2021-02-21

防无止境的特洛伊

特洛伊木马源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，但是久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退，而将木马摒弃于特洛伊城，让敌人将其作为战利品拖入城内。而隐藏在木马内的士兵则趁夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合，攻下了特洛伊城。
防无止境的特洛伊

在计算机网络安全领域，特洛伊木马通常是指一个包含在合法程序中的非法程序。该非法序在用户不知情的情况下被执行。一般的木马都有客户端和服务器端两个执行程序，其中客户端是攻击者用于远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击系统，他所做的第一步是把木马的服务器端程序植入到被攻击用户的计算机中。

目前木马入侵的主要途径还是先通过一定的方法（如邮件、下载等）把木马执行文件放到被攻击者的电脑里，然后通过一定的提示故意引导被攻击者打开执行文件。比如谎称这个木马执行文件是朋友发来的贺卡，当用户打开这个文件时确实有贺卡的画面出现，但这时木马可能已经悄悄地在被攻击者电脑的后台运行了。一般的木马执行文件非常小，大都是几KB到几十KB，如果把木马捆绑到其他正常文件上，你很难发现，所以，一些网站提供的下载软件中往往捆绑了木马文件，用户在执行这些下载的文件的同时也运行了木马。木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，木马被植入攻击主机后，一般会通过一定的方式把入侵主机的信息（如主机的IP地址、木马植入的端口等）发送给攻击者，这样攻击者通过这些信息就能够控制被攻击主机。

在早期，木马程序大多通过发送电子邮件的方式把入侵主机的信息告诉攻击者，有一些木马文件干脆把主机所有的密码用邮件的形式发给攻击者，这样攻击者就不用直接连接攻击主机，即可获得一些重要数据，如攻击OICQ密码的GOP木马。使用电子邮件的方式对攻击者来说并不是最好的一种选择，因为如果木马被发现，可以通过这个电子邮件的地址找出攻击者。现在还有一些木马通过发送UDP或者ICMP数据包的方式通知攻击者。木马主要有如下几种类型，用户需多加注意。

破坏型：唯一的功能就是破坏并且删除文件，可以自动删除电脑上的DLL、INI、EXE文件。

密码发送型：可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用Windows系统提供的密码记忆功能，这样就不必每次都输入密码了。许多黑客软件可以寻找到这些文件，然后把它们送到黑客手中。也有些黑客软件长期潜伏，记录用户的键盘操作，然后从中寻找有用的密码。

远程访问型：最普遍的是特洛伊木马，只要有人运行了服务器端程序，如果客户端知道了服务器端的IP地址，就可以实现远程控制。这类远程控制程序可以监控被攻击者在系统中的一举一动，危害非常大，比如早些年一直流行的“冰河”木马软件。这类程序多数采用UDP协议，是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但其效率却比TCP高，因此将其用于远程屏幕监视还是比较适合的。

键盘记录木马：这种特洛伊木马非常简单，通常只完成一件事情，就是记录被攻击者的键盘敲击并且在相应的日志文件里查找密码。这种特洛伊木马随着系统的启动而启动，有在线和离线记录选项，分别用于记录被攻击用户在线和离线状态下敲击键盘时的按键情况。从这些按键中攻击者可以很容易地得到被攻击者的密码等有用信息。当然，对于这种类型的木马，邮件发送功能也是必不可少的。

DoS攻击木马：随着DoS攻击应用越来越广泛，被用做DoS攻击的木马也越来越流行。当攻击者成功入侵了一台计算机，他通常会给这台计算机种上DoS攻击木马，那么日后这台计算机就成为攻击者实行DoS攻击的最得力助手了。攻击者控制的肉鸡数量越多，其发动DoS攻击取得成功的几率就越大。所以，这种木马的危害不是体现在被感染的计算机上，而是体现在攻击者可以利用它来攻击多台计算机，从而给网络造成很大的危害。还有一种类似于DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种主题的信件，然后对特定的邮箱不停地发送邮件，一直到对方计算机瘫痪，不能接收邮件为止。

代理木马：黑客在入侵的同时掩盖自己的踪迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的“肉鸡”种上代理木马，让其变成攻击者发动攻击的跳板，这就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。

标签：02,文件,21,攻击,2021,木马,攻击者,DoS,特洛伊木马
来源： https://blog.csdn.net/qq_38773677/article/details/113925505