病毒和木馬的區(qū)別

　　電腦病毒和木馬有什么明顯的區(qū)別呢!你知道嗎!下面是學(xué)習(xí)啦小編跟大家分享的是病毒和木馬的區(qū)別，歡迎大家來閱讀學(xué)習(xí)。

　　病毒和木馬的區(qū)別

　　電腦病毒和木馬的區(qū)別介紹：

　　一 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒(Computer Virus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義，病毒“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

　　二 計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒是人為的特制程序，具有自我復(fù)制能力，很強(qiáng)的感染性，一定的潛伏性，特定的觸發(fā)性和很大的破壞性。

　　三 病毒存在的必然性計(jì)算機(jī)的信息需要存取、復(fù)制、傳送，病毒作為信息的一種形式可以隨之繁殖、感染、破壞，而當(dāng)病毒取得控制權(quán)之后，他們會(huì)主動(dòng)尋找感染目標(biāo)，使自身廣為流傳。

　　四 計(jì)算機(jī)病毒的長(zhǎng)期性病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面，但完美的系統(tǒng)是不存在的，過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查，系統(tǒng)失去了可用性、實(shí)用性和易用性，另一方面，信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無法選擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在，兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。

　　五 計(jì)算機(jī)病毒的產(chǎn)生病毒不是來源于突發(fā)或偶然的原因.一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會(huì)通過偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來講是不可能通過隨機(jī)代碼產(chǎn)生的。病毒是人為的特制程序現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者信息和產(chǎn)地信息，通過大量的資料分析統(tǒng)計(jì)來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，處于對(duì)上司的不滿，為了好奇，為了報(bào)復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報(bào)酬預(yù)留的陷阱等.當(dāng)然也有因政治，軍事，宗教，民族.專利等方面的需求而專門編寫的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒.

　　六 計(jì)算機(jī)病毒分類根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究，按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法，計(jì)算機(jī)病毒可分類如下：按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類，計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類：

　　按照計(jì)算機(jī)病毒存在的媒體進(jìn)行分類根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計(jì)算機(jī)中的文件(如：COM，EXE，DOC等)，引導(dǎo)型病毒感染啟動(dòng)扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR)，還有這三種情況的混合型，例如：多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。

　　按照計(jì)算機(jī)病毒傳染的方法進(jìn)行分類根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。

　　按照計(jì)算機(jī)病毒破壞的能力進(jìn)行分類根據(jù)病毒破壞的能力可劃分為以下幾種：無害型除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其它影響。無危險(xiǎn)型這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作，不會(huì)造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。

　　按照計(jì)算機(jī)病毒特有的算法進(jìn)行分類根據(jù)病毒特有的算法，病毒可以劃分為：伴隨型病毒這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名(COM)，例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。“蠕蟲”型病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同可分為：練習(xí)型病毒病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒(又稱幽靈病毒)這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。

　　特洛伊木馬(以下簡(jiǎn)稱木馬)，英文叫做“Trojan house”，其名稱取自希臘神話的特洛伊木馬記。

　　它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。

　　所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。

　　所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。

　　從木馬的發(fā)展來看，基本上可以分為兩個(gè)階段。

　　最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

　　而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬，相對(duì)的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對(duì)服務(wù)端的破壞也更大了。

　　所以所木馬發(fā)展到今天，已經(jīng)無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。

　　鑒于木馬的巨大危害性，我們將分原理篇，防御與反擊篇，資料篇三部分來詳細(xì)介紹木馬，希望大家對(duì)特洛伊木馬這種攻擊手段有一個(gè)透徹的了解。

　　原 理 篇

　　基礎(chǔ)知識(shí)

　　在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說明,因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。

　　一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。

　　(1)硬件部分：建立木馬連接所必須的硬件實(shí)體。 控制端：對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端：被控制端遠(yuǎn)程控制的一方。 INTERNET：控制端對(duì)服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。

　　(2)軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。 控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。 木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。 木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。

　　(3)具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務(wù)端IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬 程序。

　　木馬原理

　　用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵，從過程上看大致可分為六步，下面我們就按這六步來詳細(xì)闡述木馬的攻擊原理。

　　一.配置木馬

　　一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方 面功能：

　　(1)木馬偽裝：木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo) ，捆綁文件，定制端口，自我銷毀等，我們將在“傳播木馬”這一節(jié)中詳細(xì)介紹。

　　(2)信息反饋：木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號(hào) ，ICO號(hào)等等，具體的我們將在“信息反饋”這一節(jié)中詳細(xì)介紹。

　　二.傳播木馬

　　(1)傳播方式:

　　木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出 去, 收信人只要打開附件系統(tǒng)就會(huì)感染木馬;另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為 名義， 將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。

　　(2)偽裝方式:

　　鑒于木馬的危害性,很多人對(duì)木馬知識(shí)還是有一定了解的,這對(duì)木馬的傳播起了一定的抑制作用,這 是木馬設(shè)計(jì)者所不愿見到的,因此他們開發(fā)了多種功能來偽裝木馬,以達(dá)到降低用戶警覺,欺騙用戶的目 的。

　　(一)修改圖標(biāo)

　　當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí),是否會(huì)認(rèn)為這是個(gè)文本文件呢?但是我不得不告 訴你,這也有可能是個(gè)木馬程序,現(xiàn)在 已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo),這有相當(dāng)大的迷 惑性,但是目前提供這種功能的木馬還不多見,并且這種 偽裝也不是無懈可擊的,所以不必整天提 心吊膽,疑神疑鬼的。

　　(二)捆綁文件

　　這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上,當(dāng)安裝程序運(yùn)行時(shí),木馬在用戶毫無察覺的 情況下 ,偷偷的進(jìn)入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。

　　(三)出錯(cuò)顯示

　　有一定木馬知識(shí)的人都知道,如果打開一個(gè)文件,沒有任何反應(yīng),這很可能就是個(gè)木馬程序, 木馬的 設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷,所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù) 端用戶打開木 馬程序時(shí),會(huì)彈出一個(gè)如下圖所示的錯(cuò)誤提示框(這當(dāng)然是假的),錯(cuò)誤內(nèi)容可自由 定義,大多會(huì)定制成 一些諸如“文件已破壞，無法打開的!”之類的信息，當(dāng)服務(wù)端用戶信以 為真時(shí),木馬卻悄悄侵入了 系統(tǒng)。

　　(四)定制端口

　　很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的 端口就 知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可 以在1024---65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口)，這樣就給判斷 所感染木馬類型帶 來了麻煩。

　　(五)自我銷毀

　　這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬 會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下)，一般來說 原木馬文件 和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬 的朋友只要在近來 收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng) 文件夾找相同大小的文件, 判斷一下哪個(gè)是木馬就行了。而木馬的自我銷毀功能是指安裝完木 馬后，原木馬文件將自動(dòng)銷毀，這 樣服務(wù)端用戶就很難找到木馬的來源，在沒有查殺木馬的工 具幫助下，就很難刪除木馬了。

　　(六)木馬更名

　　安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章,按 圖索驥在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控 制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。

　　三.運(yùn)行木馬

　　服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后,木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的 系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然后在注冊(cè)表,啟動(dòng)組,非啟動(dòng)組中設(shè)置好木馬 的觸發(fā)條件 ,這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了。

　　(1)由觸發(fā)條件激活木馬

　　觸發(fā)條件是指啟動(dòng)木馬的條件,大致出現(xiàn)在下面八個(gè)地方:

　　1.注冊(cè)表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個(gè)以Run 和RunServices主鍵,在其中尋找可能是啟動(dòng)木馬的鍵值。

　　2.WIN.INI:C:\WINDOWS目錄下有一個(gè)配置文件win.ini，用文本方式打開，在[windows]字段中有啟動(dòng) 命令 load=和run=,在一般情況下是空白的,如果有啟動(dòng)程序,可能是木馬。 3.SYSTEM.INI:C:\WINDOWS目錄下有個(gè)配置文件system.ini，用文本方式打開，在[386Enh],[mic]， [drivers32]中有命令行,在其中尋找木馬的啟動(dòng)命令。

　　4.Autoexec.bat和Config.sys:在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都 需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名 文件上傳 到服務(wù)端覆蓋這兩個(gè)文件才行。

　　5.*.INI:即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬 啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。

　　6.注冊(cè)表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個(gè)例子,國(guó)產(chǎn) 木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C :\WINDOWS \NOTEPAD.EXE %1”該為“C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1”，這時(shí)你雙 擊一個(gè)TXT文件 后，原本應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說明 的是不光是TXT文件 ，通過修改HTML，EXE，ZIP等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬 ，不同之處只在于“文件類型”這個(gè)主鍵的差別，TXT是txtfile,ZIP是WINZIP，大家可以 試著去找一下。

　　7.捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具 軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使 木馬被刪 除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。

　　8.啟動(dòng)菜單:在“開始---程序---啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。

　　(2)木馬運(yùn)行過程

　　木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用 戶可以在MS-DOS方式下，鍵入NETSTAT -AN查看端口狀態(tài)，一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口 開放的，如果有端口開放，你就要注意是否感染木馬了。下面是電腦感染木馬后，用NETSTAT命令查 看端口的兩個(gè)實(shí)例：

　　其中①是服務(wù)端與控制端建立連接時(shí)的顯示狀態(tài)，②是服務(wù)端與控制端還未建立連接時(shí)的顯示狀態(tài)。

　　在上網(wǎng)過程中要下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開一些端口，下面是一些常用的端口：

　　(1)1---1024之間的端口：這些端口叫保留端口，是專給一些對(duì)外通訊的程序用的，如FTP使用21， SMTP使用25，POP3使用110等。只有很少木馬會(huì)用保留端口作為木馬端口 的。

　　(2)1025以上的連續(xù)端口：在上網(wǎng)瀏覽網(wǎng)站時(shí)，瀏覽器會(huì)打開多個(gè)連續(xù)的端口下載文字，圖片到本地 硬盤上，這些端口都是1025以上的連續(xù)端口。

　　(3)4000端口：這是OICQ的通訊端口。

　　(4)6667端口：這是IRC的通訊端口。 除上述的端口基本可以排除在外，如發(fā)現(xiàn)還有其它端口打開，尤其是數(shù)值比較大的端口，那就要懷疑 是否感染了木馬，當(dāng)然如果木馬有定制端口的功能，那任何端口都有可能是木馬端口。

　　四.信息泄露:

　　一般來說，設(shè)計(jì)成熟的木馬都有一個(gè)信息反饋機(jī)制。所謂信息反饋機(jī)制是指木馬成功安裝后會(huì)收集 一些服務(wù)端的軟硬件信息，并通過E-MAIL，IRC或ICO的方式告知控制端用戶。下圖是一個(gè)典型的信息反 饋郵件。

　　從這封郵件中我們可以知道服務(wù)端的一些軟硬件信息，包括使用的操作系統(tǒng)，系統(tǒng)目錄，硬盤分區(qū)況， 系統(tǒng)口令等，在這些信息中，最重要的是服務(wù)端IP，因?yàn)橹挥械玫竭@個(gè)參數(shù)，控制端才能與服務(wù)端建立 連接，具體的連接方法我們會(huì)在下一節(jié)中講解。

　　五.建立連接：

　　這一節(jié)我們講解一下木馬連接是怎樣建立的 。一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是 服務(wù)端已安裝了木馬程序;二是控制端，服務(wù)端都要在線 。在此基礎(chǔ)上控制端可以通過木馬端口與服 務(wù)端建立連接。為了便于說明我們采用圖示的形式來講解。

　　如上圖所示A機(jī)為控制端，B機(jī)為服務(wù)端，對(duì)于A機(jī)來說要與B機(jī)建立連接必須知道B機(jī)的木馬端口和IP地 址，由于木馬端口是A機(jī)事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得B機(jī)的IP地址。獲得B機(jī)的IP 地址的方法主要有兩種：信息反饋和IP掃描。對(duì)于前一種已在上一節(jié)中已經(jīng)介紹過了，不再贅述，我們 重點(diǎn)來介紹IP掃描，因?yàn)锽機(jī)裝有木馬程序，所以它的木馬端口7626是處于開放狀態(tài)的，所以現(xiàn)在A機(jī)只 要掃描IP地址段中7626端口開放的主機(jī)就行了，例如圖中B機(jī)的IP地址是202.102.47.56，當(dāng)A機(jī)掃描到 這個(gè)IP時(shí)發(fā)現(xiàn)它的7626端口是開放的，那么這個(gè)IP就會(huì)被添加到列表中，這時(shí)A機(jī)就可以通過木馬的控 制端程序向B機(jī)發(fā)出連接信號(hào)，B機(jī)中的木馬程序收到信號(hào)后立即作出響應(yīng)，當(dāng)A機(jī)收到響應(yīng)的信號(hào)后， 開啟一個(gè)隨即端口1031與B機(jī)的木馬端口7626建立連接，到這時(shí)一個(gè)木馬連接才算真正建立。值得一提 的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP地址，由于 撥號(hào)上網(wǎng)的IP是動(dòng)態(tài)的，即用戶每次上網(wǎng)的IP都是不同的，但是這個(gè)IP是在一定范圍內(nèi)變動(dòng)的，如圖中 B機(jī)的IP是202.102.47.56，那么B機(jī)上網(wǎng)IP的變動(dòng)范圍是在202.102.000.000---202.102.255.255，所以 每次控制端只要搜索這個(gè)IP地址段就可以找到B機(jī)了。

　　六.遠(yuǎn)程控制：

　　木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道。

　　控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn) 程控制。下面我們就介紹一下控制端具體能享有哪些控制權(quán)限，這遠(yuǎn)比你想象的要大。

　　(1)竊取密碼：一切以明文的形式，*形式或緩存在CACHE中的密碼都能被木馬偵測(cè)到，此外很多木馬還 提供有擊鍵記錄功能，它將會(huì)記錄服務(wù)端每次敲擊鍵盤的動(dòng)作，所以一旦有木馬入侵， 密碼將很容易被竊取。

　　(2)文件操作：控制端可藉由遠(yuǎn)程控制對(duì)服務(wù)端上的文件進(jìn)行刪除,新建,修改,上傳,下載,運(yùn)行,更改屬 性等一系列操作,基本涵蓋了WINDOWS平臺(tái)上所有的文件操作功能。

　　(3)修改注冊(cè)表：控制端可任意修改服務(wù)端注冊(cè)表，包括刪除，新建或修改主鍵，子鍵，鍵值。有了這 項(xiàng)功能控制端就可以禁止服務(wù)端軟驅(qū)，光驅(qū)的使用，鎖住服務(wù)端的注冊(cè)表，將服務(wù)端 上木馬的觸發(fā)條件設(shè)置得更隱蔽的一系列高級(jí)操作。

　　(4)系統(tǒng)操作：這項(xiàng)內(nèi)容包括重啟或關(guān)閉服務(wù)端操作系統(tǒng)，斷開服務(wù)端網(wǎng)絡(luò)連接，控制服務(wù)端的鼠標(biāo)， 鍵盤，監(jiān)視服務(wù)端桌面操作，查看服務(wù)端進(jìn)程等，控制端甚至可以隨時(shí)給服務(wù)端發(fā)送信 息，想象一下，當(dāng)服務(wù)端的桌面上突然跳出一段話，不嚇人一跳才怪。

　　簡(jiǎn)單的一種說法：

　　木馬和病毒都是一種人為的程序,都屬于電腦病毒,為什么木馬要單獨(dú)提出來說內(nèi)?大家都知道以前的電腦病毒的作用,其實(shí)完全就是為了搞破壞,破壞電腦里的資料數(shù)據(jù),除了破壞之外其它無非就是有些病毒制造者為了達(dá)到某些目的而進(jìn)行的威懾和敲詐勒索的作用,或?yàn)榱遂乓约旱募夹g(shù). "木馬"不一樣,木馬的作用是赤裸裸的偷偷監(jiān)視別人和盜竊別人密碼,數(shù)據(jù)等,如盜竊管理員密碼-子網(wǎng)密碼搞破壞,或者好玩,偷竊上網(wǎng)密碼用于它用,游戲帳號(hào),股票帳號(hào),甚至網(wǎng)上銀行帳戶等.達(dá)到偷窺別人隱私和得到經(jīng)濟(jì)利益的目的.所以木馬的作用比早期的電腦病毒更加有用.更能夠直接達(dá)到使用者的目的!導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序,這就是目前網(wǎng)上大量木馬泛濫成災(zāi)的原因.鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣,所以木馬雖然屬于病毒中的一類,但是要單獨(dú)的從病毒類型中間剝離出來.獨(dú)立的稱之為"木馬"程序.

　　一般來說一種殺毒軟件程序,它的木馬專殺程序能夠查殺某某木馬的話,那么它自己的普通殺毒程序也當(dāng)然能夠殺掉這種木馬,因?yàn)樵谀抉R泛濫的今天,為木馬單獨(dú)設(shè)計(jì)一個(gè)專門的木馬查殺工具,那是能提高該殺毒軟件的產(chǎn)品檔次的,對(duì)其聲譽(yù)也大大的有益,實(shí)際上一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能.如果現(xiàn)在大家說某某殺毒軟件沒有木馬專殺的程序,那這家殺毒軟件廠商自己也好象有點(diǎn)過意不去,即使它的普通殺毒軟件里當(dāng)然的有殺除木馬的功能.

　　還有一點(diǎn)就是,把查殺木馬程序單獨(dú)剝離出來,可以提高查殺效率,現(xiàn)在很多殺毒軟件里的木馬專殺程序只對(duì)木馬進(jìn)行查殺,不去檢查普通病毒庫里的病毒代碼,也就是說當(dāng)用戶運(yùn)行木馬專殺程序的時(shí)候,程序只調(diào)用木馬代碼庫里的數(shù)據(jù),而不調(diào)用病毒代碼庫里的數(shù)據(jù),大大提高木馬查殺速度.我們知道查殺普通病毒的速度是比較慢的,因?yàn)楝F(xiàn)在有太多太多的病毒.每個(gè)文件要經(jīng)過幾萬條木馬代碼的檢驗(yàn),然后再加上已知的差不多有近10萬個(gè)病毒代碼的檢驗(yàn),那速度豈不是很慢

病毒和木馬的區(qū)別相關(guān)文章：

1.計(jì)算機(jī)病毒和木馬還有蠕蟲區(qū)別是什么

2.毒,木馬,蠕蟲三者區(qū)別

3.木馬和電腦病毒的區(qū)別

4.電腦木馬和病毒的區(qū)分

5.電腦病毒和木馬的概念介紹

6.計(jì)算機(jī)病毒和黑客的區(qū)別是什么