第一章 木马概述
1.1“木马”名称的由来

        木马是一个计算机的词汇，但是他却是来源于古希腊。古希腊神话《木马屠城记》记录有这样的故事，说的是有一个美丽而妖艳的女孩嫁给了希腊的王子，但是最终却被Trojan City(特洛伊城) 的王子吸引并私奔回到了特洛伊城，希腊人于是把发兵把该城围住，但是围了十年都没有攻下，后来希腊人想出了一条计策，他们把士兵藏在一匹匹木头做的马（这就是木马的来历）里面，并且引诱特洛伊人把这些木马当成战利品夺回城中，到了半夜，这些木马的士兵跳出来，和城外的希腊士兵里应外合，最终把特洛伊城攻下了。

        在计算机领域的有这样一类代码，他们很短小精悍，往往只有20k到30k，常常伪装或者隐藏在合法程序中，这些代码或者执行特定的恶意行为，或者为非授权访问系统的特权功能提供后门。他们的最大的特征是隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现，系统表现也正常，这些代码的行为和《木马屠城记》中原始的木马的特征相同，所以在计算机领域里面，就用木马来称呼这样的一类代码。

1.2木马病毒发展史

1.2.1第一代木马 ：伪装型病毒
        这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的 2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。此时的第一代木马还不具备传染特征。

1.2.2第二代木马 ：AIDS型木马
        继PC -Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。

1.2.3第三代木马：网络传播性木马

       随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时他还有新的特征：
第一，   添加了“后门”功能。

         所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而引起注意。

第二，   添加了击键记录功能。 
        从名称上就可以知道，该功能主要是记录用户所有的击键内容然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比较有名的有国外的BO2000（Back Orifice）和国内的冰河木马。它们有如下共同特点：基于网络的客户端/服务器应用程序。具有搜集信息、 执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不但没有任何秘密而言，而且黑客可以远程控制 傀儡主机对别的主机发动攻击，这时候背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。

1.3研究木马原理的重要性
        木马程序使得远端的黑客能够享有系统的控制权，对网络和计算机系统的安全构成了极大的威胁。“知己知彼，百战不殆”，作为专业的网络安全工作者，如果想找出防御木马攻击的有效途径，就必须认真地研究木马攻击的技术。在研究木马攻防的过程中，如果能够理清木马攻击手段的发展脉络，就有可能进一步找出木马发展的趋势，并提早思考应对策略。如传统的木马一般直接利用TCP/IP协议进行控制端和被控制端通信，这种通信可以使用snifer工具监听。分析该通信的特征就可以从中寻找木马的蛛丝马迹。基于网络的木马入侵探测系统的工作原理正是通过对网络上传输的实际分组的内容进行测试、对分组结构进行识别来分析网络中使用的协议并从其中抽取木马相关信息。一旦木马开发者利用诸如隐蔽信道之类的技术使得信道不再具有明显的特征，对此类检测手段将产生致命性的打击。网络安全工作者必须未雨绸缪，对此先行研究以期及早提出应对方案。

        木马攻击与防范是矛盾的两个方面，攻击和防范技术在不断地相互较量中也不断地相互促进，这个过程还将依然持续下去。