A 概述

木马（trojan）具有破坏性，同时具有很强的隐蔽性。经过精心设计，欺骗性很强，但和病毒不同，不具备自我复制的能力。

B 分类

1. 密码窃取型木马（PSWTrojan）
2. 投放器型木马(Trojan Dropper)
3. 下载型木马（Trojan Downloander)
4. 监视型木马（Reojan Spy ）
5. 代理型木马（Trojan Proxy）
6. 点击型木马（Trojan Clicker)
7. 远程控制型木马（Backdoor Trojan）

C 发展

1.第一代
最原始的木马程序。主要进行简单的密码窃取，通过电子邮箱发送。

2. 第二代
   可实现追踪，完全模拟键盘鼠标输入，获取系统信息，限制系统功能，远程文件操作，注册表操作，发送信息，点对点通讯等复杂功能。 |灰鸽子，冰河木马
3. 第三代
   出现ICMP类型木马，利用畸形报文件传递数据，增加杀毒软件的识别难度。
4. 第四代
   在进程隐藏方面改进，采用嵌入方式，利用远程插入线程技术，嵌入DLL线程；或挂接PSAPI，实现了隐秘性。
5. 第五代
   驱动级木马。使用大量Rootkit技术来实现深入内核空间的深度隐藏，感染后对杀毒软件和网络防火墙进行攻击。有的驱动级木马能驻留在BIOS，很难查杀
6. 第六代
   随着身份认证USBKey和杀毒软件主动防御技术的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户的敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表

D 原理

远程控制型木马与远程控制软件类似，都是实现远程主机的访问操作，两者的区别主要体现在两个方面：访问是否经过了授权。访问是否具有隐蔽性。一般而言黑客利用远程控制木马进行网络入侵主要有6个步骤：配置木马/传播木马/运行木马/信息反馈/建立连接/远程控制

E 防范

• 首先，不执行任何来历不明的软件 |钓鱼
• 其次，不轻信他人 |社会工程学
• 此外，及时更新系统及软件补丁 |0day漏洞
• 还可以，安装杀毒软件，监控注册表 |精确查杀，全面保护

0x0 术语

---

黏虫技术

是一种计算机间谍木马编程理论技巧。最大特点就是在攻击对象的敏感输入框(例如:账户、密码、转账等)前面再加一个文本输入框，用户肉眼一般难以分辨，这样的结果就是用户将敏感信息输入中，最终导致用户信息或者财产受到侵犯。 -360百科

rootkit技术

image.png

Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 -360百科