木马基础知识

一、木马原理

特洛伊木马属于C/S模式。它分为两大部分，即客户端和服务端，其原理是一台主机提供服务（服务器），另一台主机接收服务（客户机），作为服务器一般会打开一个端口进行监听，如果有客户机向服务器这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。

现在很多PC机是动态IP，很多防火墙对外部数据访问及内部数据做了限制，木马的正向连接已失效！这时，我们就要用到反弹木马，就是服务器端连接客户端，为了达到不被防火墙拦截和查杀，现在大多数木马有插入正常进出和伪装服务的功能！反弹连接时的IP是黑客对木马配置时的IP。如果不是固定黑客将会配置成他的域名，只要他把IP更新到域名后，服务器端就会反弹过来。

二、木马的隐藏方法

①在任务栏里隐藏

②在任务管理器里隐藏

③端口

木马一般占用1024以上的端口。

④木马的加载方式隐藏

越来越多的东西可以成为木马加载的传播媒介，JavaScript，VBScript,ActiveX,XLM.....几乎www每一个新功能都会导致木马的快速进化

⑤木马的命名

木马的名字大多改成和系统文件名差不多的名字，还有的就是更改后缀名，比如吧dll改成d11

⑥最新隐身技术

一种更新，更隐蔽的方法是修改虚拟设备驱动程序（vxd）或修改动态链接库（DLL）。它基本摆脱了原有的木马模式-----监听端口，而采用替代系统功能的方法（改写VXD或DLL），木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接发给被替换的系统DLL，对于一些规定好的特殊情况，DLL会执行一些相应的操作。实际上这样的木马最多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法检测不到它，在正常运行时，木马没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。