文档介绍:特洛伊木马工作原理分析及清除方法1什么是特洛伊木马特洛伊木马(TrojanHorse,以下简称木马)的名称取口希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处丁隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区別是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。2木马的工作原理完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(/);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。+语言编写。木马程序非常小,一般只有3〜5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病看传播。2001年4月赛门铁克防病毒硏究中心发现了植入木马程序的新蠕虫病毒(.******@MM)o该病毒一旦被执行,。当计算机被重启吋,该墻虫会等候3分钟,然后利用MAPI,回复所有未读邮件,并将口己作为邮件的附件,使用不同的名称继续传播。,木马首先将口身拷贝到WlNDOWS的系统文件夹'I1(C:\WINDOWS或C:\WINDOWSSYSTEM口录下),然后在注册表、启动组利非启动组屮设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活吋,它就进入内存,并开启事先定义的木马端口,准备少控制端建立连接。,进行控制建立一个木马连接必须满足2个条件:⑴服务端己安装有木马程序。(2)控制端、服务端都耍在线。初次连接吋还需要知道服务端的IP地址。IP地址-•般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口Z间将会有一条通道,控制端程序利用该通道・服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。。⑴用VB建立2个程序:客户端程序Oient和服务器端程序Server0(2)在QientI程中建立一个窗体,加载WinSock控件,称为Win_Qient,协议选择TCP。再加入一个文本框,用于输入服务器的IP地址或服务器名。然后加入一个按钮,按下Z后就可以对连接进行初始化。代码如下:PrivateSubcmdConnect_Click()==TrueEndSub建立连接后就町以使用DataArrival事件处理收到的数据了。在服务器端Server_L