特洛伊木马-《大学计算机基础》实用指南

特洛伊木马（Trojan Horse），在计算机领域中指的是一种后门程序，是黑客用来盗取其他用户的个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或者骗取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。与病毒相似，木马程序有很强的隐秘性，随操作系统启动而启动。

1.特洛伊木马概述

特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质只是一个通过端口进行通信的网络客户/服务程序。

一个完整的特洛伊木马套装程序包含两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方计算机的是服务端，而黑客正是利用客户端进入运行了服务端的计算机。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入计算机系统。

特洛伊木马程序不能自动操作，一个特洛伊木马程序是包含或者安装一个不怀好意的程序，它对用户来说可能是看起来是有用的或者有趣的项目（或者至少是无害的），但是实际上当它被运行时会起到破坏作用。特洛伊木马是暗含在某些用户感兴趣的文件程序中，用户下载时同时附带下载了木马程序的。当用户运行程序时，特洛伊木马才会运行，系统和数据才会被破坏或盗取。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马不经计算机用户准许就可获得计算机的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的。在客户端和服务器端通信协议的选择上，绝大多数木马使用的是TCP/IP，但也有一些木马使用UDP进行通信。当服务器端在被感染机器上运行以后，它尽量把自己隐藏在计算机的某个角落里面，以防被发现；同时监听某个特定的端口，等待客户端与其连接。木马程序一般会通过修改注册表或者其他的方法让自己成为自启动程序。

2.特洛伊木马的功能和特点

当用户的计算机被木马洛伊侵入后，黑客可以利用木马程序实现以下主要功能：

·远程监控（控制对方鼠标、键盘，并监视对方屏幕）

·记录各种口令信息

·获取系统信息

·限制系统功能

·远程文件操作

·注册表操作(www.xing528.com)

特洛伊木马区别正常的远程控制软件，是因为其具有隐蔽性和非授权性的特点。

所谓隐蔽性，是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。这样，被控制端即使发现感染了木马，也不能确定其准确的位置。

所谓非授权性，是指一旦控制端与被控制端连接后，控制端享有被控制端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被控制端赋予的，而是通过木马程序窃取的。

3.特洛伊木马的预防

目前木马对计算机用户信息安全构成了极大威胁，做好木马的防范工作刻不容缓，用户必须提高警惕，尤其是网络游戏玩家更应该提高对木马的关注。

网络中流行的木马程序通常传播速度比较快，影响比较严重，因此尽管可以利用一些工具方法来检测、清除木马，但只能是亡羊补牢，比较被动。当然最好的情况是不出现木马，这就要求我们平时要有对木马的预防意识和措施，做到防患于未然。以下是几种简单适用的木马预防方法和措施。

·经常升级系统和更新病毒库。经常关注厂商网站的安全公告，因为这些网站通常都会及时地将漏洞、木马和更新公布出来，并在第一时间发布补丁和新的病毒库等。

·不随意下载来历不明的软件。最好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。在安装软件之前，最好用杀毒软件查看有没有病毒，然后再安装。

·及时修补漏洞和关闭可疑的端口。一般木马都是通过漏洞在系统上打开端口留下后门的，在修补漏洞的同时要对端口进行检查，把可疑的端口关闭。

·尽量少用共享文件夹。尽量少用共享文件夹，如果必须使用，则应设置账号和密码保护。千万不要将系统目录设置成共享，最好将系统默认共享的目录关闭。

·运行实时监控程序。在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检测。

·限制使用不必要的具有传输能力的文件。限制使用诸如点对点传输软件、音乐共享软件、即时通信软件等，因为这些程序经常将用来传播恶意代码。