1、特洛伊木馬(以下簡(jiǎn)稱木馬)，英文叫做“Trojanhorse”，其名稱取自希臘神話的特洛伊木馬記，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。

2、所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆;所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤(pán)等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過(guò)木馬程序竊取的。

3、從木馬的發(fā)展來(lái)看，基本上可以分為兩個(gè)階段，最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來(lái)執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

【資料圖】

4、而后隨著Windows平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練地操作木馬，相應(yīng)的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對(duì)服務(wù)端的破壞也更大了。

5、鑒于木馬的巨大危害性，本專題將從原理到防御和反擊，徹底把特洛伊木馬弄個(gè)明白。

6、 特洛伊木馬是一個(gè)程序，這個(gè)程序可以做程序設(shè)計(jì)者有意設(shè)計(jì)的未出現(xiàn)過(guò)的事情。

7、但是對(duì)于特洛伊木馬所做的操作，不論是否用戶了解，都是不被贊同的。

8、根據(jù)某些人的認(rèn)識(shí)，病毒是特洛伊木馬的一個(gè)特例，即:能夠傳播到其他的程序當(dāng)中(也就是將這些程序也變成特洛伊木馬)。

9、根據(jù)另外的人的理解，不是有意造成任何損壞的病毒不是特洛伊木馬。

10、最終，不論如何定義，許多人僅僅用“特洛伊木馬”來(lái)形容不能復(fù)制的帶有惡意的程序，以便將特洛伊木馬與病毒區(qū)分開(kāi)對(duì)付它的方法:檢查網(wǎng)絡(luò)連接情況 由于不少木馬會(huì)主動(dòng)偵聽(tīng)端口，或者會(huì)連接特定的IP和端口，所以我們可以在沒(méi)有正常程序連接網(wǎng)絡(luò)的情況下，通過(guò)檢查網(wǎng)絡(luò)連情情況來(lái)發(fā)現(xiàn)木馬的存在。

11、具體的步驟是點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“cmd”，然后輸入netstat -an這個(gè)命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽(tīng)的端口，它包含四個(gè)部分--proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。

12、通過(guò)這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。

13、 2、查看目前運(yùn)行的服務(wù) 服務(wù)是很多木馬用來(lái)保持自己在系統(tǒng)中永遠(yuǎn)能處于運(yùn)行狀態(tài)的方法之一。

14、我們可以通過(guò)點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“cmd”，然后輸入“net start”來(lái)查看系統(tǒng)中究竟有什么服務(wù)在開(kāi)啟，如果發(fā)現(xiàn)了不是自己開(kāi)放的服務(wù)，我們可以進(jìn)入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。

15、 3、檢查系統(tǒng)啟動(dòng)項(xiàng) 由于注冊(cè)表對(duì)于普通用戶來(lái)說(shuō)比較復(fù)雜，木馬常常喜歡隱藏在這里。

16、檢查注冊(cè)表啟動(dòng)項(xiàng)的方法如下:點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“regedit”，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開(kāi)頭的鍵值。

17、 Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。

18、打開(kāi)這個(gè)文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了!。

本文就為大家分享到這里，希望小伙伴們會(huì)喜歡。