2024年5月16日发(作者：爱奇艺随刻版)

5.5

木马技术

5.5.1

木马技术概述

木马的全称是“特洛伊木马”（Trojan horse），来源于希腊神话。 古希腊围攻特洛伊

城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，

城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城

门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。

网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是

具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控

制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，

最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。就象一个

潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得

名木马程序。实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以

通过控制主机来攻击网络中的其它主机。

木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和

国家的利益和安全。如果公安部用于采集处理人们身份证信息的计算机被安装了木马，

那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。木

马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大

的危险性和破坏性。

木马是近几年比较流行的危害程度较严重的恶意软件，常被用作网络系统入侵的重

要工具和手段。2008年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已

经成为当前网络危害最严重的网络病毒。网络上各种“种马”技术加剧了木马的流行和

发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏

程度非常巨大，可以窃取账号密码、删除文件、格式化磁盘，甚至可以打开摄像头进行

偷窥等；木马往往又被用做后门，植入被攻击的系统，以便为入侵者再次访问系统提供

方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中“散发”木马，以便

进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）

等提供可能。木马“投放”也有巨大的商业利益驱动，简单的一个木马程序就会带来数

十万的收入。对个人而言，了解和掌握各种木马攻击技术和防御技术，可以保护个人利

益不受侵犯，维护自己的网络安全。因此，研究木马攻击和防御技术十分重要。

木马不同于传统病毒，它们的区别见5.1节表5-1所示。最基本的区别就在于病毒有

很强的传染性及寄生性，而木马程序则不同。但是，现在木马技术和病毒的发展相互借

鉴，也使得木马具有了更好的传播性，病毒具有了远程控制能力，例如，”红色代码”已

具备了远程控制的雏形。木马程序和病毒的区别日益模糊。

从木马的发展历程考虑。木马技术自出现至今，大致可以分为五代。

第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即实现简单的

密码窃取、发送等功能，这种木马通过伪装成一个合法的程序诱骗用户上当。世界上第

一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的 2.72

版本，而实际上编写PC-Write的Quicksoft公司从未发行过2.72版本，一旦用户信以为

真运行该木马程序，硬盘可能被格式化。第一代木马还不具有传染性，在隐藏和通信方

面也均无特别之处。

第二代木马在技术上有了很大的进步，它使用标准的C/S架构，提供远程文件管理、

屏幕监视等功能，在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木

马的服务端程序会打开连接端口等候客户端连接，因此比较容易被用户发现。冰河、

BO2000等都是典型的第二代木马。

第三代木马在功能上与第二代木马没有太大差异，其改变主要在网络连接方式上，

特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用TCP端口反

弹技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了一

些改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀难度，如网

络神偷(Netthief)、灰鸽子木马等。

第四代木马在进程隐藏方面做了较大改动，让木马服务器运行时没有进程，网络操

作插入到系统进程或者应用进程中完成。这方面发展的最高境界是rootkit技术，嵌入木

马通过替换系统程序、DLL、甚至是驱动程序，替换之后还能够提供原来程序正常的服

务，同时还被远程控制，从而实现木马的隐藏。前三代木马，大多都有独立的进程，通

过任务管理器等查看当前运行的进程，很快找到木马并删除。但是第四代木马不是单独

的进程或者以注册服务的形式出现，无法通过“任务管理器”查看到正在运行的木马。需

要专门的工具才能发现以及专业的木马查杀工具才能清除，这方面的典型木马如广外男

生。

第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，

而不必象以前的木马那样需要欺骗用户主动激活。

据不完全统计，目前世界上可能有着上数十万种木马程序。虽然这些程序使用不同

的程序语言进行编制，在不同的平台环境下运行，发挥着不同的作用，但是它们有着许

多共同的特征。

1、隐蔽性。隐蔽性是木马的首要特征。这一点与病毒特征是很相似的，木马类软件

的SERVER端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。早期的木马

伪装成系统执行文件(如svchost)来隐藏自己，后来木马程序干脆替换原有系统程序来隐

藏自己，在提供了正常功能的同时，也是一个木马程序。

2、自动运行性。木马程序通过修改系统配置文件，如：、、注册表

等，在目标主机系统启动时自动运行或加载。

3、欺骗性。木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以

防用户发现，它经常使用的是常见的文件名或扩展名，如dllwinsysexPlorer等字样，或

者仿制一些不易被人区别的文件名，如字母“l”与数字“1”；字母“o”与数字“0”，有的木马

就直接使用系统文件中已有的文件名，只不过它保存在不同路径之中。

4、自动恢复性。现在很多的木马程序中的功能模块已不再是由单一的文件组成，而

是具有多重备份，可以相互恢复。系统一旦被植入木马，只删除某一个木马文件来进行

清除是无法清除干净的。