特洛伊木馬 (電腦)

「木馬」這一名稱來源於希臘神話特洛伊戰爭的特洛伊木馬。攻城的希臘聯軍佯裝撤退後留下一隻木馬，特洛伊人將其當作戰利品帶回城內。當特洛伊人為勝利而慶祝時，從木馬中出來了一隊希臘軍隊，他們悄悄打開城門，放進了城外的軍隊，最終攻克了特洛伊城。計算機中所說的木馬與病毒一樣也是一種有害的程序，其特徵與特洛伊木馬一樣具有偽裝性，表面上沒有危害、甚至還附有使用者需要的功能，卻會在使用者不經意間，對使用者的計算機系統產生破壞或竊取數據，特別是使用者的各種賬戶及口令等重要且需要保密的信息，甚至控制使用者的計算機系統。

一個完整的特洛伊木馬套裝程式包含兩部分：服務端（伺服器部分）和用戶端（控制器部分）。植入對方電腦的是服務端，而駭客正是利用用戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後，會產生一個有著容易迷惑用戶的名稱的進程，暗中打開埠，向指定地點發送資料（如網路遊戲的密碼，即時通訊軟體密碼和用戶上網密碼等），黑客甚至可以利用這些打開的埠進入電腦系統。

特洛伊木馬程式不能自動操作， 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式，它可能看起來是有用或者有趣的計畫（或者至少無害）對一不懷疑的用戶來說，但是實際上有害。 特洛伊木馬不會自動執行，它是暗含在某些用戶感興趣的文檔中，用戶下載時附帶的。當用戶執行文檔程式時，特洛伊木馬才會運行，資訊或文檔才會被破壞和遺失。 特洛伊木馬和後門不一樣，後門指隱藏在程式中的秘密功能，通常是程式設計者為了能在日後隨意進入系統而設置的。

特洛伊木馬分為兩種，「Universal」和「Transitive」，「Universal」是可以控制，「Transitive」是無法控制，刻死的操作。

特洛伊木馬不經電腦用戶准許就可獲得電腦的使用權。程式容量十分輕小，執行時不會浪費太多資源，因此沒有使用防毒軟件是難以發覺的；執行時很難阻止它的行動，執行後，立刻自動登錄在系統啟動區，之後每次在Windows載入時自動執行；或立刻自動變更檔名，甚至隱形；或馬上自動複製到其他資料夾中，執行連用戶本身都無法執行的動作；或瀏覽器自動連入奇怪或特定的網頁。

一旦安裝，木馬程序可能會執行一系列惡意行為。許多木馬傾向於聯繫一個或多個命令與控制(C2)服務器並等待指令。由於個別的木馬通常使用一組特定的端口進行通信，檢測木馬可能相對簡單。此外，其他惡意軟件可能會「接管」該木馬，將其作為惡意行動的代理。^[1]

木馬程序技術發展可以說非常迅速。主要是有些年輕人出於好奇，或是急於顯示自己實力，不斷改進木馬程序的編寫。至今木馬程序已經經歷六代的改進：

• 第一代，是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發送信息等，具備木馬最基本的功能。

• 第二代，在技術上有了很大的進步。

• 第三代，主要改進在數據傳遞技術方面，出現ICMP等類型的木馬，利用畸形報文傳遞數據，增加殺毒軟件查殺識別的難度。

• 第四代，在進程隱藏方面有了很大改動，採用內核插入式的嵌入方式，利用遠程插入線程技術，嵌入DLL線程。或者掛接PSAPI，實現木馬程序的隱藏，甚至在Windows NT/2000下。

• 第五代，驅動級木馬。驅動級木馬多數都使用大量的Rootkit技術來達到在深度隱藏的效果，並深入到內核空間的，感染後針對殺毒軟件和網絡防火牆進行攻擊，可將系統SSDT初始化，導致殺毒防火牆失去效應。有的驅動級木馬可駐留BIOS，並且很難查殺。

• 第六代，隨着身份認證UsbKey和殺毒軟件主動防禦的興起，黏蟲技術類型和特殊反顯技術類型木馬逐漸開始系統化。前者主要以盜取和篡改用戶敏感信息為主，後者以動態口令和硬證書攻擊為主。

木馬的植入通常是利用操作系統的漏洞，繞過對方的防禦措施（如防火牆）。中了特洛伊木馬程序的計算機，因為資源被大量佔用，速度會減慢，莫名死機，且使用者資訊可能會被竊取，導致資料外洩等情況發生。

特洛伊木馬大部分可以被殺毒軟件識別清除。但很多時候，需要用戶去手動清除某些文件，註冊表項等。 不具有破壞防火牆功能的木馬可以被防火牆攔截。

• 防火牆
• 計算機病毒
• 黏蟲技術
• 殺毒軟件

1. ^ Crapanzano, Jamie. Deconstructing SubSeven, the Trojan Horse of Choice (報告). SANS Institute. 2003 [2021-05-10]. （原始內容存檔於2010-03-30）.