木马

  目前木马常被用作网络系统入侵的重要工具和手段。木马利用自身所具有的植入功能，或依附其它具有传播能力的程序等多种途径，进驻目标机器，搜集其中各种敏感信息，并通过网络与外界通信，发回所搜集到的各种敏感信息，接受植入者指令，完成其它各种操作，如修改指定文件、格式化硬盘等。 

  木马程序具有很大的危害性，主要表现在：

  （1）自动搜索已中木马的计算机；

  （2）随意修改注册表和系统文件；

  （3）监视对方任务且可终止对方任务；

  （4）跟踪监视对方屏幕；

  （5）直接控制对方的键盘、鼠标；

  （6）共享被控计算机的硬盘资源；

  （7）管理对方资源，如复制文件、删除文件、查看文件内容、上传文件、下载文件等；

  （8）远程重启和关闭机器。 

  从木马所实现的功能角度可分为：

  ①破坏型  ②密码发送型  ③远程访问型  ④键盘记录木马  ⑤DoS攻击木马

  ⑥代理木马  ⑦FTP木马  ⑧反弹端口型木马  ⑨程序杀手木马 

  一个典型的特洛伊木马（程序）通常具有以下四个特性：易植入性、隐蔽性、顽固性、有效性 。

  一个木马的危害大小和清除难易程度可以从这四个方面来加以评估。

  ①任何木马必须首先能够进入目标机器，因此易植入性就成为木马有效性的先决条件。欺骗是自木马诞生起最常见的植入手段，因此各种好用的小功能软件就成为木马常用的栖息地。利用系统漏洞进行木马植入也是木马入侵的一类重要途径。目前木马技术与蠕虫技术的结合使得木马具有类似蠕虫的传播性，这也就极大提高了木马的易植入性。  

  ②木马必须有能力长期潜伏于目标机器中而不被发现。 一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒（或杀马）软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。 隐蔽性是木马的生命线。

  ③ 当木马被检查出来（失去隐蔽性）之后，为继续确保其入侵有效性，木马往往还具有另一个重要特性——顽固性。 木马顽固性就是指有效清除木马的难易程度。若一个木马在检查出来之后，仍然无法将其一次性有效清除，那么该木马就具有较强的顽固性。 

  ④由于木马常常构成网络入侵方法中的一个重要内容，它运行在目标机器上就必须能够实现入侵者的某些企图。因此有效性就是指入侵的木马能够与其控制端（入侵者）建立某种有效联系，从而能够充分控制目标机器并窃取其中的敏感信息。

  木马的其他特性：

  ①自动运行：通常木马程序通过修改系统的配置文件或注册表文件，在目标系统启动时就自动加载运行。这种自动加载运行不需要客户端干预，同时也不会被目标系统用户所觉察。

  ②欺骗性：木马程序要达到其长期隐蔽的目的，就必需采取各种各样的欺骗手段，欺骗目标系统用户，以防被发现。 比如木马程序经常会采用一种文件名的欺骗手段，如exploer这样的文件名，以此来与系统中的合法程序explorer相混淆。 木马的编制者还在不断制造新的欺骗的手段，花样层出不穷，让人防不胜防。

  ③自动恢复：现在很多木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。 计算机一旦感染上这种木马程序，想单独靠删除某个文件来清除是不太可能的。

  ④功能特殊性：通常木马的功能都是十分特殊的，除了普通的文件操作以外，有些木马具有搜索并发送目标主机中的口令、记录用户事件、进行键盘记录、远程注册表操作以及锁定鼠标等功能。 

  远程控制木马：

  木马体系结构：C/S 架构，木马程序 + 控制端程序

  木马程序即是服务器端程序。 控制端程序作为客户端，用于攻击者远程控制被植入木马的机器。 远程控制木马与远程控制软件的区别? 隐蔽性: 木马被隐藏，避免被发现； 非授权性：木马程序不经授权控制主机 

  远程控制型木马采用反向连接技术从攻击的角度有何优点？阐述改进的木马反向连接技术的工作原理，给出示意图。针对这种木马，查询相关资料并深入思考尝试提出检测方法。