教你利用个人主机进行网络入侵

核心提示： 特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系 统的程序，教你利用个人主机进行网络入侵(9)，一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统 ，将自己隐藏在系 统服务身后，这样用户查看进程的时候既看不到可疑进程，实际上，对于各种个人

特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统 。实际上，对于各种个人主机，在未开放端口和打全补丁后，最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起，并利用“社会工程学”的方式，欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后，木马程序就悄无声息在用户的PC上执行，并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者，而攻击者则可以通过木马程序实施对用户电脑的控制，比 如控制文件、注册表、键盘记录甚至控制屏幕等。

在早期，木马程序程序隐藏的并不深，通过查看任务管理器就会发现系统内存在不明程序在 运行，并且木马程序还会在用户主机上监听特定端口(如冰河的7626)，等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现，而且被攻击目标也必须连接在公网上，因为客户端是无法透过NAT、防火 墙连接到内网的用户的。

反弹端口类型木马，“广外女生”木马是国内出现最早反弹端口类型的木马，这个木马与传 统的木马不同，它在执行后会主动连接外网的攻击者的相关端口，这种方法就避免了传统木 马无法控制内部用户的弊端(因为防火墙一般不会对内部发出的数据做控制)。此外，“广 外女生”还会自动杀掉相关杀毒程序的进程。

传统木马在执行后会作为一个进程，用户可以通过杀掉进程的方法关闭，而现在的木马则会 将自己注册一个系统服务，在系统启动后自动运行。甚至会通过DLL注入，将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程，也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。