特洛伊木马病毒

特洛木马病伊毒

“特洛伊马”（tr木jao hnosr）简称“木e马”木马和,病毒是都种人一为程的,序都于属脑病毒电据说，个这称名来于希腊源神《木话屠城马记》。

木马

绍介(金毒山霸2102官方免费下载htp:t//zxdu.ban.et/)

特洛伊马木没复制有力，能的特点是它装成伪一个用实具工或者个可爱一游戏的，这诱会使户将用其装安在CP者或服务器。上　　 “洛伊木特”（t马ojra hnoser）简“木马称”木马,病毒都是和一人种为程序,都属于的电病脑，毒说据个这名来称于源腊神希《木马话屠记城。》希腊古大有军围特攻洛伊，城久无法攻久下于。有是献人计制一造高只二的丈木马，大假装战马神，让作兵藏匿士于巨的木马中，大部大队假撤退装而将木摈弃马于特伊洛城下城中得知。围的消息解，遂后“木将马作为奇异的”利战拖入品内城，城全饮酒狂。到欢夜午时分全城，军民入梦尽，匿于乡马中木将的开士门游秘绳而，下开城门及启四纵处火城，外伏涌入兵，队里应部合，外屠焚特洛城伊。后称这只大木世马为“洛特伊马木。”今如黑客程借用序其名，“一有潜经，入后无患”穷之意 完整的。马程序一般由两个木分组部成：一是服个务器程，序个一是控器制程序。“中了木”就是马安指装木马的服务器了序程若，的电脑你安被了装服器务序，程拥有则控制器程的人序可以就通网络控制过你的电脑为、欲为所，时这电你脑上的种各件文、程以及在你序脑上使用的帐号、电码就密安无可言全。了 　　木程序不马能是算种一毒，病序本程在无人身操控的况情不会下像虫病蠕复制毒染感，不破会坏操系统作硬及。件但越越多的来新版的杀毒软，已开件可以始杀一些木查马，了以所也有少不人称马程序木黑为病客毒。　 　是它一种于基远程制的黑客工控具具有隐蔽，和性非权性授和速迅感系统文染件的特。点　 　谓隐蔽性是所木马指的计者设为防了止木被马发现，采用会多手段种隐木藏马这样，服务即使端发现感染木马，了于不能由确定其具体位，置往只能往“马”望叹。兴 　所　谓非授性权指是一旦制端与服务控端接连，后制端将控享服有务端的部分操作权大，限包修改括文，件改注册表，修制控标，键鼠盘等，而这些等力权并是不务服端予的，而是通过木赋程序窃取马的。

马木的动方启：

式木　马是计随算或Wi机nowsd的启动而启动并握一掌的控定制的，权其动启方式谓可多种多，样过注通册表启动通过、yStsem.nii动、通过某些特定程启启动序等真是防，不防胜。实其只能要够遏住不让制它动，木启就没什马么用，了这里就单说简

说木马启动的式，方知己知彼百不战嘛殆(金。毒霸山201官2方免费载下http://xzdub..aent)

　　通过/“始\开序程\启动”　

　　隐蔽：性2星　

　应用度程较：低　　

也这是一很种见的方常式，多很正常程的都用它，序家大用的QQ就是用常这方种实式自现动的启但木马却很少用，它。为因动启组的人会会每现出“系统在置配实用程”序（scmonig.efex，下简以ms称oncfig中。事）实，上出在现“始开菜单”“程序的\启动”足中以起菜引的鸟注意所，以相信，不有木会用马这种动启式方。　　

过通iWn.ni文i　件

　　蔽性隐：3星

　应用程　度较：

低　同启　组一动，这样是也从Winowds32开始就.以可用使的方法，从W是n16i遗到传inW3的。在W2idnwos32中，Win.in.就相当iW于ndoiws9中的注册x表，该文件中的[在Wndoiws]中的域oldaru和项会n在iWdonsw启时运行，这两个动项也会目现出m在socfin中。而且g在Win，owsd8安9完成装后这两就会被Wi项nods的w程序用了使，也很不合适木使马。用

　　过通册注启表动　　

　1、通过KEH_YURCRENTUS_ER\Sftwaro\eiMrcsoft\oWidowsnC\rrunetersVon\iRn，

u　　KEY_LHCOLAM_ACHNI\EoftSwrea\Mcrosifo\tWidnows\CrrunteerViso\Rnn和u　　H

EKYLOCAL_MA_CINH\EoStfwre\aiMroscot\fiWdnos\CwurrnetVesrino\unReSvircs

　e　蔽隐：性.53

　　星用程应度极高：

　应　案例：用OB020，GO0P，NetSpy，ItEihe，f河…冰

　　这…很是W多niowds序程都用的采方法也是，木马最常的用。用非使常方便，也但易容被发人，现由于应其太广，用以所几乎到提木马，会让人想到就几个注这表册的中主键通常木，会马使最后用个。使一用Wndiwo自s带的程序：msconfg或i册表编注器（rege辑idte.e，x下简以称reedig）t可都将以它易的删除，轻所这以方法种不并十可分靠但可以在。木马序程加一中时个控件，间便以实时视监注表册中自身启的动值是否存在键一旦发现，被删，则立即重除写入新，以保下次W证ndoiw启s时动自己被能运行。这样木马程序和册表中的注启动值之键间形了一种成互保护的相态状。木程序马未止中启，键值就动无法除删手工（删除后木，程序马自动添加上又了，）反的，不相删启动除键值下，次启Wind动osw还启动木马会怎。办么？呢实破其它解不难并即，使没有在何工任软件的具况下也能情轻解除这易种相互护。

　　破解保方法：首，以先安模式启动Wind全ws，o这，Wi时nowds不会加载册表注中项的，因目木此不马会被动启，相保互的护况也就不攻状破自；然了后，就你可删除注以册中的键值表和相的应马木序程了。

　　、通2过KHYE_LCOL_AMAHINEC\Sftwaro\Meicosofr\Wtndowsi\uCrerntVersoni\RunOcn，

e　　HEY_CUKRRNTEUSER\_oSftwar\Miecrsoof\Witndws\Cu

orrnetVresino\RuOnnce和　

　HEYKL_OACLMA_CINHE\Sfowater\iMrosoct\fWndoiwsC\urrentVersin\oRnServuiecsOnce

　　蔽性：4隐星

　应用程度：较低　

　应　案用：例aHpyp9月9　　

种这方好法用像人不是的很多，但隐性蔽比一上方种好法它的，内容会出不在现mcsonfgi中在这。个键值的项下目和上种一似，相会Win在dos启动时w启，但动Winowd启动后s该键值下的，项会被目空清，因而易不被现发但是，能只启动一次木，如马何能发挥果呢效？

　其　很实简，不单是能启动只一次吗那？木马动成启功后再在这里添一加次不就了行吗在？elDhip中不过这、3行5序。虽说程些这目不会项出现在msocfng中i，但是在eRgdiet却中以可直将它接删除那，么木也就马此失效了。

从　　还有一种方法，不是在启的动时候而加在是退出indWwso时的候加，这求木马要序程本身截获要Indows的消息，W当现关发W闭niodsw消时息暂停关闭过程，添，加册表项目，注后然开才关闭始iWndws，这样用Rogeedt也找i不到的踪它迹了这种。法也有方缺个点就，一旦W是inodsw常异止中（对于Wnidow9xs是这常的经），木也马失就效。了　

破　解他们的方也法可以安全模用式。

　另　使用这外三个键值并不完一全，通样常马会木择选第个，一为因第在二个键下值的目会项在indWws启动完o成运行前并等待，序结束程会继才续启动Wnidows

　　通。A过utexoc.bat文e　件　　w

nistartb.t，aocnif.gyss件文

　　蔽性隐3：5星.　　

应程用度较：低

　其实　种方法并不适这木马使用合因为，文件会该在iWdnosw动启前运，这时系行统于D处S环境O，只能运1行6位用应序程W，nidows的32下程序位是不能行的运因此也就失。了去马的木义意。不，这过不并是它不能说用于启动马。可以木象，想Sftoce Iof riWn8（9功能大的强序程调试工具被黑客奉为至，宝，用常破于应解程用序）是先要也在Atuoeec.bxat件中运文然行才能在后iWdnwo中呼s出窗口叫进行调，试，既然如此，的谁保能证马不会这木启样动呢？目到为前，止我还见没过样这启动木的马我，能写想这样木马人的定是高一手中高手的。

　了　外另，这个BA两T件常被用文于破，坏它会在们这文件中个入类加“D似lteer e：\*.*C和“Fo”rmt a：/uC”行，这的，在你启动样算计后机未还启动iWdnwos你的C盘，已然空如空。也　　通

过ysSetmi.ni件文　

　　隐蔽性：星5

　应用程度：　般一　

事实上，S　ystemi.ni文并件没给用户可用的启有项目动，而通过它启然却是动非好常的用。Syste在.miin件文的Boot]域[的Sh中le项l的正常值况下情是“xEporer.lxee”，是这Widowns外的壳程，换序一个序程就以可彻底改变indWosw面的（貌如为Pr改ogmn.aexe

就可让以Wn9x变i成Wndowi3s2）.。我可以们在“Exlproer.xee后加”木上程序马的径，路样这iWnods启w后动马木就随也之启动，而即且使安是全模式启也动会不过这一项，跳样木马也这可就保证以远永随iWdnow启动s，名了一噪时的姆尼病毒就是达的用种这法方。时这如果木，程马也具序有自检测动添加hSlle项的功的能，话简直是那天衣缝无绝的配我想除了，用使查进程看的具工中木止，再修马改Sellh和删项除马文件外木没有是破解法之。了但种这式方也有先个的天不足，为只因She有ll一项这嘛如，果两个木有马都使用种方这式实现自启，那么动后的木马可能会使前来个无法启动一，呵以呵毒毒攻。啊

　　过通特定某程序或文件动启　

　　、1生寄特定于序之程中

　　隐性：5星蔽

　　应程度：一般用　　即木

和马正常序捆程，有点绑类于似病，程毒在序运时行，木马序程获先得控制权另开一或个程以监线用视户操，截作取码等密这类木马编，的难度写较，需大了要解EP文件结和W构idonws的底知识层（直接用使捆程绑除序外）。

　2　、特定的将序改程名

　　隐蔽性：5

　　应星程度：用常见

　　这方种式常见于针QQ对的马木例如将，Q的Q启文件动QQ0020.ebe，x为改QQ200b.0ico.xe（eWndoisw认是默显示扩不名展，的此因会被它显为Q示Q2000.bico，而用会认为户它一个图是标）再将，木马程序为改QQ0200bex.，此后，e用运行户Q，Q际是实行了运Q木马，再由QQ木Q马启动去真的Q正，Q种方这实现起式来比要一上简种的多单。

　　、文3件关联　　

蔽性隐：星5

　　应用度程常见：

　通常　马木序程会将己和自XTT文件或EXE件关文联这，样你当开打一个文本件文或运行一个序时，木马也程就神不鬼知不的觉动启了

。　这　类通特定过序或程件启动的文木，发马比较现难困但查杀并，不难。般地一，只删要除应相文件和的册表键值即注可。

特洛木马伊是种恶意一程序它们，悄地悄在主宿机上运器行，就用户在无毫察觉情的况，下让攻击者得了远程访获和控问制统的权限。系般一而言，多数特洛大木马伊都仿模一正些的远程控规制软的功件，如能ySmatecn的cpnywAehr，e特但洛伊马木有也些明一显特的，点例如的它安和装操都作是在隐之蔽中完。成攻者击经把特常洛木马隐藏在伊些一游戏或小软件之中诱，粗使心用户在的己的自器机上运。最行常见情的况是上当，的用要户么从不规正的网站载下运和行带恶意了码代软的件要么，小不心击了点带恶代意码邮件附的。件

大多数特

洛木马伊包客括户端和务器端服个两分部。击攻者用一种称利为定程绑序工的具将务器服分部绑

定到某个法软件上，合诱用户运行合法使件。只要用软一运行户软件，洛伊特木马的服器部务分就用户在无知毫觉的况情完下成安了过程装通常，。特洛伊木马的服务部分器是可以都制定的，攻击可以者定的项目制一包括：般务器运行的服PI端口，号程序启时动机，何发如调出用，何如身隐是，否加密。外另，击者攻可以还设登置服务录器的密、确码定通方式。 信

服务器攻向击通知者的方可式是能送一发emai个，宣l自告己前当已功接成管机的；器或者可是联能系某隐个的藏nIetrnte流通道，广播交被占侵机器的IP地；另址外当，特洛木伊的服马务器部分动启后，之还可它以接与直攻者击器机上运行客户的程序过预先定义的端通口进行通。不管特洛信木伊马服的器和客务户序如何建程立系，联有点是一不的变，攻者总是利击客用程户序服务器程向序发送令，命到操达控用机户器目的的 。

洛特伊木马击者攻既可随心所以地查欲看已被入侵机的，也器以用广可播式方布命发令，指所示在有他制控之的下特伊木洛马起一动行或，者向广泛的范围更播，或者做传其他险危事的。实际情，只上要用一个先定预义好关的词，就键以让所有可被入的机侵格器式化自的硬己盘，者向或一另台机发主攻起击。攻者经击常会用特伊洛马木侵大占的量机器然，针对某一后害主机发要分布式起拒绝服攻击（D务enilaof Servi ce，即DSo）当，受者觉害察到网要被异络寻乎的常通量信没淹，试找图攻击出时，他只能追者到踪大批然不懵、同知也样受害是者D的LS线或缆调解制器用调，真户的正攻者击早溜就大吉之。 特

伊洛木造成的危害可能马非是常人惊，的于它具有由程远控机制器及以捕屏幕、键获、击音频视、频的能，所以其危力害度要程远超过远普通病的毒和蠕。虫深了入解特伊洛木马的行原理运在，此基础采上正取的确防措施卫，有这只样才有效减少能洛伊木特带来的危马害 .

特洛木马病伊毒

“特洛伊马”（tr木jao hnosr）简称“木e马”木马和,病毒是都种人一为程的,序都于属脑病毒电据说，个这称名来于希腊源神《木话屠城马记》。

木马

绍介(金毒山霸2102官方免费下载htp:t//zxdu.ban.et/)

特洛伊马木没复制有力，能的特点是它装成伪一个用实具工或者个可爱一游戏的，这诱会使户将用其装安在CP者或服务器。上　　 “洛伊木特”（t马ojra hnoser）简“木马称”木马,病毒都是和一人种为程序,都属于的电病脑，毒说据个这名来称于源腊神希《木马话屠记城。》希腊古大有军围特攻洛伊，城久无法攻久下于。有是献人计制一造高只二的丈木马，大假装战马神，让作兵藏匿士于巨的木马中，大部大队假撤退装而将木摈弃马于特伊洛城下城中得知。围的消息解，遂后“木将马作为奇异的”利战拖入品内城，城全饮酒狂。到欢夜午时分全城，军民入梦尽，匿于乡马中木将的开士门游秘绳而，下开城门及启四纵处火城，外伏涌入兵，队里应部合，外屠焚特洛城伊。后称这只大木世马为“洛特伊马木。”今如黑客程借用序其名，“一有潜经，入后无患”穷之意 完整的。马程序一般由两个木分组部成：一是服个务器程，序个一是控器制程序。“中了木”就是马安指装木马的服务器了序程若，的电脑你安被了装服器务序，程拥有则控制器程的人序可以就通网络控制过你的电脑为、欲为所，时这电你脑上的种各件文、程以及在你序脑上使用的帐号、电码就密安无可言全。了 　　木程序不马能是算种一毒，病序本程在无人身操控的况情不会下像虫病蠕复制毒染感，不破会坏操系统作硬及。件但越越多的来新版的杀毒软，已开件可以始杀一些木查马，了以所也有少不人称马程序木黑为病客毒。　 　是它一种于基远程制的黑客工控具具有隐蔽，和性非权性授和速迅感系统文染件的特。点　 　谓隐蔽性是所木马指的计者设为防了止木被马发现，采用会多手段种隐木藏马这样，服务即使端发现感染木马，了于不能由确定其具体位，置往只能往“马”望叹。兴 　所　谓非授性权指是一旦制端与服务控端接连，后制端将控享服有务端的部分操作权大，限包修改括文，件改注册表，修制控标，键鼠盘等，而这些等力权并是不务服端予的，而是通过木赋程序窃取马的。

马木的动方启：

式木　马是计随算或Wi机nowsd的启动而启动并握一掌的控定制的，权其动启方式谓可多种多，样过注通册表启动通过、yStsem.nii动、通过某些特定程启启动序等真是防，不防胜。实其只能要够遏住不让制它动，木启就没什马么用，了这里就单说简

说木马启动的式，方知己知彼百不战嘛殆(金。毒霸山201官2方免费载下http://xzdub..aent)

　　通过/“始\开序程\启动”　

　　隐蔽：性2星　

　应用度程较：低　　

也这是一很种见的方常式，多很正常程的都用它，序家大用的QQ就是用常这方种实式自现动的启但木马却很少用，它。为因动启组的人会会每现出“系统在置配实用程”序（scmonig.efex，下简以ms称oncfig中。事）实，上出在现“始开菜单”“程序的\启动”足中以起菜引的鸟注意所，以相信，不有木会用马这种动启式方。　　

过通iWn.ni文i　件

　　蔽性隐：3星

　应用程　度较：

低　同启　组一动，这样是也从Winowds32开始就.以可用使的方法，从W是n16i遗到传inW3的。在W2idnwos32中，Win.in.就相当iW于ndoiws9中的注册x表，该文件中的[在Wndoiws]中的域oldaru和项会n在iWdonsw启时运行，这两个动项也会目现出m在socfin中。而且g在Win，owsd8安9完成装后这两就会被Wi项nods的w程序用了使，也很不合适木使马。用

　　过通册注启表动　　

　1、通过KEH_YURCRENTUS_ER\Sftwaro\eiMrcsoft\oWidowsnC\rrunetersVon\iRn，

u　　KEY_LHCOLAM_ACHNI\EoftSwrea\Mcrosifo\tWidnows\CrrunteerViso\Rnn和u　　H

EKYLOCAL_MA_CINH\EoStfwre\aiMroscot\fiWdnos\CwurrnetVesrino\unReSvircs

　e　蔽隐：性.53

　　星用程应度极高：

　应　案例：用OB020，GO0P，NetSpy，ItEihe，f河…冰

　　这…很是W多niowds序程都用的采方法也是，木马最常的用。用非使常方便，也但易容被发人，现由于应其太广，用以所几乎到提木马，会让人想到就几个注这表册的中主键通常木，会马使最后用个。使一用Wndiwo自s带的程序：msconfg或i册表编注器（rege辑idte.e，x下简以称reedig）t可都将以它易的删除，轻所这以方法种不并十可分靠但可以在。木马序程加一中时个控件，间便以实时视监注表册中自身启的动值是否存在键一旦发现，被删，则立即重除写入新，以保下次W证ndoiw启s时动自己被能运行。这样木马程序和册表中的注启动值之键间形了一种成互保护的相态状。木程序马未止中启，键值就动无法除删手工（删除后木，程序马自动添加上又了，）反的，不相删启动除键值下，次启Wind动osw还启动木马会怎。办么？呢实破其它解不难并即，使没有在何工任软件的具况下也能情轻解除这易种相互护。

　　破解保方法：首，以先安模式启动Wind全ws，o这，Wi时nowds不会加载册表注中项的，因目木此不马会被动启，相保互的护况也就不攻状破自；然了后，就你可删除注以册中的键值表和相的应马木序程了。

　　、通2过KHYE_LCOL_AMAHINEC\Sftwaro\Meicosofr\Wtndowsi\uCrerntVersoni\RunOcn，

e　　HEY_CUKRRNTEUSER\_oSftwar\Miecrsoof\Witndws\Cu

orrnetVresino\RuOnnce和　

　HEYKL_OACLMA_CINHE\Sfowater\iMrosoct\fWndoiwsC\urrentVersin\oRnServuiecsOnce

　　蔽性：4隐星

　应用程度：较低　

　应　案用：例aHpyp9月9　　

种这方好法用像人不是的很多，但隐性蔽比一上方种好法它的，内容会出不在现mcsonfgi中在这。个键值的项下目和上种一似，相会Win在dos启动时w启，但动Winowd启动后s该键值下的，项会被目空清，因而易不被现发但是，能只启动一次木，如马何能发挥果呢效？

　其　很实简，不单是能启动只一次吗那？木马动成启功后再在这里添一加次不就了行吗在？elDhip中不过这、3行5序。虽说程些这目不会项出现在msocfng中i，但是在eRgdiet却中以可直将它接删除那，么木也就马此失效了。

从　　还有一种方法，不是在启的动时候而加在是退出indWwso时的候加，这求木马要序程本身截获要Indows的消息，W当现关发W闭niodsw消时息暂停关闭过程，添，加册表项目，注后然开才关闭始iWndws，这样用Rogeedt也找i不到的踪它迹了这种。法也有方缺个点就，一旦W是inodsw常异止中（对于Wnidow9xs是这常的经），木也马失就效。了　

破　解他们的方也法可以安全模用式。

　另　使用这外三个键值并不完一全，通样常马会木择选第个，一为因第在二个键下值的目会项在indWws启动完o成运行前并等待，序结束程会继才续启动Wnidows

　　通。A过utexoc.bat文e　件　　w

nistartb.t，aocnif.gyss件文

　　蔽性隐3：5星.　　

应程用度较：低

　其实　种方法并不适这木马使用合因为，文件会该在iWdnosw动启前运，这时系行统于D处S环境O，只能运1行6位用应序程W，nidows的32下程序位是不能行的运因此也就失。了去马的木义意。不，这过不并是它不能说用于启动马。可以木象，想Sftoce Iof riWn8（9功能大的强序程调试工具被黑客奉为至，宝，用常破于应解程用序）是先要也在Atuoeec.bxat件中运文然行才能在后iWdnwo中呼s出窗口叫进行调，试，既然如此，的谁保能证马不会这木启样动呢？目到为前，止我还见没过样这启动木的马我，能写想这样木马人的定是高一手中高手的。

　了　外另，这个BA两T件常被用文于破，坏它会在们这文件中个入类加“D似lteer e：\*.*C和“Fo”rmt a：/uC”行，这的，在你启动样算计后机未还启动iWdnwos你的C盘，已然空如空。也　　通

过ysSetmi.ni件文　

　　隐蔽性：星5

　应用程度：　般一　

事实上，S　ystemi.ni文并件没给用户可用的启有项目动，而通过它启然却是动非好常的用。Syste在.miin件文的Boot]域[的Sh中le项l的正常值况下情是“xEporer.lxee”，是这Widowns外的壳程，换序一个序程就以可彻底改变indWosw面的（貌如为Pr改ogmn.aexe

就可让以Wn9x变i成Wndowi3s2）.。我可以们在“Exlproer.xee后加”木上程序马的径，路样这iWnods启w后动马木就随也之启动，而即且使安是全模式启也动会不过这一项，跳样木马也这可就保证以远永随iWdnow启动s，名了一噪时的姆尼病毒就是达的用种这法方。时这如果木，程马也具序有自检测动添加hSlle项的功的能，话简直是那天衣缝无绝的配我想除了，用使查进程看的具工中木止，再修马改Sellh和删项除马文件外木没有是破解法之。了但种这式方也有先个的天不足，为只因She有ll一项这嘛如，果两个木有马都使用种方这式实现自启，那么动后的木马可能会使前来个无法启动一，呵以呵毒毒攻。啊

　　过通特定某程序或文件动启　

　　、1生寄特定于序之程中

　　隐性：5星蔽

　　应程度：一般用　　即木

和马正常序捆程，有点绑类于似病，程毒在序运时行，木马序程获先得控制权另开一或个程以监线用视户操，截作取码等密这类木马编，的难度写较，需大了要解EP文件结和W构idonws的底知识层（直接用使捆程绑除序外）。

　2　、特定的将序改程名

　　隐蔽性：5

　　应星程度：用常见

　　这方种式常见于针QQ对的马木例如将，Q的Q启文件动QQ0020.ebe，x为改QQ200b.0ico.xe（eWndoisw认是默显示扩不名展，的此因会被它显为Q示Q2000.bico，而用会认为户它一个图是标）再将，木马程序为改QQ0200bex.，此后，e用运行户Q，Q际是实行了运Q木马，再由QQ木Q马启动去真的Q正，Q种方这实现起式来比要一上简种的多单。

　　、文3件关联　　

蔽性隐：星5

　　应用度程常见：

　通常　马木序程会将己和自XTT文件或EXE件关文联这，样你当开打一个文本件文或运行一个序时，木马也程就神不鬼知不的觉动启了

。　这　类通特定过序或程件启动的文木，发马比较现难困但查杀并，不难。般地一，只删要除应相文件和的册表键值即注可。

特洛木马伊是种恶意一程序它们，悄地悄在主宿机上运器行，就用户在无毫察觉情的况，下让攻击者得了远程访获和控问制统的权限。系般一而言，多数特洛大木马伊都仿模一正些的远程控规制软的功件，如能ySmatecn的cpnywAehr，e特但洛伊马木有也些明一显特的，点例如的它安和装操都作是在隐之蔽中完。成攻者击经把特常洛木马隐藏在伊些一游戏或小软件之中诱，粗使心用户在的己的自器机上运。最行常见情的况是上当，的用要户么从不规正的网站载下运和行带恶意了码代软的件要么，小不心击了点带恶代意码邮件附的。件

大多数特

洛木马伊包客括户端和务器端服个两分部。击攻者用一种称利为定程绑序工的具将务器服分部绑

定到某个法软件上，合诱用户运行合法使件。只要用软一运行户软件，洛伊特木马的服器部务分就用户在无知毫觉的况情完下成安了过程装通常，。特洛伊木马的服务部分器是可以都制定的，攻击可以者定的项目制一包括：般务器运行的服PI端口，号程序启时动机，何发如调出用，何如身隐是，否加密。外另，击者攻可以还设登置服务录器的密、确码定通方式。 信

服务器攻向击通知者的方可式是能送一发emai个，宣l自告己前当已功接成管机的；器或者可是联能系某隐个的藏nIetrnte流通道，广播交被占侵机器的IP地；另址外当，特洛木伊的服马务器部分动启后，之还可它以接与直攻者击器机上运行客户的程序过预先定义的端通口进行通。不管特洛信木伊马服的器和客务户序如何建程立系，联有点是一不的变，攻者总是利击客用程户序服务器程向序发送令，命到操达控用机户器目的的 。

洛特伊木马击者攻既可随心所以地查欲看已被入侵机的，也器以用广可播式方布命发令，指所示在有他制控之的下特伊木洛马起一动行或，者向广泛的范围更播，或者做传其他险危事的。实际情，只上要用一个先定预义好关的词，就键以让所有可被入的机侵格器式化自的硬己盘，者向或一另台机发主攻起击。攻者经击常会用特伊洛马木侵大占的量机器然，针对某一后害主机发要分布式起拒绝服攻击（D务enilaof Servi ce，即DSo）当，受者觉害察到网要被异络寻乎的常通量信没淹，试找图攻击出时，他只能追者到踪大批然不懵、同知也样受害是者D的LS线或缆调解制器用调，真户的正攻者击早溜就大吉之。 特

伊洛木造成的危害可能马非是常人惊，的于它具有由程远控机制器及以捕屏幕、键获、击音频视、频的能，所以其危力害度要程远超过远普通病的毒和蠕。虫深了入解特伊洛木马的行原理运在，此基础采上正取的确防措施卫，有这只样才有效减少能洛伊木特带来的危马害 .