木马攻击与防御原理

特洛伊木马是 Trojan Horse 的中译，是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城，逾年无法攻下。有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，及得到“木马”这个奇异的战利品，全城饮酒狂欢。到午夜时份，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，焚屠特洛伊城。


特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质只是一个通过端口进行通信的网络客户/服务程序。
n网络客户服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机

木马攻击原理

可以使用VB或VC的Winsock控件来编写网络客户/服务程序, 实现方法如下:
n服务器端:
G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)
G_Server.Listen(等待连接)
n客户端:
　G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)
G_Client.RemotePort=7626(设远程端口为冰河的默认端口)
　(在这里可以分配一个本地端口给G_Client, 如果不分配, 计算机将会自动分配一个)

G_Client.Connect(调用Winsock控件的连接方法)
一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接
Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)
G_Server.Accept requestID
End Sub
客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)

如果客户断开连接,则关闭连接并重新监听端口
　　Private Sub G_Server_Close()
　G_Server.Close (关闭连接)
　G_Server.Listen(再次监听)
　End Sub
客户端上传一个命令，服务端解释并执行命令。

实现木马的控制功能

由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，下面仅对木马的主要功能进行简单的概述, 主要是使用Windows API函数。
（1）远程监控(控制对方鼠标、键盘，并监视对方屏幕)
keybd_event模拟一个键盘动作。
mouse_event模拟一次鼠标事件
mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:
MOUSEEVENTF_ABSOLUTE 指定鼠标坐标系统中的一个绝对位置
MOUSEEVENTF_MOVE 移动鼠标
MOUSEEVENTF_LEFTDOWN 模拟鼠标左键按下

（2）记录各种口令信息
　　keylog begin：将击键记录在一个文本文件里，同时还记录执行输入的窗口名

3）获取系统信息
a.取得计算机名 GetComputerName
b.更改计算机名 SetComputerName
c.当前用户 GetUserName
d.系统路径
Set FileSystem0bject = CreateObject("Scripting.FileSystemObject")(建立文件系统对象)
Set SystemDir = FileSystem0bject.getspecialfolder(1)(取系统目录)
Set SystemDir = FileSystem0bject.getspecialfolder(0)(取Windows安装目录)
e.取得系统版本 GetVersionEx

（4）限制系统功能
a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:
ExitWindowsEx(UINT uFlags,DWORD dwReserved)
当uFlags=EWX_LOGOFF 中止进程，然后注销
=EWX_SHUTDOWN 关掉系统但不关电源
=EWX_REBOOT 重新引导系统
=EWX_FORCE强迫中止没有响应的进程
=EWX_POWERDOWN 关掉系统及关闭电源

b.锁定鼠标,ClipCursor(lpRect As RECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以，RECT是定义的一个矩形。
　　c.让对方掉线 RasHangUp
　　d.终止进程 ExitProcess
　　e.关闭窗口 利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口

（5）远程文件操作
　　删除文件：File delete
　　拷贝文件：File copy
　　共享文件：Export list（列出当前共享的驱动器、目录、权限及共享密码）

(6）注册表操作
VB中只要Set RegEdit=CreateObject（“WScript.Shell”)就可以使用以下的注册表功能:
删除键值:RegEdit.RegDelete RegKey
增加键值:RegEdit.Write RegKey,RegValue
获取键值:RegEdit.RegRead (Value)

特洛伊木马隐身方法

木马程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。
在任务管理器中隐形：将程序设为“系统服务”可以伪装自己。当然它也会悄无声息地启动，木马会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。

特洛伊木马防御原理

知道了木马的攻击原理和隐身方法，我们就可以采取措施进行防御了。
1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。但对于驱动程序/动态链接木马, 扫描端口是不起作用的。
2.查看连接
查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat -a（或某个第三方程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

3.检查注册表
面在讨论木马的启动方式时已经提到，木马可以通过注册表启动（好像现在大部分的木马都是通过注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。
4.查找文件
查找木马特定的文件也是一个常用的方法，木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe，只要删除了这两个文件,木马就已经不起作用了。如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。