關於木馬作業原理和盜取帳號過程分析
　

　
如何工作
一般的木馬程式都包括用戶端和服務端兩個程式，其中用戶端是用於攻擊者遠端控制植入木馬的機器，伺服器端程式即是木馬程式。攻擊者要通過木馬攻擊你的系統，程式植入到您的電腦裏面。
主要入侵途徑：郵件附件、下載軟體、網頁流覽、系統漏洞等。

當服務端程式在被感染的機器上成功運行以後，攻擊者就可以使用用戶端與服務端建立連接，並進一步控制被感染的機器。


隱藏方式
• 任務欄中藏身
這是最基本的隱藏方式。如果在 windows 的任務欄裏出現一個莫名其妙的圖示。我們以 VB 為例。在 VB 中，只要把 from 的 Visible 屬性設置為 False,ShowInTaskBar 設為 False 程式就不會出現在任務欄裏了。

• 隱藏於任務管理器

將自身設為"系統服務"則可以輕鬆地騙過用戶。因此，希望通過按 Ctrl+Alt+Del 發現木馬不大現實的。

• 埠

一台機器有 65536 個埠，因此木馬利用您無法注意眾多埠而佔用他們，大多數木馬使用的埠在 1024 以上，當然也有佔用 1024 以下埠的木馬，但這些常用埠一旦被佔用，很容易造成系統不正常，這樣，則很容易暴露自身。

• 隱藏通訊

任何木馬運行後都要和攻擊者進行通訊連接，或者通知及時連接，如攻擊者通過用戶端直接接人被植人木馬的主機 ; 或者通過間接通訊。如通過電子郵件的方式，木馬把侵入主機的敏感資訊送給攻擊者。

• 隱藏載入方式

木馬載入的方式可以說千奇百怪，無奇不有。隨著網站互動化避程的不斷進步，越來越多的東西可以成為木馬的傳播介質，Java SCript 、VBSCript、ACtiveX、XLM.... 幾乎 WWW 每一個新功能部會導致木馬的快速進化。

• 最新隱身技術

在 Win9x 時代，簡單地註冊為系統進程就可以從任務欄中消失，可是在 Windows2000 盛行的今天，這種方法遭到了慘敗。註冊為系統進程不僅僅能在任務欄中看到，而且可以直接在 Services 中直接控制停止、運行。使用隱藏表單或控制臺的方法也不能欺騙無所不見的 Admin。在研究了其他軟體的長處之後，木馬發現， Windows 下的中文漢化軟體採用的陷阱技術非常適合木馬的使用。

這是一種更新、更隱蔽的方法，通過修改虛擬設備驅動程式 (VXD) 或修改動態遵掇庫 (DLL) 來載入木馬。這種方法基本上擺脫了原有的木馬模式 --- 監聽埠，而採用替代系統功能的方法 ( 改寫 vxd 或 DLL 檔 ) ，木馬會將修改後的 DLL 替換系統已知的 DLL ，並對所有的函數調用進行過濾。這樣做的好處是沒有增加新的檔，不需要打開新的埠，沒有新的進程，使用常規的方法監測不到它，且木馬的控制端向被控制端發出特定的資訊後，隱藏的程式就立即開始運作。

具有的特性
• 具有高隱蔽性
• a 不產生圖示

• b 偽裝成“系統服務”隱藏於“任務管理器”

• 能自動運行

• 包含危險性功能程式

• 具備自恢復功能

• 潛入特別埠

• 功能特殊性

• 通常的木馬功能都是十分特殊的，除了普通的檔操作以外，還有些木馬具有搜索 CaChe 中的口令、設置口令、掃描目標機器人的 IP 位址、進行鍵盤記錄、遠端註冊表的操作以及鎖定滑鼠等功能。


木馬如何啟動
• 在 Win.ini 啟動
• 在 System.ini 啟動

• 利用註冊表載入運行

• 在 AutoexeC.bat 和 Config.sys 中載入運行

• 在 Winstart.bat 中啟動

• 啟動組

• 修改檔關聯

• 捆綁文件

• 反彈埠型木馬的主動連接方式


木馬的種類
• 破壞型
• 密碼發送型

• 遠端存取型

• 鍵盤記錄木馬

• DoS 攻擊木馬

• 代理木馬

• FTP 木馬

• 程式殺手木馬

• 反彈埠型木馬