关门杀“马”（1）— 初步认识木马病毒程序

　近年来，随着社会及家庭网络应用的大量普及，计算机信息安全越来越成为人们重视与关心的焦点问题。在用户享受宽带网络带来的便利与快捷的同时，也为各类严重威胁计算机信息安全的病毒提供了方便之门。据有关部门连续三年调查表明，2001年约73%的计算机用户曾感染过病毒，其中，感染三次以上的用户高达59%；到了2002年，受感受的用户上升到近84％；2003年上半年又增加到85％，并呈现出继续上升趋势。

　　在众多病毒当中，木马病毒由于具备能够隐蔽地随时向外发送指定信息，甚至具备远程交互能力而成为黑客们钟爱的后门工具。然而对于用户而言，木马病毒的危害是巨大的，它使用户的计算机随时暴露于黑客的控制监视之下，黑客们可以轻易地窃取自己感兴趣的数据并传输到指定的计算机中，这较之传统病毒只能破坏用户数据的危害又大了许多。因此，有效地检测与清除木马病毒对保障计算机信息安全有着重要意义。

　　木马长什么样子？

　　木马病毒程序又称特洛伊木马程序，在Internet标准中对特洛伊木马程序的定义是：特洛伊木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能，但是它还有用户所不知道的其他的功能，例如在你不了解的情况下拷贝文件或窃取你的密码。从该定义中我们可以清楚地知道木马程序通常在提供一些功能的同时还在后台隐藏着另外一些不被用户所知的功能，而这些隐藏的功能才是木马程序真实的目的。

　　木马病毒程序一般分为服务器端和客户端两个部分，服务器端程序一般被伪装成具有吸引力的软件，欺骗用户运行并在运行后自动安装在受害者计算机中，以后程序将随该计算机每次运行而自动加载。而客户端一般安装在控制者计算机中。当客户端启动后就会在网络中扫描远程主机上事先约定好的端口，这时如果服务器端正在运行就会与客户端连接上，随后服务器端将在被控计算机中接受并执行客户端发出的各种指令，并向客户端返回数据。

　　成功进入被控主机的木马病毒程序通常首先要想方设法为自己下次的运行做好准备，这时寻找一处能够让自身在下次开机时能够自动启动的地方是大多数木马程序要进行的一项重要工作。能够实现这个要求的方法有许多种，比如将执行程序文件名登记在程序菜单中的启动项就可以让该程序每次在开机后随Windows自动运行，但是在这样的地方很容易被用户查觉并清除。因此，木马程序会寻找一些更为隐蔽的地方藏身。

　　木马程序作为一种病毒与其它的病毒程序一样都需要在运行时隐藏自己的行踪，然而与传统的文件型病毒寄生于正常可执行程序体内，通过寄主程序的执行而执行的方式不同，大多数木马程序都有一个独立的可执行文件。在Windows系统中，每一个正在运行中的程序在任务列表中都会被列出其进程号与模块名，因而一旦木马程序执行就会在系统中有迹可寻。但目前更新、更隐蔽的方法已经出现，那就是驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马监听端口工作模式，而采用替代系统文件的方法，即改写驱动程序或动态链接库。这样做的结果是：系统中没有增加新的文件、不需要打开新的端口（所以不能用端口监视的方法查杀）、没有新的进程（所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行），因此使用简单的文件扫描法、端口监视、进程扫描等现有技术，均无法有效检测与清除该木马病毒。这种新型的木马病毒，正常运行时几乎没有任何的症状，而一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。此时只有通过停止一切网络访问后，动态监视网络数据流来检测是否有木马病毒正在运行，或利用微软的“动态链接库数字签名”技术静态扫描系统文件，以发现是否有系统文件被篡改。

学习了

不错了解

进来看看