木马程序的作用_木马程序所具有的功能

木马有什么特点？

木马是病毒的一种，同时木马程序又有许多种不同的种类，那是受不同的人、不同时期开发来区别的，如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。综合现在流行的木马程序，它们都有以下基本特征：

1、隐蔽性是其首要的特征

2、它具有自动运行性

3、木马程序具有欺骗性

4、具备自动恢复功能

5、能自动打开特别的端口

6、 功能的特殊性

7、黑客组织趋于公开化

建议你使用腾讯电脑管家来进行查杀

因为腾讯电脑管家是4+1杀毒引擎，管家反病毒引擎、金山云查杀引擎、小红伞本地查杀引擎和管家云引擎，新版本在此基础上启用了管家系统修复引擎，重点加强了“云安全”平台的建设和自研引擎的研发能力，也属国内首例采用“4+1”核“芯”杀毒引擎架构的。 所以杀毒能力是很强悍的，可以信赖！

什么叫木马程序？

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。

木马的功能

木马的有关知识和发展方向

发布日期：2000-01-01

文摘内容：

________________________________________

by cool

基础知识：

木马的定义应该是具有隐蔽性的在完成一些有趣功能的同时也做了用户不想的功能，并且最终危害到用户的软件，这是我对木马的定义呦。

远程控制软件是在远方机器知道，允许的情况下，对远方机器进行远程控制的软件。

server端：应用于目标机器上的软件

client端：控制目标机器的软件

木马的特征：

1. 隐蔽性。很多人的对木马和远程控制软件有点分不清，实际上他们两者的更大区别就是在于这一点，首先举个例子，象国内的血蜘蛛，国外的PCanywhere等应该是远程控制软件，血蜘蛛等server端在目标机器上运行时，目标机器上会出现很醒目的标志。而木马类的软件的server端在运行的时候应用各种手段隐藏自己,例如大家所熟悉的修改注册表和ini文件以便机器在下一次启动后仍能载入木马程式。有些把server端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程式，可以让人在使用trojan化的程式时，木马也入侵了系统，甚至我听说有个程式能把exe文件和图片文件绑定，在你看图片的时候，木马也侵入了你的系统。

还有些木马可以自定义通信端口，当然这样可以是木马更加隐秘。更改server端的图标，让它看起来象个zip或图片文件，如果你一不当心，那么就糟了。

2. 功能特殊性。通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令，设置口令，扫描ip发现中招的机器，键盘记录，远程注册表的操作，以及颠倒屏幕，锁定鼠标等功能比较特殊的操作,而远程控制软件的功能当然不会有这么多的特殊功能，毕竟远程控制软件是用来控制的，并非hack的。

这里谈的只是很大一部分的木马工具，但还有些木马工具的功能比较“专”，而且工作的方式也不是client/server的方式，例如passwd sender（中译名：口令邮差）的功能就是潜伏在目标机器里，搜集各种口令的信息，在目标上网的时候，秘密发送到指定的邮箱。在unix下，还有些hacker们修改ps的原代码，让ps在使用时故意不显示某特殊的进程名，譬如说在系统内的sniffer等，还有些hacker则修改login,passwd,su等软件完成一些搜集口令信息或者开放一个后门等功能，这些程序，我们都称之为木马。

木马的发展方向：

1. 跨平台性：主要是针对windows系统而言，木马的使用者当然认为一个木马可以在95/98下使用在NT,windows2000下也可以使用更好。在95/98下也许大家没感觉，但NT和windows2000都具有了权限的概念，这和95/98是不同的，黑客NT，windows2000的木马需要更高的手段，如控制进程等，现在的一些木马也的确做到了这一点。

2. 模块化设计：似乎模块化设计是一种潮流，winamp就是模块化的典范，现在的木马也有了模块化设计的概念，象bo,netbus,sub7等经典木马都有一些优秀的插件在纷纷问世就是一个很好的说明。

3. 更新更强的感染模式：传统的修改ini文件和注册表的手法已经不能适应更加隐秘的需要，目前的很多的木马的感染方式已经开始在悄悄转变，象前一阶段的YAI事件就给了我们很多的启发，象病毒一样的感染，感染windows下的文件，我认为这件事对木马设计者们有很多的启发。

4. 即时通知：木马是否已经装入？目标在哪里？如果中招的人是使用固定ip的话，还好说，如果目标使用的是动态ip那么怎么办，扫描？太慢，现在的木马已经有了即时通知的功能，如IRC,ICQ通知等，但还是太少，我不使用ICQ,也不是每次都用IRC,但是以后会更加的完善的，也许说不定某天木马们的即时通知功能变成了一个专门的软件也说不定。

5. 更强更多的功能：每个人都是不满足的，每当出现强大功能的时候，我们就期望更强大的功能，以后的木马的功能会如何呢？我也不大清楚，也许会让大家大吃一惊的。

好了，讲了这么多，只是希望大家对木马这个东东有个基本的概念，不要对它心存畏惧，也不要漠然视之。

在这里我还是要提醒大家一句，千万不要随意运行陌生人的软件，这些软件很可能就是一只木马呦。

木马有什么作用

“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从 *** 上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，:)，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，更好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。