特洛伊木马分析.doc

特洛伊木马分析
摘要在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。本文对该病毒原理、预防和清除进行了详细的阐述,并对此发表了一些个人的看法。
关键词特洛伊木马病毒木马
特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复制和传播。在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列。它们的名声不如计算机病毒广,但它们的作用却远比病毒大。利用特洛伊木马,远程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,盗取密码,删除文件,破坏系统。于是这个在网络安全界扮演重要角色,课进行超强功能远程管理的“功臣”,自然而然也被列为受打击的行列。
在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。

特洛伊木马简称木马,英文名为Trojan。它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,,某些特殊木马也许还有其他部分,。
木马常被用来做远程控制、偷盗密码等活动。惯用伎俩是想办法让远程主机执行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。当木马在远程主机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种木马功能限定内的操作。功能强大的木马可以在远程主机中做任何事情,就如同在自己的机器上操作一样方便。
可见,木马实际上就是一个具有特定功能的可以里应外合的***程序,将其与其他的病毒程序结合起来造成的危害将会是相当大的。

当木马程序或藏有木马的程序被执行后,木马首先会在系统中潜伏下来,并会想办法使自己在每次开机时自动加载,以达到长期控制目标的目的。同时完成一些相关的操作,如修改某一类型的文件关联,使得它的存在和传播变得更容易,清除和消灭越来越不容易。
一般的木马由两部分组成:客户端和服务器端,即C/S类型。客户端执行在本地主机,用来控制服务器端。服务器端执行在远程主机,一旦执行成功远程主机就中了木马,就可以被控制或者造成其他破坏。
和正常程序一样,要通信就必须先建立连接,从特定的端口进行通信。当木马工作时,先由客户端向服务器端发出请求,其实是一个连接的过程,当服务器端收到连接的请求,就自动做出响应,在内存中开启一个新的进程,并在事先定义的端口跟客户端进行通信,这样客户端就可以利用木马进行远程主机的操作了。
这种C/S模式是木马最基本最经典的工作方式,至今仍有一些木马在利用这种原理进行通信。但是,木马毕竟是破坏性程序,注定要被查杀和消灭的。为了逃避各种基于端口扫描或进程扫描的查杀技术,木马逐渐改变了工作方式,很多新型木马应运而生,如反弹端口木马、无进程木马、无客户端木马、嵌套木马等,在这里我就不一一说明它们的原理了。

从本质上讲,预防木马的过程就是阻碍木马传播和防止木马入侵的过程。只要把握这两个方面,就可以从根本上解除木马的