关于木马作业原理和盗取帐号过程分析
　

　
如何工作
一般的木马程式都包括用户端和服务端两个程式，其中用户端是用于攻击者远端控制植入木马的机器，伺服器端程式即是木马程式。攻击者要通过木马攻击你的系统，程式植入到您的电脑里面。
主要入侵途径：邮件附件、下载软体、网页流览、系统漏洞等。

当服务端程式在被感染的机器上成功运行以后，攻击者就可以使用用户端与服务端建立连接，并进一步控制被感染的机器。


隐藏方式
• 任务栏中藏身
这是最基本的隐藏方式。如果在 windows 的任务栏里出现一个莫名其妙的图示。我们以 VB 为例。在 VB 中，只要把 from 的 Visible 属性设置为 False,ShowInTaskBar 设为 False 程式就不会出现在任务栏里了。

• 隐藏于任务管理器

将自身设为"系统服务"则可以轻松地骗过用户。因此，希望通过按 Ctrl+Alt+Del 发现木马不大现实的。

• 埠

一台机器有 65536 个埠，因此木马利用您无法注意众多埠而占用他们，大多数木马使用的埠在 1024 以上，当然也有占用 1024 以下埠的木马，但这些常用埠一旦被占用，很容易造成系统不正常，这样，则很容易暴露自身。

• 隐藏通讯

任何木马运行后都要和攻击者进行通讯连接，或者通知及时连接，如攻击者通过用户端直接接人被植人木马的主机 ; 或者通过间接通讯。如通过电子邮件的方式，木马把侵入主机的敏感资讯送给攻击者。

• 隐藏载入方式

木马载入的方式可以说千奇百怪，无奇不有。随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，Java SCript 、VBSCript、ACtiveX、XLM.... 几乎 WWW 每一个新功能部会导致木马的快速进化。

• 最新隐身技术

在 Win9x 时代，简单地注册为系统进程就可以从任务栏中消失，可是在 Windows2000 盛行的今天，这种方法遭到了惨败。注册为系统进程不仅仅能在任务栏中看到，而且可以直接在 Services 中直接控制停止、运行。使用隐藏表单或控制台的方法也不能欺骗无所不见的 Admin。在研究了其他软体的长处之后，木马发现， Windows 下的中文汉化软体采用的陷阱技术非常适合木马的使用。

这是一种更新、更隐蔽的方法，通过修改虚拟设备驱动程式 (VXD) 或修改动态遵掇库 (DLL) 来载入木马。这种方法基本上摆脱了原有的木马模式 --- 监听埠，而采用替代系统功能的方法 ( 改写 vxd 或 DLL 档 ) ，木马会将修改后的 DLL 替换系统已知的 DLL ，并对所有的函数调用进行过滤。这样做的好处是没有增加新的档，不需要打开新的埠，没有新的进程，使用常规的方法监测不到它，且木马的控制端向被控制端发出特定的资讯后，隐藏的程式就立即开始运作。

具有的特性
• 具有高隐蔽性
• a 不产生图示

• b 伪装成“系统服务”隐藏于“任务管理器”

• 能自动运行

• 包含危险性功能程式

• 具备自恢复功能

• 潜入特别埠

• 功能特殊性

• 通常的木马功能都是十分特殊的，除了普通的档操作以外，还有些木马具有搜索 CaChe 中的口令、设置口令、扫描目标机器人的 IP 位址、进行键盘记录、远端注册表的操作以及锁定滑鼠等功能。


木马如何启动
• 在 Win.ini 启动
• 在 System.ini 启动

• 利用注册表载入运行

• 在 AutoexeC.bat 和 Config.sys 中载入运行

• 在 Winstart.bat 中启动

• 启动组

• 修改档关联

• 捆绑文件

• 反弹埠型木马的主动连接方式


木马的种类
• 破坏型
• 密码发送型

• 远端存取型

• 键盘记录木马

• DoS 攻击木马

• 代理木马

• FTP 木马

• 程式杀手木马

• 反弹埠型木马