扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、认识木马和插件
木马的全称叫做特洛伊木马(Trojan horse),来源于希腊故事:据说希腊人藏身在木马内进入了特洛伊城,后来为希腊军队打开了城门,进而获得了战争的胜利。在计算机领域里,又被解释为非法命令,指示计算机进行不合法的运作。换句话说即指采用不为人知的方法潜入到对方内部实施某种破坏(盗窃)行为。木马其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。从另一个角度说,木马程序还是一个远程控制软件,远程控制软件是在远方机器知道、允许的情况下,对远方机器进行远程控制的软件,而木马则是偷偷摸摸的进行远程控制的软件。
这里要解释一下:控制端即对服务端进行远程控制的一方;而服务端是被控制端远程控制的一方;控制端程序指的是用以远程控制服务端的程序;木马程序也就是潜入服务端内部,获取其操作权限的程序;木马端口可以解释为控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
插件很多时候可以看成是一种特殊的木马,只不过多数情况下它并不做太多的坏事,只是弹出广告等信息。
二、木马和插件的主要特点
木马和插件现在如过街的老鼠─人人喊打。那它们有哪些特点呢?事实上,懂得了这些特点对我们“杀马”将是十分有作用的。
1.隐蔽性和欺骗性
这个与病毒有些相似,木马类的软件的server端在运行的时候应用各种手段隐藏自己,例如,修改注册表和ini文件以便机器在下一次启动后仍能载入木马程序。有些把server端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程序。随着下载行为的增大,现在有“聪明人”已经不再将木马捆绑到EXE文件上,甚至会捆绑到图片和PDF文件中。更多的人则看中了下载这一块“市场”,把木马捆绑在了下载的文件中。而且,这些木马还会自定义通信端口,当然这样可以使木马更加隐秘。更改server端的图标,让它看起来象个正常的文件,如果我们一不当心,那么就糟了。
2.明显功利性
这一点和病毒有一些区别,现在的木马和插件,多数是为了获得密码或虚拟装备,这些虚拟财产往往可以和现实的货币交换,于是会产生买卖交易行为。同时插件们多数的盈利方式是强制弹出广告,这些也可以得到收入。所以这时,木马和插件有着明显的功利性。这一个特点是现在最为明显的,尤其是在互联网高度发达的环境下。
3.特殊功能性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索Cache中的口令,设置口令,扫描IP发现中招的机器,键盘记录,远程注册表的操作,以及颠倒屏幕,锁定鼠标等功能比较特殊的操作,而远程控制软件的功能当然不会有这么多的特殊功能,毕竟远程控制软件是用来干正事的,而非搞破坏。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者