计算机安全外文翻译---特洛伊木马

特洛伊木马

在计算机领域中特洛伊木马程序是一种未经授权的程序，它包含在一段正常的程序当中，这个未经授权的程序提供了一些用户不知道的功能，其目的是不需要管理员的准许就可获得系统使用权。它可以控制用户计算机系统，造成用户资料的泄漏，甚至造成整个计算机系统崩溃等。特洛伊木马和病毒的区别是它不能自行传播，而要依靠宿主以其它假象出现，冒充一个正常的程序，如Bo、Happy99、sub7、网络神偷、冰河等就是典型的特洛伊木马程序。本章详细论述了木马的分类、特征、功能、工作原理和攻击手段等。

木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序。在

RFC1244安全手册中给出的：“特洛伊木马是这样一种程序，它提供了一些有用的，或仅仅是有意思的功能。但是通常要做一些用户不希望的事，诸如在你不了解的情况下拷贝文件或窃取你的密码”。它利用自身所具有的植入功能，依附其它具有传播能力病毒，或者通过入侵后植入等多种途径，进驻目标机器，搜集其中各种敏感信息，并通过网络与外界通信，发回所搜集到的各种敏感信息，接受植入者指令，完成其它各种操作，如修改指定文件、格式化硬盘等。

1.1木马系统结构

一个完整的木马系统由硬件部分、软件部分和具体的连接部分组成。

1、硬件部分，建立木马连接所必须的硬件实体，分为控制端，服务端和Internet。

控制端是对服务进行远程控制的一方；服务端是被控制端远程控制的一方；Internet是控制段对服务端进行远程控制，数据传输的网络载体。

2、软件部分，实现远程控制所必须的软件程序。

控制端程序，控制端用以远程控制服务端的程序。木马程序，潜入服务端内部，获取其操作权限的程序。木马配置程序，设置木马的端口号，触发条件，木马名称等，并使其在服务端隐藏的更隐蔽的程序。

3、具体连接部分，通过Internet在服务端和控制端之间建立一条木马通道所

必须的一条元素。

控制端IP和服务端IP，即控制端和服务端的网络地址，也是木马进行数据传输的目的地。控制端端口和木马端口，即控制端和服务端的数据入口，通过这个端口，数据可以直达控制端程序或木马程序。

1.2木马的基本特征

综合现在流行的木马程序，它们都具有以下基本特征：

1、隐蔽性

木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性的木马往往会很容易暴露自己，进而被杀毒(或杀马)软件，甚至用户手工检查来，这样将使得这类木马变得毫无价值。因此可以说隐蔽性是木马的生命。

2、自动运行性

木马程序是一个系统启动即自动运行的程序，所以它可能嵌入在启动配置文件（如win.ini、system.ini、winstart.bat等）、启动组或注册表中。

3、欺骗性

木马程序要达到长期隐藏的母的，就必须借助系统中已有的文件以防被发现。木马经常类似以常见的文件名或扩展名的名字（如dll、win、sys），或者仿

制一些不易被人区分的文件名（如字母“i”和数字“1”，字母“o”和数字“0”），或者伪装成常见的文件图标。以骗取用户的信任。

4、顽固性

木马顽固性就是指有效清除木马的易程度。若一个木马在检查出来之后，仍然无法将其一次性有效清除，那么该马就具有较强的顽固性。很多木马程序中的功能模块已不再是单一的文件组成，而是将文件分别存储在不同的位置。这些分散的文件可以相互恢复，因此难以清除。

5、易植入性

任何木马必须首先能够进入目标机器（植入操作），因此易入性就成为木马有效性的先决条件。欺骗性是自木马诞生起最常见的植入手段因此各种好用的小功能软件就成为木马常用的栖息地。利用系统漏洞进行木马入也是木马入侵的一类重要途径。目前木马技术与蠕虫技术的结合使得木马具类似蠕虫的传播性，这也就极大提高了木马的易植入性。

从上面对木马特性的分析，可以看到木马的设计思想除了具有病毒和蠕虫的设计思想（即主要侧重于其隐蔽性和传播性的实现），还更多地强调与木马控制端通信能力，和反清除与反检测能力。由于有了控制端的攻击者的指挥，因此木马的行为特征就有了很强的智能化，具有很强的伪装能力和欺骗性。而木马的反清除能力，也使其极为固地和被寄生的系统纠合在一起。要想彻底清除木马，系统也得付出惨痛代价。

The Troy horse

Shawn Hernan

In the computer field Troy Trojan program is an unauthorized programs, it is contained in a normal program, the unauthorized programs provided some users do not know the function, its purpose is not to require the administrator system can be obtained the right to use. It can control the user computer system, causing the user data leakage, even the whole computer system collapse. Troy horse and virus difference is that it can not be transmitted, and to rely on host to other false appearance, posing as a normal procedure, such as Bo, Happy99, sub7, network, such as the glacier is a typical Troy trojan. This chapter discusses the classification, characteristics, function

of Trojan horse, working principle and means of attack.

Trojan 's full name is" Troy", is a new type of computer network virus program. In the

RFC1244Security Handbook gives:" Troy horse is such a procedure, it provides some useful, or just interesting function. But usually do some users do not want things, such as you do not know the case file copy or steal your password". It utilizes the self implant function, depend on other propagation ability of virus, either by invasion after implantation of a variety of ways, in the target machine, in which a variety of collecting sensitive information, and through the network to communicate with the outside world, to collect all kinds of sensitive information, receiving the implant 's command, perform other operations, such as specifying modifications file, format hard disk.

1.1Trojan horse system structure

A complete Trojan system by the hardware part, software part and the connecting part.

1.The hardware part, establish the Trojan connections necessary hardware entity, is divided into a control terminal, a server and Internet.

The control end of service for remote control of the party; the server is the control client remote control of the party; Internet is the control section to the server for remote control, data transmission on network carrier.

2.The software part, to realize the remote control to the software program.

Control procedures, control terminal for remote control server program. Trojan horse programs, into the server, access to its operation procedure. Trojan Trojan configuration program, set the port number, the trigger condition, the Trojan name, and to the server hide more covert program.

3.The connecting portion, through the Internet in the server and the control end is established between a Trojan channel to a elements.

The control end IP and server IP, namely the control terminal and server network address, and Trojan data transmission destination. The control end port and the Trojan port, namely the control terminal and server data entrance, through the port, the data can be directly to the control end or Trojan program.