木马主要是依靠邮件附件、软件下载、淫秽图片、通信软件等途径进行传播，然后，木马通过一定的提示诱使目标主机运行木马的服务端程序，实现木马的种植。例如：入侵者伪装成目标主机用户的朋友，发送了一张捆绑有木马的电子贺卡，当目标主机打开贺卡后，屏幕上虽然会出现贺卡的画面，但此时木马服务端程序已经在后台运行了。木马的体积都非常小，大部分在几KB到几十KB之间。当目标主机执行了服务端程序之后，入侵者便可以通过客户端程序与目标主机的服务端建立连接，进而控制目标主机。对于通信协议的选择，绝大多数木马使用的是TCP/IP协议，但也有使用UDP协议的木马。木马的服务端程序会尽可能地隐蔽行踪，同时监听某个特定的端口，等待客户端的连接；此外，服务端程序为了在每次重新启动计算机后能正常运行，还需要通过修改注册表等方法实现自启动功能。2、关键技术(一) 隐藏技术1) 程序隐藏木马程序可以利用程序捆绑的方式，将自己和正常的exe 文件进行捆绑。当双击运行捆绑后的程序时，正常的exe 文件运行了。程序隐藏只能达到从表面上无法识别木马程序的目的，但是可以通过任务管理器中发现木马程序的踪迹，这就需要木马程序实现进程隐藏。2) 进程隐藏隐藏木马程序的进程显示能防止用户通过任务管理器查看到木马程序的进程，从而提高木马程序的隐蔽性。主要有两种：API拦截属于进程伪隐藏方式通过利用Hook技术监控并截获系统中某些程序对进程显示的API 函数调用，然后修改函数返回的进程信息，将自己从结果中删除，导致任务管理器等工具无法显示该木马进程。远程线程注入属于进程真隐藏方式 主要是利用CreateRemoteThread函数在某一个目标进程中创建远程线程，共享目标进程的地址空间，并获得目标进程的相关权限，从而修改目标进程内部数据和启动DLL 木马。3) 通信隐藏可以从通信连接的状况中发现木马程序的踪迹。因此，很有必要实现木马程序的通信隐藏。主要有两种方式：端口复用技术，它让木马服务端程序共享其他网络程序已打开的端口和客户端进行连接，从而防止重新开启端口降低隐蔽性。关键之处在于，木马程序应增设一个数据包转交判断模块，该模块控制主机对数据报的转交选择。利用ICMP和HTTP 协议，通常网络防火墙和入侵检测系统等安全设备只检查ICMP报文的首部，对数据部分不做处理。因此，可以将木马程序的通信数据隐藏在ICMP 报文格式的选项数据字段进行传送，如把服务端程序向客户端程序传输的数据伪装成回显请求报文，而把客户端程序向服务端程序传输的数据伪装成回显应答报文。这样，就可以通过PINGPINGRESPONSE的方式在木马服务端程序和客户端程序之间建立起一个高效的秘密会话信道。利用ICMP 协议传输数据还有一个很大的优点，即ICMP 属于IP 层协议，它在传输数据时并不使用任何端口，从而具有更好的隐蔽性。(二) 木马自启动技术自启动功能是必不可少的。自启动可以保证木马不会因为用户的一次关机操作而彻底失去作用。下面介绍经常使用的几种方法。1）在Win.ini中启动在Win.ini文件中的[Windows]字段中有启动命令"load="和"run="。默认情况下，"="后面是空白的。这两项分别是用来当系统启动时自动加载和运行的程序，如果木马程序加载到这两项中，那么系统启动后即可自动地加载和运行。2）在System.ini中启动在System.ini文件中的[boot]字段的shell=Explorer.exe中是木马常用的隐藏加载的地方。木马最惯用的伎俩就是把本应是"Explorer.exe"变成自己的程序名，名称伪装成几乎与Explorer.exe一样，只需稍稍改"Explorer"的字母"l"改为数字"1"，或者把其中的"o"改为数字"0"，这些改变如果不仔细留意是很难被人发现的。或者是shell=Explorer.exe 的后面加上木马程序的路径，如：shell=Explorer.exe sample.exe，这里的sample.exe就是木马服务端程序。3）通过启动组实现自启动启动组是专门用来实现应用程序自启动的地方。启动组文件夹的位置为"C:Documents and SettingsAll Users「开始」菜单程序启动"。[注："All Users"即对所有用户都有作用]4）通过注册表启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun， HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce，HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce5）修改文件关联修改文件关联是木马常用手段。例如：在正常情况下，txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开。例如著名的国产木马冰河就是这样。6）捆绑文件入侵者可以通过一些黑客软件，如著名的Deception Binder，完成文件的捆绑，之后将这些捆绑文件放到网站、FTP、BT等资源下载场所，当用户下载并执行捆绑文件，同时就启动了木马的服务端程序。(三) 木马植入技术1）图标伪装黑客为了迷惑用户，将木马服务端程序的图标换成一些常见的文件类型的图标。2）文件捆绑欺骗文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起，达到欺骗对方从而运行捆绑的木马程序的目的。例如，把木马服务端和某个游戏，或者flash文件捆绑成一个文件通过QQ或邮件发送给受害者。当受害者对这个游戏或flash感兴趣而下载到机器上，并开打了该文件，木马程序就会悄悄运行。3）定制端口很多老式的木马端口都是固定的，只要查一下特定的端口就知道感染了什么木马。现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024～65535之间任选一个端口作为木马端口，一般不选1024以下的端口，这就给判断所感染的木马类型带来了麻烦。4）扩展名欺骗例如，图像文件的扩展名不可能是.exe，而木马程序的扩展名又必定是.exe，大多数用户在看到扩展名为".exe"的文件时，就会很小心。于是设计者就将文件名进行一些改变，例如将"picture.tiff"更改为"pitcture.tiff.exe"，因为windows默认是不显示扩展名的，于是用户就只能看到"picture.tiff"，很容易将其作为一个图片文件而启动。

三、 木马的演变与种类

1、木马的演变从木马的发展来看，把木马分为五代。1）第一代木马第一代的木马功能相当简单，典型的有back orifice（简称：BO）、netSpy等，早就退出了历史的舞台。第一代windows木马只是一个将自己伪装成特殊的程序或文件的软件，如伪装成一个用户登录窗口，当用户运行了木马伪装的登录窗口，输入用户名和密码后，木马将自动记录数据并转发给入侵者。2）第二代木马提供了几乎所有能够进行的远程控制操作。国内最具代表性的就是冰河木马和广外女生。3）第三代木马继续完善了连接与文件传输技术，并增加了木马穿透防火墙的功能，并出现了"反弹端口"技术，如国内的灰鸽子木马软件。4）第四代木马利用了远程线程插入技术，将木马线程插入DLL线程中，使系统更加难以发现木马的存在与入侵的连接方式。5）第五代木马相对于第四代木马，功能更加全面。而且应用DLL技术后在目标主机的计算机中不生成新的文件。2、木马的种类