木马工作原理

2024年3月11日发(作者：)

木马工作原理

木马的工作原理

一般的木马程序都包括客户端和服务端两个程序，其申客户端是用于攻击者远程控制植入木

马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，他所做的第一步

是要把木马的服务器端程序植人到你的电脑里面。

目前木马入侵的主要途径还是先通过一定的方法把木马执行文件弄到被攻击者的电脑系统

里，利用的途径有邮件附件、下载软件中等，然后通过一定的提示故意误导被攻击者打开执

行文件，比如故意谎称这个木马执行文件，是你朋友送给你贺卡，可能你打开这个文件后，

确实有贺卡的画面出现，但这时可能木马已经悄悄在你的后台运行了。一般的木马执行文件

非常小，大部分都是几K到几十K，如果把木马捆绑到其他正常文件上，你很难发现，所

以，有一些网站提供的软件下载往往是捆绑了木马文件的，你执行这些下载的文件，也同时

运行了木马。

木马也可以通过Script、ActiveX及交互脚本的方式植入，由于微软的浏览器在执

行Senipt脚本存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览

者电脑进行文件操作等控制。前不久献出现一个利用微软Scripts脚本漏洞对浏览者硬盘进

行格式化的HTML页面。如果攻击者有办法把木马执行文件下载到攻击主机的一个可执行

WWW目录夹里面，他可以通过编制CGI程序在攻击主机上执行木马目录。此外，木马还

可以利用系统的一些漏洞进行植人，如微软著名的US服务器溢出漏洞，通过一个IISHACK

攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执行远程木马执行文件。

当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连

接，并进一步控制被感染的机器。在客户端和服务端通信协议的选择上，绝大多数木马使用

的是TCP/IP协议，但是也有一些木马由于特殊的原因，使用UDP协议进行通讯。当服务端

在被感染机器上运行以后，它一方面尽量

把自己隐藏在计算机的某个角落里面，以防被用户发现;同时监听某个特定的端口，等待客

户端与其取得连接;另外为了下次重启计算机时仍然能正常工作。木马程序一般会通过修改

注册表或者其他的方法让自己成为自启动程序。

木马是如何启动的

作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机

操作而彻底失去作用。正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探

索新的自启动技术，并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行

的程序 (例如)中，用户执行该程序时，则木马自动发生作用。当然，更加普遍

的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种:

1.在中启动

在的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白

的，如果有后跟程序，比方说是这个样子：

run=c:

load=c:

要小心了，这个很可能是木马哦。

2.在中启动

位于Windows的安装目录下，其[boot]字段的shell=是木马喜欢的隐

藏加载之所，木马通常的做法是将该何变为这样:shell=。注意这里的

就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径程序名"这里也有

可能被木马所利用。再有，在中的[mic]、[drivers]、[drivers32]这3个字段，这些

段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这

里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下，睁

大眼睛他细看看，别放过木马哦。

如果你想让每执行一次EXE文件，都能自动执行木马，那么可以设置如下位置的键值

(1)ICQ自启动

[HKEY_CURRENT_USERSoftwareMirabilisICQAgentApps]

当ICQ检测到网络连接时，会自动执行这个键下的程序。

(2)ActiveX部件

这些都是木马编写者们经常使用的方法。

4.在和中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要

控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两

个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在和Confings

中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

5.在中启动

是一个特殊性丝毫不亚于的批处理文件，也是一个能自动被

Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了

Windows自动生成，在执行了并加截了多数驱动程序之后开始执行 (这一点可通过

启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于的功能可以

由代替完成，因此木马完全可以像在中那样被加载运行，危险由此

而来。

6.启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还

是有木马喜欢在这里驻留的。启动组对应的文件夹为C:Windowsstart menuprogramsstartup,

在注册表中的位

置:HKEY_CURRENT_USERSoftwareMicrosoftwindowsCurrentVersionExplorershell

Folders Startup="c:windowsstart menuprogramsstartup"。要注意经常检查启动组哦!

7.*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马

启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只

启动一次的方式:在.中(用于安装较多)。

8.修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方

说正常情况下TXT文件的打开方式为文件，但一旦中了文件关联木马，则txt

文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"

就是通过修改HKEY_CLASSES_ROOTtxtfilewhellopencommand下的键值，将

“C:本应用Notepad打开，如著名的国产HKEY一CLASSES

一ROOTtxt闹eshellopencommandT的键值，将 "C:%l"改为