黑客学习笔记教程五：木马技术

　　木马又称“间谍软件spyware”、“后门程序backdoor”，最新发展为“恶意程序”或叫“流氓程序”。

　　这种程序通常是在被攻击对象不知情的情况下，安装到被攻击的计算机上。一旦安装成功，木马程序会自动启动（而且每次开机都会自动启动）。从而实现对被攻击计算机进行远程监视、远程控制或恶意推广。

　　一般的来讲，黑客在成功的攻击了一个系统后，都会留下一个木马或者后门程序，从而实现对这台的控制和监视。所以木马对于黑客来讲，是非常重要的工具。正因如此，网络上出现最多，让人最头疼的也就是这类木马软件。

　　对于黑客来讲，掌握木马使用技术是必须的；对于网络管理员来讲，有效的防范木马也是重中之重。所以这一章是很重要滴。

　　先说说木马的分类，

　　第一种分类（功能）：
　　1、远程控制类，例如：冰河、彩虹、射手... ...，这些马儿可以实现远程控制你的计算机。

　　2、键盘记录、盗号，例如：alaQQ大盗、极限居、广外幽灵，还有一些网游盗号木马。它们记录键盘输入的记录，把记录写在文本文件中，并自动通过电子邮件、FTP上传或ASP更新数据库等方式发送到黑客手中。
　　3、流氓软件，例如：yahoo助手
　　4、综合性，灰鸽子、射手、spyone等等

　　另外一种分类(原理)：
　　正向连接型：黑客把木马服务端安装在被攻击端，再打开木马客户端连接服务端进行控制。要求黑客知道被管理端的IP，而且这个IP是公网的。
　　反向连接型：黑客把木马服务端安装在被攻击端，被攻击端会主动连接管理端。要求黑客有公网IP，如果静态的IP，可以用动态域名（花生壳）
　　无连接型：黑客把木马服务器安装在被攻击端，木马服务端会自动记录一些重要数据，再通过EMAIL、FTP或网站ASP的方式发送到黑客计算机。（无管理端）

　　木马使用：
　　如果是密码截取或键盘记录类方法如下：
　　1、申请一个免费的邮箱，最好是不太知名的网站或国外的网站。
　　2、通过在免费邮箱网站上找到smtp服务器的地址，另外也可以是FTP上传或ASP上传，方法略。
　　3、配置木马，输入你的免费邮件地址、SMTP服务器地址和密码
　　4、生成木马。
　　如果是综合式木马方法如下：
　　1、确保你有真实的IP（你不能是局域网共享上网），最好是固定的。如果不是固定的，进入第二步。
　　2、下载并注册花生壳软件，申请免费域名，假设是 [url]www.xxxx.com[/url]
　　3、打开木马配置程序（就是主程序），填写你的IP地址，或花生壳中申请的域名。
　　4、配置好其它隐藏选项，生成服务器即可。
　　下面以几个经典的木马为例，谈谈木马具体的配置方法。其它木马的使用方法差不多，自己摸索吧。
　　冰河
　　启动客户端程序后，点设置－修改服务器端配置，保存。在被管理端上安装服务器端程序，用客户端连接即可。
　　键盘记录类：
　　键盘记录可以通过FTP或邮件传递。所以你要先掌握一个可上传的FTP或一个非常“好”的邮箱。
　　使用方法如下：
　　先启动木马程序，进行配置，如果用FTP上传记录文件，就输入FTP地址和用户名、密码。如果用邮箱传输，就写上邮箱的地址和SMTP地址还有密码。最后点生成，把生成的文件安装在被监控端即可。
　　反弹型木马：灰鸽子
　　启动后点配置服务器程序，输入自己的IP或域名。为了隐藏和保护木马，一般要选中以下选项：
　　“安装成功后删除木马”
　　“不显示图标，不提示安装成功”
　　最后再合理设置服务名和服务描述，以达到欺骗攻击对象的目的。 　　黑客用木马干什么？
　　1、远程监控键盘或屏幕记录，从而获取重要信息（例如密码）
　　2、远程开启代理服务，通过代理服务上网，突破限制。
　　3、构建僵尸网络，阻塞网络、拒绝服务攻击、发送垃圾消息、恶意推广。
　　4、直接推广（流氓软件）
　　5、远程渗透局域网，许多攻击都是仅限于局域网，所以可以在目标网络中先找一台肉鸡，从而渗透到整个网络。
　　6、跳板隐藏自己 　　木马使用时可能遇到的问题：
　　1、我没有真实的IP怎么办？
　　首先你所在网络的路由器，必须是由你控制的。　　然后，配置路由器，进行端口映射，把路由器的端口映射到你的计算机上，即可。

　　2、如何配置自动上线的端口
由于一些网络中有防火墙，如果你的端口设置保持为默认，将被防火墙屏蔽。所以最好把端口设置为80。但一定注意，你的计算机上不能开web服务。

　　3、自动上线的方法有几种？
　　直接写自己IP
　　用动态域名（花生壳）
　　找一个FTP服务器，把你的IP地址写在记事本中，上传到这个服务器上。然后在木马配置时，写ftp服务器的地址和文件名。
　　写一个asp网页，每次把新地址提交上去。
　　电子邮件通知。

　　4、中了木马怎么办？
　　先检查所有的服务，如果有不明服务，禁用它。如果是xp(2003)，请使用msconfig，检查启动组，把可疑启动项删除。其它系统可以进入注册表，regedit
　　HKLM-software-microsoft-windows-current version-run
　　HKCU-software-microsoft-windows-current version-run
　　删除其中可疑的启动项。

　　也可以参考我的一个动画：“卡卡使用指南”，不知道网上能不能找得到，需要空间啊。

　　5、我应该如何选择木马？
　　 [url]www.mmbest.com[/url] 是个不错的网站，
　　最好还是找国外的一些木马，以防国内杀软杀之，可以进入 [url]www.google.com[/url]   　　输入spyware download，请一定选择名气小、功能够用即可、服务器端体积小（小于20K是极品，小于70K是精品）的。

　　6、如何给别人机器中上木马。

　　OK，现在木马已经会配置了。但是，当我们生成了木马之后，最重要的问题来了，怎么样才能让其它人的计算机中我们的马儿呢？这个吗，说起来较复杂，请大家看我BLOG中的另一篇文件《木马传播技术》，融汇贯通后，包管让人防不胜防。

　　好了，这一章就到这里了。

　　请继续关注连载。