海泰数码数字社区

　　　　　　　　　　　　　　“特洛依木马”藏身处大揭秘

　　木马，又名特洛伊木马，其名称取自古希腊神话的特洛伊木马记，它是一种基于远程控制的黑客工具，具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看木马常用的激活方式。

　　在 Win.ini 中启动

　　在 Win.ini 的 [windows] 字段中有启动命令 “load=” 和 “run=” ，在一般情况下 “=” 后面是空白的，如果后面跟着程序，比如：

　　run=c:windows ile.exe

　　load=c:windows ile.exe

　　这个 file.exe 很可能就是木马程序！

　　修改文件关联

　　修改文件关联是木马们常用手段 ( 主要是国产木马，老外的木马大都没有这个功能 ) ，比方说正常情况下 TXT 文件的打开方式为 Notepad.exe 文件，但一旦中了文件关联木马，则 TXT 文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河。 “ 冰河 ” 就是通过修改 HKEY_CLASSES_ROOT xtfileshellopenmmand 下的键值，将 “C:WINDOWSNOTEPAD.EXE %1” 改为 “C:WINDOWSSYSTEMSYSEXPLR.EXE %1” ，这样当你双击一个 TXT 文件，原本应用 Notepad 打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是 TXT 文件，其他诸如 HTM 、 EXE 、 ZIP 、 COM 等都是木马的目标，要小心喽。对付这类木马，只能经常检查 HKEY_CLASSES_ROOT 文件类型 shellopenmmand 主键，查看其键值是否正常。

　　捆绑文件

　　实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次 Windows 启动均会启动木马。

　　在 System.ini 中启动

　　System.ini 位于 Windows 的安装目录下，其 [boot] 字段的 shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样： shell=Explorer.exe file.exe ，注意这里的 file.exe 就是木马服务端程序！

　　另外，在 System.ini 中的 [386Enh] 字段，要注意检查在此段内的 “driver= 路径程序名 ” ，这里也有可能被木马所利用。

　　再有，在 System.ini 中的 [mic] 、 [drivers] 、 [drivers32] 这三个字段，它们起到加载驱动程序的作用，但也是添加木马程序的好场所。

　　利用注册表加载运行

　　如下所示的注册表位置都是木马喜好的藏身之处，赶快检查一下，有什么程序在其下：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以 “run” 开头的键值；

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以 “run” 开头的键值；

　　HKEY_USERS.DefaultSoftware

　　MicrosoftWindowsCurrentVersion 下所有以 “run” 开头的键值。

　　在 Autoexec.bat 和 Config.sys 中加载运行

　　请大家注意，在 C 盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，容易被发现。所以在 Autoexec.bat 和 Config.sys 中加载木马程序的并不多见，但也不能因此而掉以轻心。

　　在 Winstart.bat 中启动

　　Winstart.bat 是一个特殊性丝毫不亚于 Autoexec.bat 的批处理文件，它也是一个能自动被 Windows 加载运行的文件。它多数情况下为应用程序及 Windows 自动生成，在执行了 Win.com 并加载了多数驱动程序之后开始执行 ( 这一点可通过启动时按 [F8] 键再选择逐步跟踪启动过程的启动方式得知 ) 。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成，因此木马完全可以像在 Autoexec.bat 中那样被加载运行。

“ 反弹端口 ” 型木马的主动连接方式

　　什么叫 “ 反弹端口 ” 型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机发出的连接却疏于防范 ( 当然有的防火墙两方面都很严格 ) 。于是，与一般的木马相反， “ 反弹端口 ” 型木马的服务端 ( 被控制端 ) 使用主动端口，客户端 ( 控制端 ) 使用被动端口，当要建立连接时，由客户端通过 FTP 主页空间告诉服务端： “ 现在开始连接我吧！ ” ，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在 80 ，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似 “TCP 　服务端的 IP 地址 :1026 ，客户端的 IP 地址 :80 ESTABLISHED” 的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接 80 端口吧。这类木马的典型代表就是 “ 网络神偷 ” 。由于这类木马仍然要在注册表中建立键值，因此只要留意注册表的变化就不难查到它们。

　　尽管木马很狡猾，善于伪装和隐藏自己，达到其不可告人的目的。但是，只要我们摸清规律，掌握一定的方法，还是能够防范的。消除对木马的恐惧感和神秘感。其实，只要你能加倍小心，加强防范，相信木马将会离你远去！