什么是后门木马？后门木马是如何隐藏？

作者:课课家教育更新于： 2018-01-02 16:37:07

　　说起木马，相信所有的计算机用户都知道，木马入侵意味着计算机种类病毒，计算机中病毒的后果很严重，计算机上面的数据就会被木马后面的黑客获悉，所以对木马所有的用户都是避而远之。只是后门木马和木马的定义又不同，那究竟后门木马是什么东西呢？我们一起来看看吧！

　　后门木马又称特洛伊木马，英文叫做"Trojan horse"，其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。
　　特洛伊木马属于客户/服务模式。它分为两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例，被控制端可视为一台服务器，控制端则是一台客户机，服务端程序G_Server.exe是守护进程，G_Client.exe是客户端应用程序。
　　为进一步了解木马，我们来看看它们的隐藏方式，木马隐藏方法主要有以下几种:
　　1.在任务栏里隐藏
　　这是最基本的。如果在Windows的任务栏里出现一个莫名其妙的图标，傻子都会明白怎么回事。在VB中，只要把form的Viseble属性设置为False，ShowInTaskBar设为False程序就不会出现在任务栏里了。
　　2.在任务管理器里隐藏
　　查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行，那么这肯定不是什么好的木马。所以，木马千方百计的伪装自己，使自己不出现在任务管理器里。木马发现把自己设为"系统服务"就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
　　3.端口
　　一台机器由65536个端口，你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口，占用这些端口可能会造成系统不正常。这样的话，木马就会很容易暴露。也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描65536个端口么?
　　4.木马的加载方式隐蔽
　　木马加载的方式可以说千奇百怪，无奇不有。但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马，你会运行它才怪呢。而随着网站互动化进程的不断进步，越来越多的东西可以成为木马的传播介质，Javascript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
　　5.木马的命名
　　木马服务端程序的命名也有很大的学问。如果你不做任何修改的话，就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字，如果你对系统文件不够了解，那可就危险了。例如有的木马把名字改为window.exe，如果不告诉你这是木马的话，你敢删除么?还有的就是更改一些后缀名，比如把dll改为dl等，你不仔细看的话，你会发现么?
　　6.最新隐身技术
　　目前，除了以上所常用的隐身技术，又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同，它基本上摆脱了原有的木马模式-监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况，DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听，一旦发现控制端的连接请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它，在正常运行时木马几乎没有任何症状，而一旦木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。
　　后门木马潜伏更久更难查杀，对后门木马很多杀毒软件没有办法，所以避免感染后门木马要保持良好的上网习惯。一些数据或者程序下载都有可能为你的计算机带来后门木马这个请都请不走的麻烦。
　　我们平常上网会下载很多应用程序，不是所有程序的安装都是安全的，每一次下载人家都会提供一大堆附加条件，后门木马很可能就隐藏在这些附加条件里面，所以只有理性的下载需要的软件，不去浏览那些杀毒软件认为不安全的网站后门木马也无计可施，有关喷墨打印机打印不清楚怎么办。后门木马有生存空间是因为它知道利用电脑漏洞，要完全避免后门木马的入侵还得从保持绿色的上网环境开始。
　　如果你的电脑中了后门木马病毒,你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了.
　　黑客想要利用木马入侵电脑盗窃信息，但是把电脑保护好不让后门木马病毒找到可乘之机电脑也就会安全，事在人为，后门木马再狡猾也都有防治的办法。如果你还有其他防止后门木马入侵的方法不妨和我们分享，欢迎继续关注课课家教育网。