务器端程序和客户端程序同时存在，所以必须要求本地机器感染服务器端程序。服务器端程序是可执行程序，可以直接传播，也可以隐含在其他的可执行程序中传播，但木马本身不具备繁殖和自动感染的功能。

木马的分类

1.远程访问型木马</br>
2.密码发送型木马</br>
3.键盘记录型木马</br>
4.毁坏型木马</br>
5.FTP型木马

木马常用欺骗法和隐藏方式

木马要运行通常是非常困难的，因为通常杀毒软件可以把大多数木马杀掉，所以木马要用欺骗的方法运行。

木马常用欺骗法和隐藏方式：</br>
（1）捆绑欺骗：如把木马服务端和某个游戏捆绑成一个文件在邮件中发给别人。</br>
（2）危险下载点：攻破一些下载站点后，下载几个下载量大的软件，捆绑上木马，再悄悄放回去让别人下载；或直接将木马改名上传到FTP网站上，等待别人下载。</br>
（3）文件夹惯性单击：把木马文件伪装成文件夹图标后，放在一个文件夹中，然后在外面再套三四个空文件夹。</br>
（4）zip伪装：将一个木马和一个损坏的zip包捆绑在一起，然后指定捆绑后的文件显示为zip图标。</br>
（5）网页木马法：即通常所说的“网页挂马”。在网页上放置木马程序，等客户运行网页时，木马就自动运行了。</br>

通常木马攻击成功后，需要将自己隐藏起来，以备下次再攻击。

常用的木马隐藏方法如下：</br>
在任务栏中隐藏。</br>
在任务管理器中隐形。</br>
悄无声息地启动，如启动组、win.ini、system.ini、注册表等。</br>
注意自己的端口（是检查自己的端口的意思吗）。</br>
伪装成驱动程序及动态链接库，如Kernel32.exe，sysexlpr.exe等。</br>

木马攻击的危害非常大，木马攻击的防范：</br>
（1）不要随意打开来历不明的邮件。现在许多木马都是通过邮件来传播的，当用户收到来历不明的邮件时请不要打开，应尽快删除。同时要加强邮件监控系统，拒收垃圾邮件。</br>
（2）不要随意下载来历不明的软件。最好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。在安装软件之前最好用杀毒软件查看其是否含有病毒，然后进行安装。</br>
（3）及时修补漏洞并关闭可疑的端口。一些木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码。因此，在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。</br>
（4）尽量少用共享文件夹。如果必须共享文件夹，则最好设置账号和密码保护。Windows系统默认情况下将目录设置成共享状态，这是非常危险的，最好取消默认共享。</br>
（5）运行实时监控程序。在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。</br>
（6）经常升级系统和更新病毒库。经常关注微软和杀毒软件厂商网站上的安全公告，这些网站通常都会及时地将漏洞、木马和更新公布出来，并在第一时间发布补丁和新的病毒库等。</br>
（7）安装防火墙。通过防火墙禁止访问不该访问的服务端口，使用NAT隐藏内部网络结构。