特洛伊木马定义特洛伊木马是一个秘密潜伏能够经过远程网络进行控制恶意程序。 控制者能够控制被秘密植入木马计算机一切动作和资源，是恶意攻击者进行窃取信息等工具。他由黑客经过种种路径植入并驻留在目标计算机里。木马能够随计算机自动开启并在某一端口进行侦听，在对目标计算机数据、资料、动作进行识别后，就对其执行特定操作，并接收“黑客”指令将相关数据发送到“黑客大本营”。 这只是木马搜集信息阶段，黑客同时能够利用木马对计算机进行深入攻击！这时目标计算机就是大家常听到“肉鸡”了！ 2．特洛伊木马病毒危害性常见特洛伊木马，比如BackOrifice和SubSeven等，都是多用途攻击工具包，功效非常全方面，包含捕捉屏幕、声音、视频内容功效。这些特洛伊木马能够看成键统计器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。 因为功效全方面，所以这些特洛伊木马体积也往往较大，通常到达100KB至300KB，相对而言，要把它们安装到用户机器上而不引发任何人注意难度也较大。对于功效比较单一特洛伊木马，攻击者会力图使它保持较小体积，通常是10KB到30KB，方便快速激活而不引发注意。这些木马通常作为键统计器使用，它们把受害用户每一个键击事件统计下来，保留到某个隐藏文件，这么攻击者就能够下载文件分析用户操作了。BackOrifice是一个远程访问特洛伊木马病毒，该程序使黑客能够经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，经过调用cmd.exe系统命令实现本身功效，其破坏力极大。 SubSeven能够作为键统计器、包嗅探器使用，还含有端口重定向、注册表修改、麦克风和摄像头统计功效。 SubSeven还含有其它功效：攻击者能够远程交换鼠标按键，关闭/打开CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新开启计算机 在之前，冰河在国内一直是不可动摇领军木马，在国内没用过冰河人等于没用过木马，由此可见冰河木马在国内影响力之巨大。 该软件主要用于远程监控，自动跟踪目标机屏幕改变等。冰河原作者：黄鑫，冰河开放端口7626据传为其生日号。 1．自动跟踪目标机屏幕改变，同时能够完全模拟键盘及鼠标输入,即在同时被控端屏幕改变同时，监控端一切键盘及鼠标操作将反应在被控端屏幕（局域网适用）； 2．统计各种口令信息：包含开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过口令信息； 3．获取系统信息：包含计算机名、注册企业、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功效：包含远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功效限制； 5．远程文件操作：包含创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不一样打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功效； 6．注册表操作：包含对主键浏览、增删、复制、重命名和对键值读写等全部注册表操作功效；常见特洛伊木马特洛伊木马定义特洛伊木马结构特洛伊木马基本原理特洛伊木马基本原理特洛伊木马基本原理特洛伊木马基本原理特洛伊木马传输方式特洛伊木马技术发展木马高级技术驻留在内存内核模式病毒检测方法病毒隐藏技术进程隐藏经过DLL实现进程隐藏特洛伊DLL动态嵌入技术远程线程技术动态嵌入实现文件隐藏加壳通信隐藏网络隐蔽通道使用TCP协议隐蔽通信--反向连接技术使用TCP协议隐蔽通信--反向连接技术使用UDP协议通信用ICMP来通信利用ICMP协议建立秘密通道基于嗅探原理通信木马通信特征木马通信特征图例攻击特征outbreak特征控制命令特征^_^谢谢！